Bonsoir !

Je viens d'installer Hijackthis sur ma bécane, mais je n'y comprends rien.
Voilà le problème... Depuis plusieurs jours, voire, plusieurs semaines, mon ordi ne réagit plus comme il le faisait.
Je me retrouve avec des messages publicitaires intempestifs, IE8 ne s'ouvre plus ou alors, il s'ouvre en demandant si je veux restaurer la session précédente et se referme tout de suite, ou alors il s'ouvre en cascade de fenêtres sur mon écran.
Divx 7 ne fonctionne plus non plus, ni sous IE8, ni sous Firefox, bref, c'est le bazard intégral et je ne sais pas quoi faire.
J'ai installé Avira hier et fait tourné la machine pour mettre en quarantaine près d'une dizaine de logiciels malveillants. Mais les problèmes de navigateur ne sont toujours pas réglés.

Pourriez-vous m'aider ? J'avoue être un peu perdue.

D'avance, un très très grand merci.

Elina

Ci-joint un premier "rapport", scan, de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:38, on 30-Nov-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\alex\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\alex\LOCALS~1\Temp\c.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "C:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [VMCL] C:\Program Files\vodafone\vmclite\DongleEnumerator.exe
O4 - HKCU\..\Run: [Videohost] C:\DOCUME~1\alex\LOCALS~1\Temp\c.exe
O4 - HKCU\..\Run: [bdmnl] C:/Documents and Settings/alex/Local Settings/Temporary Internet Files/Content.IE5/VZ18YTW9//vshfkbo.exe
O4 - HKCU\..\Run: [lkuty] C:/Documents and Settings/alex/Local Settings/Temporary Internet Files/Content.IE5/VZ18YTW9//rgcnzeg.exe
O4 - HKCU\..\Run: [fxzik] C:/Documents and Settings/alex/My Documents//aouyjhl.exe
O4 - HKCU\..\Run: [pginx] C:/Documents and Settings/alex/My Documents//wcoiykd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\alex\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer = 85.255.112.15,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.15,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.15,85.255.112.215
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Xobni\Skype4Com.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Program Files\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe

--
End of file - 12765 bytes

Hello,

Tu as Spybot S&D sur ton pc ! Celui-ci est complètement dépassé ... Avant de commencer la désinfection, il faut le désinstaller car TeaTimer risque d'empêcher d'éradiquer les malwares. (On en ré-installeras un plus tard)

L'infection à modifié tes DNS !, on va les fixer :

• Télécharge Malwarebytes' Anti-Malware (MBAM)
• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
• Sélectionne "Exécuter un examen complet"
• Clique sur "Rechercher"
• L'analyse démarre, le scan est relativement long, c'est normal.
• A la fin de l'analyse, un message s'affiche :
  

  L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  
  Clique sur "OK" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
• Ferme tes navigateurs.
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Faux positif :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/p ... ssutil.htm

• Télécharge SmitFraudFix
• Double-clique sur SmitfraudFix.exe
• Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque systéme C:\rapport.txt
• Poste le rapport dans ton prochain message.

@+

Bonsoir !

Merci d'avoir pris le temps de te pencher sur ce problème. Seul souci, je n'arrive pas à ouvrir le fichier pour une mise à jour après l'avoir installé convenablement. Ce n'est pas la première fois que ça fait ça. C'est ce qui arrive à chaque fois, avec n'importe quel logiciel depuis que mon ordi est infecté.

A toutes fins utiles, je vais retenter la manip. Je te joins, en attendant, un rapport Avira, le dernier, qui date d'aujourd'hui.



Avira AntiVir Personal
Date de création du fichier de rapport : Tuesday, December 01, 2009 08:13

La recherche porte sur 1407540 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : IBM-CE210E698F6

Informations de version :
BUILD.DAT : 9.0.0.72 21606 Bytes 11/8/2009 10:58:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 10/13/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 3/3/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 2/20/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 3/3/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 11/6/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 11/19/2009 19:05:00
VBASE002.VDF : 7.10.1.1 2048 Bytes 11/19/2009 19:05:03
VBASE003.VDF : 7.10.1.2 2048 Bytes 11/19/2009 19:05:04
VBASE004.VDF : 7.10.1.3 2048 Bytes 11/19/2009 19:05:04
VBASE005.VDF : 7.10.1.4 2048 Bytes 11/19/2009 19:05:04
VBASE006.VDF : 7.10.1.5 2048 Bytes 11/19/2009 19:05:04
VBASE007.VDF : 7.10.1.6 2048 Bytes 11/19/2009 19:05:04
VBASE008.VDF : 7.10.1.7 2048 Bytes 11/19/2009 19:05:04
VBASE009.VDF : 7.10.1.8 2048 Bytes 11/19/2009 19:05:05
VBASE010.VDF : 7.10.1.9 2048 Bytes 11/19/2009 19:05:08
VBASE011.VDF : 7.10.1.10 2048 Bytes 11/19/2009 19:05:09
VBASE012.VDF : 7.10.1.11 2048 Bytes 11/19/2009 19:05:09
VBASE013.VDF : 7.10.1.79 209920 Bytes 11/25/2009 19:05:09
VBASE014.VDF : 7.10.1.80 2048 Bytes 11/25/2009 19:05:09
VBASE015.VDF : 7.10.1.81 2048 Bytes 11/25/2009 19:05:10
VBASE016.VDF : 7.10.1.82 2048 Bytes 11/25/2009 19:05:10
VBASE017.VDF : 7.10.1.83 2048 Bytes 11/25/2009 19:05:10
VBASE018.VDF : 7.10.1.84 2048 Bytes 11/25/2009 19:05:11
VBASE019.VDF : 7.10.1.85 2048 Bytes 11/25/2009 19:05:12
VBASE020.VDF : 7.10.1.86 2048 Bytes 11/25/2009 19:05:12
VBASE021.VDF : 7.10.1.87 2048 Bytes 11/25/2009 19:05:12
VBASE022.VDF : 7.10.1.88 2048 Bytes 11/25/2009 19:05:12
VBASE023.VDF : 7.10.1.89 2048 Bytes 11/25/2009 19:05:12
VBASE024.VDF : 7.10.1.90 2048 Bytes 11/25/2009 19:05:13
VBASE025.VDF : 7.10.1.91 2048 Bytes 11/25/2009 19:05:13
VBASE026.VDF : 7.10.1.92 2048 Bytes 11/25/2009 19:05:13
VBASE027.VDF : 7.10.1.93 2048 Bytes 11/25/2009 19:05:13
VBASE028.VDF : 7.10.1.94 2048 Bytes 11/25/2009 19:05:14
VBASE029.VDF : 7.10.1.95 2048 Bytes 11/25/2009 19:05:14
VBASE030.VDF : 7.10.1.96 2048 Bytes 11/25/2009 19:05:14
VBASE031.VDF : 7.10.1.125 197632 Bytes 11/30/2009 06:31:05
Version du moteur : 8.2.1.88
AEVDF.DLL : 8.1.1.2 106867 Bytes 11/8/2009 06:38:52
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 11/29/2009 19:05:37
AESCN.DLL : 8.1.2.5 127346 Bytes 11/8/2009 06:38:46
AESBX.DLL : 8.1.1.1 246132 Bytes 11/8/2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 12/1/2009 06:31:08
AEPACK.DLL : 8.2.0.3 422261 Bytes 11/8/2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 11/8/2009 06:38:38
AEHEUR.DLL : 8.1.0.184 2146681 Bytes 12/1/2009 06:31:07
AEHELP.DLL : 8.1.7.5 237942 Bytes 11/29/2009 19:05:29
AEGEN.DLL : 8.1.1.78 364917 Bytes 11/29/2009 19:05:26
AEEMU.DLL : 8.1.1.0 393587 Bytes 11/8/2009 06:38:26
AECORE.DLL : 8.1.8.4 180599 Bytes 12/1/2009 06:31:06
AEBB.DLL : 8.1.0.3 53618 Bytes 11/8/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 8/26/2009 14:13:31
AVREP.DLL : 8.0.0.3 155905 Bytes 1/20/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 11/7/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 3/24/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 1/30/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 1/28/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 11/7/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 6/17/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/2/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +JOKE,+PFS,+SPR,

Début de la recherche : Tuesday, December 01, 2009 08:13

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gxvxcserv.sys\modules
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gxvxcserv.sys\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gxvxcserv.sys\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gxvxcserv.sys\imagepath
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gxvxcserv.sys\group
[INFO] L'entrée d'enregistrement n'est pas visible.
'8703' objets ont été contrôlés, '5' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'c.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NokiaMServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ibmmessages.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EzEjMnAp.Exe' - '1' module(s) sont contrôlés
Processus de recherche 'QCWLICON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'TpScrex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QCTRAY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'TPONSCR.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TPHKMGR.exe' - '1' module(s) sont contrôlés
Processus de recherche 'tp4serv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TpKmpSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'snmp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QCONSVC.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ibmpmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'53' processus ont été contrôlés avec '53' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '77' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\alex\Local Settings\Temp\sshnas.dll
[RESULTAT] Contient le cheval de Troie TR/Agent.224256.A
C:\WINDOWS\system32\sshnas.dll
[RESULTAT] Contient le cheval de Troie TR/Agent.224256.A

Début de la désinfection :
C:\Documents and Settings\alex\Local Settings\Temp\sshnas.dll
[RESULTAT] Contient le cheval de Troie TR/Agent.224256.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7d8eb6.qua' !
C:\WINDOWS\system32\sshnas.dll
[RESULTAT] Contient le cheval de Troie TR/Agent.224256.A
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7d8eb7.qua' !


Fin de la recherche : Tuesday, December 01, 2009 22:44
Temps nécessaire: 1:21:24 Heure(s)

La recherche a été effectuée intégralement

8807 Les répertoires ont été contrôlés
466097 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
466093 Fichiers non infectés
8104 Les archives ont été contrôlées
3 Avertissements
4 Consignes
8703 Des objets ont été contrôlés lors du Rootkitscan
5 Des objets cachés ont été trouvés

PS : les fichiers "infectés" sont toujours dans la zone quarantaine d'Avira. Faut-il que je les mette à la poubelle ?

A très vite

Elina

Voici le rapport SmitFraudFix édité ce jour :

SmitFraudFix v2.424

Scan done at 23:39:08.15, 01-Dec-09
Run from C:\Documents and Settings\alex\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\DOCUME~1\alex\LOCALS~1\Temp\c.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\alex\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\alex\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 82.255.112.15
DNS Server Search Order: 192.168.0.1

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Intel(R) PRO/100 VE Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 85.255.112.15
DNS Server Search Order: 85.255.112.215

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

A très vite

Elina

Juste en passant... Toujours impossible d'ouvrir MalwareByte's Antimalware, une fois celui-ci correctement installé. Je n'arrive pas à savoir pourquoi.
C'est peut-être là que le bât blesse... Qu'en penses-tu ?

Elina

Hello,

Ne t'affoles pas pour MBAM, il faut d'abord fixer les dns :

• Redémarre l'ordinateur en mode sans échec (au démarrage de l'ordinateur, tapote F8 ou F5)
• Double-clique sur SmitfraudFix.exe
• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
• A la question : Voulez-vous nettoyer le registre ? réponds O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  Le fix déterminera si le fichier wininet.dll est infecté.
  A la question : Corriger le fichier infecté ? réponds O (oui) et presse Entrée pour remplacer le fichier corrompu.
• Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
• Copie-colle le rapport dans ton prochain message.

Poste le rapport avant de faire cette manip car il sera effacé ...

• Double-clique sur SmitfraudFix.exe
• Sélectionne 5 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
• Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
• Copie-colle le rapport dans ton prochain message.

Merci

@+

Hello !

Voici le premier rapport SmitFraudFix.exe :

SmitFraudFix v2.424

Scan done at 6:44:34.87, 03-Dec-09
Run from C:\Documents and Settings\alex\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 82.255.112.15
DNS Server Search Order: 192.168.0.1

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Intel(R) PRO/100 VE Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 85.255.112.15
DNS Server Search Order: 85.255.112.215

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

A tout de suite pour le second...

Et voilà le second rapport après avoir sélection 5 sur SmitFraudfix.

SmitFraudFix v2.424

Scan done at 7:11:03.28, 03-Dec-09
Run from C:\Documents and Settings\alex\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 82.255.112.15
DNS Server Search Order: 192.168.0.1

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Intel(R) PRO/100 VE Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 85.255.112.15
DNS Server Search Order: 85.255.112.215

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.15,85.255.112.215

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 82.255.112.15
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1


A très vite

Elina

Hello, les détournements DNS on été supprimés !

Essaie de re-lancer MBAM, si c'est un problème de mise à jour, dis le-moi ! Si il ne veut pas démarrer, désinstalle-le et ré-installe ...

@+

Coucou !

Chic chic ! Merci pour les DNS (même si un peu chinois tout ça pour moi !) !
Bon... J'ai désinstallé et réinstallé MBAM trois fois... Chaque fois en éteignant, rallumant la machine... L'ordi finit par me dire qu'il ne trouve plus le lecteur C:... C'est la poisse et archi poisse.
MBAM ne fonctionne toujours pas, j'entends par là que, j'ai beau cliquer sur l'icône présente sur mon bureau, une fois le logiciel installé, rien ne se passe (même en attendant de longues minutes en prière devant mon ordi).
Donc, là, je sèche. Qu'en penses-tu ? Que faut-il que je fasse à présent ?

A très vite

Elina

Bon bon bon... Me suis permise d'aller chercher une autre version de MBAM sur Clubic (la dernière), mais ça ne marche pas davantage.
Là, ça me dépasse.
Un dernier petit mot pour t'informer que ce qui se passe là avec MBAM (logiciel impossible à utiliser, l'ordi qui refuse d'ouvrir l'icône sur le bureau, dans la barre de tâches ou dans le menu démarrer) c'est un classique de ma machine... Ca se produit avec d'autres logiciels et c'est particulièrement handicapant.

A très vite

Elina

Hello,

Ok, pour MBAM, on va le laisser de côté 2 minutes ...

1) As-tu désactivé ou supprimé Spybot ?

• Ouvre Spybot
• Va dans le menu Mode --> Mode avancé
• Confirme en cliquant sur oui
• Clique ensuite sur Outil dans la barre de navigation de Spybot (Volet de gauche) puis sur Résident
• Pour désactiver Tea-Timer, il suffit de décocher dans le panneau central :
  Résident TeaTimer (Protection des réglages système fondamentaux) actif

2) On va vérifier si les fichiers du cheval de troie détecté par Antivir sont bel et bien partis :

• Télécharge OTM de OldTimer.
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTM.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
  

  
  :Files
  C:\Documents and Settings\alex\Local Settings\Temp\sshnas.dll
  C:\WINDOWS\system32\sshnas.dll
  
  :Commands
  [EmptyTemp]
  
  

• Retourne dans OTM, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTM.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
  
  Poste-moi le rapport de OTM dispo ici : C:\_OTM\MovedFiles ainsi qu'un nouveau rapport Hijackthis

3) Re-poste moi un nouveau rapport SmitFraudFix (Option 1), je ne suis pas sûr que les DNS aient été fixés ...

Hello !

Voici le rapport OTM :

All processes killed
========== FILES ==========
File/Folder C:\Documents and Settings\alex\Local Settings\Temp\sshnas.dll not found.
File/Folder C:\WINDOWS\system32\sshnas.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: alex
->Temp folder emptied: 5865570 bytes
->Temporary Internet Files folder emptied: 22475941 bytes
->Java cache emptied: 19442284 bytes
->FireFox cache emptied: 62009437 bytes
->Google Chrome cache emptied: 5977185 bytes
->Apple Safari cache emptied: 1458400 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 901522 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 637149 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 64165 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
Windows Temp folder emptied: 23967291 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 13492972 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 149.21 mb


OTM by OldTimer - Version 3.1.2.1 log created on 12042009_231135

Files moved on Reboot...

Registry entries deleted on Reboot...

Re-Hello !

Et voilà le rapport SmitFraudFix :

SmitFraudFix v2.424

Scan done at 23:20:25.42, 04-Dec-09
Run from C:\Documents and Settings\alex\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Documents and Settings\alex\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\alex\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 82.255.112.15
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE54C3DA-BE8F-4AF5-B11E-DF93D680FE81}: NameServer=j[j[

HKLM\SYSTEM\CS1\Services\Tcpip\..\{5176A3F7-6436-44C7-8BD3-5C6347771743}: DhcpNameServer=82.255.112.15 192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Bon courage, et bonne lecture ! Au fait... Je ne sais pas si c'est normal, mais mon ordi rame comme jamais. Il lui faut un temps fou pour faire toutes ces manips. Si c'est normal, alors je me tais. Sinon, dis moi si je ne peux pas améliorer quelque chose de mon côté.

A très vite

Elina

Hello,

Elina a écrit:Au fait... Je ne sais pas si c'est normal, mais mon ordi rame comme jamais. Il lui faut un temps fou pour faire toutes ces manips. Si c'est normal, alors je me tais. Sinon, dis moi si je ne peux pas améliorer quelque chose de mon côté.

C'est effectivement pas normal, on pourra faire un peu d'optimisation une fois le pc nettoyé de ses infections ...

Au niveau du rapport, Antivir à bel et bien viré le cheval de troie.

Par contre, pour les DNS, ils n'ont pas correctement été fixés par SmitFraudFix ...

Ré-essaye de télécharger et ré-installer MBAM

@+

Coucou !

Y a rien à faire avec MBAM... J'installe, je lance, ça ne marche pas. Je désinstalle, je reboot, je réinstalle, rien ne se passe. J'ai essayé plusieurs versions. A chaque fois c'est le même cirque. Rien ne se passe.

Que dois-je faire ?

Elina

Re-coucou

A toute fins utiles, je vais réinstaller MBAM. Avant de le lancer, je vais changer son nom : au lieu de s'appeler MBAM.exe, je vais l'appeler Elina.exe. C'est une idée comme ça, mais je me dis que c'est peut-être ce maudit virus qui bloque MBAM.

J'essaye et te tiens au courant.

A très vite

Elina

Bon ben ça ne fonctionne pas non plus... Flûte !

A très vite

Elina

Peut-être que si toi, tu me mets un lien "MBAM" renommé, ça marchera mieux... Il est fort probable que je ne fasse pas la bonne manip.

A très vite

Elina