google qui redirige systématiquement - trojan?
Dernière réponse : dans Sécurité
Bonjour.
Depuis peu, je me rend compte (comme plusieurs utilisateurs dirait-on) que chauq efois que j'effectue une recherche dans google, lorsque je clique sur un résultat de recherche, je suis redirigé sur un site publicitaire...
Voici mon log hijackthis - si qqun peut m'aider... please!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:41, on 2008-09-24
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Rechercher sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpl...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
--
End of file - 9743 bytes
Depuis peu, je me rend compte (comme plusieurs utilisateurs dirait-on) que chauq efois que j'effectue une recherche dans google, lorsque je clique sur un résultat de recherche, je suis redirigé sur un site publicitaire...
Voici mon log hijackthis - si qqun peut m'aider... please!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:41, on 2008-09-24
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Rechercher sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpl...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
--
End of file - 9743 bytes
Autres pages sur : google redirige systematiquement trojan
Lassé par la pub ? Créez un compte
siwhalen,
Relancer HijackThis, appuyer sur [Do a system scan only],
cocher (à gauche) toutes les lignes suivantes (R1 à 09) et
appuyer sur [Fix Checked] pour les supprimer
(rouge = infection, le reste = nettoyage)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
_________________________________________
Télécharger SDFix.
Autre lien : http://www.bleepingcomputer.com/files/sdfix.php
Double cliquez sur SDFix.exe et choisissez Install pour l'extraire dans un dossier sur le Bureau.
Redémarrez votre pc en mode sans échec (appuyer à répétition sur F8 ou F5 sur le logo du bios)
Sélectionnez votre compte
Ouvrez le dossier SDFix qui vient d'être créé sur le Bureau et double-cliquez sur RunThis.bat pour lancer le script.
Appuyez sur "Y" pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis vous demandera d'appuyer sur une touche pour redémarrer.
Appuyez sur une touche pour redémarrer le PC.
Votre système sera plus long pour redémarrer qu'à l'accoutumée car SDFix va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, SDFix terminera son travail et affichera "Finished".
Appuyez sur une touche pour finir l'exécution du script et charger les icônes de votre Bureau.
Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
► Afficher le contenu du fichier Report.txt.
_________________________________________
Afficher les fichiers et répertoires cachés.
Ouvrir Explorer > Outils > Options des dossiers ... cliquez sur l' onglet « Affichage » et ...
cocher --> Afficher les fichiers et dossiers cachés
décocher --> Masquer les extensions des fichiers dont le type est connu
décocher --> Masquer les fichiers protégés du système d' exploitation (recommandé).
Valider [Appliquer] et [OK].
_________________________________________
Supprimer ce répertoire :
C:\Program Files\NetProject
Si nécessaires en mode sans échec.
(redémarrer et au logo du Bios appuyer sur F8 à répétition)
_________________________________________
► Ré-afficher un autre rapport Hijacthis.
.
Relancer HijackThis, appuyer sur [Do a system scan only],
cocher (à gauche) toutes les lignes suivantes (R1 à 09) et
appuyer sur [Fix Checked] pour les supprimer
(rouge = infection, le reste = nettoyage)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
_________________________________________
Télécharger SDFix.
Autre lien : http://www.bleepingcomputer.com/files/sdfix.php
Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
► Afficher le contenu du fichier Report.txt.
_________________________________________
Afficher les fichiers et répertoires cachés.
Valider [Appliquer] et [OK].
_________________________________________
Supprimer ce répertoire :
C:\Program Files\NetProject
Si nécessaires en mode sans échec.
(redémarrer et au logo du Bios appuyer sur F8 à répétition)
_________________________________________
► Ré-afficher un autre rapport Hijacthis.
.
siwhalen,
Essayer en allant en mode sans échec avec prise en charge du réseau.
(redémarrer et appuyer sur F8 au logo du Bios)
Ce qui vous permettra de vous connectez et de télécharger SDFix ou sinon en 2ième lieu ComboFix.
Vérifier le fichier Hosts qui est localiser : C:\Windows\sustem32\drivers\etc\Hosts
Ce fichier n'a pas d'extension, ouvrer le avec le bloc-note (Démarrer --> Tout lesprogrammes --> Accessoires), effacez en le contenu et copier/coller y la ligne suivante :
127.0.0.1 localhost
Essayer le téléchargement de SDFix, sinon de ComboFix, n'utiliser qu'un des 2, SDFix de préférence.
Si vous réussissez à les télécharger, renommer lès genre dsfsdfs.EXE et lancer lès.
__________________________________________
Voici la procédure pour ComboFix.
(À n'utiliser que si vous ne pouvez pas réussi avec SDFix)
Désactiver votre antivirus.
Télécharger sur le bureau Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnectez l'internet et durant la durée de l'étape suivante, n'utilisez pas de votre PC et n'ouvrez aucun programmes. Si ComboFix a besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisser le aller..
Double-cliquer sur Combofix.
Appuyer sur 1 si nécessaire
Attendre la fermeture de l’outil ( 5-10 mn ou plus si infection importante)
/!\Notez qu'une fois que vous avez lancé ComboFix, vous ne devez pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme et même peut-être endommager votre système/!\
► Afficher le rapport.
(vous pouvez aussi le trouver sur C:\Combofix.txt)
___________________________________________
Si vous ne pouvez toujours pas télécharger et/ou lancer les programmes précédents.
Voici les infections dans HijackThis que vous pouvez
cocher (à gauche) et [Fix Checker]
Ouvrer d'abord HijackThis et
appuyer sur [Do a system scan only],
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
____________________________________
Afficher les fichiers et répertoires cachés (procédure au message précédent)
____________________________________
Ensuite ou sinon allez supprimer (les infections) leurs fichiers et le répertoire :
C:\WINDOWS\System32\lanmanwrk.exe
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\kzyjyhov.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\NetProject << et ce répertoire <<
Essayer de supprimer ces fichiers par vous même ou avec UnLocker
Si la suppression ne fonctionne pas.
Copier/ coller le contenu exact de la citation suivante dans le Bloc-Note (Bloc-Note ==> Menu Démarrer --> Tout les programmes --> Accessoires).
Sauvegarder le sous FixFile.BAT
Double-cliquer sur FixFile.bat et valider.
Vérifier si la tâche est réussi.
del "C:\WINDOWS\System32\lanmanwrk.exe"
Attrib "C:\WINDOWS\system32\ntos.exe" -h -s -r
del "C:\WINDOWS\system32\ntos.exe"
Attrib "C:\WINDOWS\system32\kzyjyhov.exe" -h -s -r
del "C:\WINDOWS\system32\kzyjyhov.exe"
Attrib "C:\Program Files\NetProject\sbmntr.exe" -h -s -r
del "C:\Program Files\NetProject\sbmntr.exe"
__________________________________________
Si vous n'avez pas réussi à supprimer les lignes avec HijackThis et les fichiers/répertoire.
Ré-ouvrer le bloc-note copier/coller le contenu exact de la citation suivante.
Sauvegarder sous LigneRun.REG
double-cliquer sur ligneRun.REG
Le fichier Lg04.txt va apparaitre, montrant la localisation dans le registre des fichiers qui étaient à supprimer avec HijackThis .
Aller dans le registre (Démarrer --> Exécuter... entrer regedit et
supprimer les valeurs (à droite dans le registre) correspondantes aux fichiers infectés ou copier le contenu du Ficher Lig04.txt dans votre prochain post.
REGEDIT /e Lg04_2.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
REGEDIT /e Lg04_3.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
REGEDIT /e Lg04_4.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
REGEDIT /e Lg04_5.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
REGEDIT /e Lg04_6.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
REGEDIT /e Lg04_7.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
REGEDIT /e Lg04_8.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
REGEDIT /e Lg04_9.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
REGEDIT /e Lg04_10.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
REGEDIT /e Lg04_11.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
copy Lg04_1.txt +Lg04_2.txt +Lg04_3.txt +Lg04_4.txt +Lg04_5.txt +Lg04_6.txt +Lg04_7.txt +Lg04_8.txt +Lg04_9.txt +Lg04_10.txt +Lg04_11.txt Lg04.txt
del Lg04_*.txt
start notepad Lg04.txt
P.S.: toutes ces entrées au registre correspondent aux lignes 04- dans HijackThis.
Les fichiers/programme associés aux lignes 04 ou endroits du registre sont lancés (RUN) au démarrage du PC ou à l'ouverture d'une session (compte utilisateur). Leurs utilités entre autre vérifier les màj des programmes installé...
Donnez des nouvelles.
Essayer en allant en mode sans échec avec prise en charge du réseau.
(redémarrer et appuyer sur F8 au logo du Bios)
Ce qui vous permettra de vous connectez et de télécharger SDFix ou sinon en 2ième lieu ComboFix.
Vérifier le fichier Hosts qui est localiser : C:\Windows\sustem32\drivers\etc\Hosts
Ce fichier n'a pas d'extension, ouvrer le avec le bloc-note (Démarrer --> Tout lesprogrammes --> Accessoires), effacez en le contenu et copier/coller y la ligne suivante :
127.0.0.1 localhost
Essayer le téléchargement de SDFix, sinon de ComboFix, n'utiliser qu'un des 2, SDFix de préférence.
Si vous réussissez à les télécharger, renommer lès genre dsfsdfs.EXE et lancer lès.
__________________________________________
Voici la procédure pour ComboFix.
(À n'utiliser que si vous ne pouvez pas réussi avec SDFix)
Désactiver votre antivirus.
Télécharger sur le bureau Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnectez l'internet et durant la durée de l'étape suivante, n'utilisez pas de votre PC et n'ouvrez aucun programmes. Si ComboFix a besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisser le aller..
Double-cliquer sur Combofix.
Appuyer sur 1 si nécessaire
Attendre la fermeture de l’outil ( 5-10 mn ou plus si infection importante)
/!\Notez qu'une fois que vous avez lancé ComboFix, vous ne devez pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme et même peut-être endommager votre système/!\
► Afficher le rapport.
(vous pouvez aussi le trouver sur C:\Combofix.txt)
___________________________________________
Si vous ne pouvez toujours pas télécharger et/ou lancer les programmes précédents.
Voici les infections dans HijackThis que vous pouvez
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
____________________________________
Afficher les fichiers et répertoires cachés (procédure au message précédent)
____________________________________
Ensuite ou sinon allez supprimer (les infections) leurs fichiers et le répertoire :
C:\WINDOWS\System32\lanmanwrk.exe
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\kzyjyhov.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\NetProject << et ce répertoire <<
Essayer de supprimer ces fichiers par vous même ou avec UnLocker
Si la suppression ne fonctionne pas.
Citation :
Attrib "C:\WINDOWS\System32\lanmanwrk.exe" -h -s -rdel "C:\WINDOWS\System32\lanmanwrk.exe"
Attrib "C:\WINDOWS\system32\ntos.exe" -h -s -r
del "C:\WINDOWS\system32\ntos.exe"
Attrib "C:\WINDOWS\system32\kzyjyhov.exe" -h -s -r
del "C:\WINDOWS\system32\kzyjyhov.exe"
Attrib "C:\Program Files\NetProject\sbmntr.exe" -h -s -r
del "C:\Program Files\NetProject\sbmntr.exe"
__________________________________________
Si vous n'avez pas réussi à supprimer les lignes avec HijackThis et les fichiers/répertoire.
Ré-ouvrer le bloc-note copier/coller le contenu exact de la citation suivante.
Citation :
REGEDIT /e Lg04_1.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunREGEDIT /e Lg04_2.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
REGEDIT /e Lg04_3.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
REGEDIT /e Lg04_4.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
REGEDIT /e Lg04_5.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
REGEDIT /e Lg04_6.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
REGEDIT /e Lg04_7.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
REGEDIT /e Lg04_8.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
REGEDIT /e Lg04_9.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
REGEDIT /e Lg04_10.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
REGEDIT /e Lg04_11.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
copy Lg04_1.txt +Lg04_2.txt +Lg04_3.txt +Lg04_4.txt +Lg04_5.txt +Lg04_6.txt +Lg04_7.txt +Lg04_8.txt +Lg04_9.txt +Lg04_10.txt +Lg04_11.txt Lg04.txt
del Lg04_*.txt
start notepad Lg04.txt
P.S.: toutes ces entrées au registre correspondent aux lignes 04- dans HijackThis.
Les fichiers/programme associés aux lignes 04 ou endroits du registre sont lancés (RUN) au démarrage du PC ou à l'ouverture d'une session (compte utilisateur). Leurs utilités entre autre vérifier les màj des programmes installé...
Donnez des nouvelles.
Bon alors...
J'ai finalement réussi èa télécharger sdfix. Par contre, lorsque je le lance en mode sans échec, je le message d'erreur concernant "chemin d'accès introuvable"
Il m'a quand même sorti un rapport au redémarage en mode normal:
Rebooting
Checking Files :
Trojan Files Found:
Could Not Remove C:\WINDOWS\system32\drivers\TDSSserv.sys
Could Not Remove C:\WINDOWS\system32\drivers\tdssserv.sys
Could Not Remove C:\WINDOWS\system32\tdssadw.dll
Could Not Remove C:\WINDOWS\system32\tdssinit.dll
Could Not Remove C:\WINDOWS\system32\tdssl.dll
Could Not Remove C:\WINDOWS\system32\tdsslog.dll
Could Not Remove C:\WINDOWS\system32\tdssmain.dll
Could Not Remove C:\WINDOWS\system32\tdssserf.dll
Could Not Remove C:\WINDOWS\system32\tdssservers.dat
Could Not Remove C:\WINDOWS\system32\drivers\tdssserv.sys
Could Not Remove C:\WINDOWS\system32\tdssadw.dll
Could Not Remove C:\WINDOWS\system32\tdssinit.dll
Could Not Remove C:\WINDOWS\system32\tdssl.dll
Could Not Remove C:\WINDOWS\system32\tdsslog.dll
Could Not Remove C:\WINDOWS\system32\tdssmain.dll
Could Not Remove C:\WINDOWS\system32\tdssserf.dll
Could Not Remove C:\WINDOWS\system32\tdssservers.dat
Folder C:\WINDOWS\system32\247880 - Removed
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-26 07:12:23
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Simon & Jenny\ntuser.dat, 0
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"="C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*![:D]( ":D")
isabled:LimeWire"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
C:\WINDOWS\system32\drivers\TDSSserv.sys Found
C:\WINDOWS\system32\drivers\tdssserv.sys Found
C:\WINDOWS\system32\tdssadw.dll Found
C:\WINDOWS\system32\tdssinit.dll Found
C:\WINDOWS\system32\tdssl.dll Found
C:\WINDOWS\system32\tdsslog.dll Found
C:\WINDOWS\system32\tdssmain.dll Found
C:\WINDOWS\system32\tdssserf.dll Found
C:\WINDOWS\system32\tdssservers.dat Found
C:\WINDOWS\system32\drivers\tdssserv.sys Found
C:\WINDOWS\system32\tdssadw.dll Found
C:\WINDOWS\system32\tdssinit.dll Found
C:\WINDOWS\system32\tdssl.dll Found
C:\WINDOWS\system32\tdsslog.dll Found
C:\WINDOWS\system32\tdssmain.dll Found
C:\WINDOWS\system32\tdssserf.dll Found
C:\WINDOWS\system32\tdssservers.dat Found
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Sat 13 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 28 Aug 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 11 Sep 2008 20,487 A.SHR --- "C:\Program Files\McAfee\MQC\MRU.bak"
Thu 11 Sep 2008 265 A.SHR --- "C:\Program Files\McAfee\MQC\qcconf.bak"
Thu 22 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\Simon & Jenny\Application Data\U3\temp\Launchpad Removal.exe"
Finished!
----------------------------------------------------------------------------------------
Aussi, les 4 fichiers auxquels tu fais référence dans hijackthis n'y était plus lors du dernier scan. Alors je post un nouveau log hijackthis en espérant qu'on y voit plus clair![:)]( ":)")
à suivre...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:47:32, on 2008-09-26
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpl...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
--
End of file - 3697 bytes
J'ai finalement réussi èa télécharger sdfix. Par contre, lorsque je le lance en mode sans échec, je le message d'erreur concernant "chemin d'accès introuvable"
Il m'a quand même sorti un rapport au redémarage en mode normal:
Rebooting
Checking Files :
Trojan Files Found:
Could Not Remove C:\WINDOWS\system32\drivers\TDSSserv.sys
Could Not Remove C:\WINDOWS\system32\drivers\tdssserv.sys
Could Not Remove C:\WINDOWS\system32\tdssadw.dll
Could Not Remove C:\WINDOWS\system32\tdssinit.dll
Could Not Remove C:\WINDOWS\system32\tdssl.dll
Could Not Remove C:\WINDOWS\system32\tdsslog.dll
Could Not Remove C:\WINDOWS\system32\tdssmain.dll
Could Not Remove C:\WINDOWS\system32\tdssserf.dll
Could Not Remove C:\WINDOWS\system32\tdssservers.dat
Could Not Remove C:\WINDOWS\system32\drivers\tdssserv.sys
Could Not Remove C:\WINDOWS\system32\tdssadw.dll
Could Not Remove C:\WINDOWS\system32\tdssinit.dll
Could Not Remove C:\WINDOWS\system32\tdssl.dll
Could Not Remove C:\WINDOWS\system32\tdsslog.dll
Could Not Remove C:\WINDOWS\system32\tdssmain.dll
Could Not Remove C:\WINDOWS\system32\tdssserf.dll
Could Not Remove C:\WINDOWS\system32\tdssservers.dat
Folder C:\WINDOWS\system32\247880 - Removed
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-26 07:12:23
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Simon & Jenny\ntuser.dat, 0
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"="C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*
isabled:LimeWire"[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
C:\WINDOWS\system32\drivers\TDSSserv.sys Found
C:\WINDOWS\system32\drivers\tdssserv.sys Found
C:\WINDOWS\system32\tdssadw.dll Found
C:\WINDOWS\system32\tdssinit.dll Found
C:\WINDOWS\system32\tdssl.dll Found
C:\WINDOWS\system32\tdsslog.dll Found
C:\WINDOWS\system32\tdssmain.dll Found
C:\WINDOWS\system32\tdssserf.dll Found
C:\WINDOWS\system32\tdssservers.dat Found
C:\WINDOWS\system32\drivers\tdssserv.sys Found
C:\WINDOWS\system32\tdssadw.dll Found
C:\WINDOWS\system32\tdssinit.dll Found
C:\WINDOWS\system32\tdssl.dll Found
C:\WINDOWS\system32\tdsslog.dll Found
C:\WINDOWS\system32\tdssmain.dll Found
C:\WINDOWS\system32\tdssserf.dll Found
C:\WINDOWS\system32\tdssservers.dat Found
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Sat 13 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 28 Aug 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 11 Sep 2008 20,487 A.SHR --- "C:\Program Files\McAfee\MQC\MRU.bak"
Thu 11 Sep 2008 265 A.SHR --- "C:\Program Files\McAfee\MQC\qcconf.bak"
Thu 22 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\Simon & Jenny\Application Data\U3\temp\Launchpad Removal.exe"
Finished!
----------------------------------------------------------------------------------------
Aussi, les 4 fichiers auxquels tu fais référence dans hijackthis n'y était plus lors du dernier scan. Alors je post un nouveau log hijackthis en espérant qu'on y voit plus clair
à suivre...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:47:32, on 2008-09-26
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpl...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
--
End of file - 3697 bytes
Je viens tout juste de poster mon dernier message...
J'ai effectué une recherche sur google, et devine quoi... je ne suis plus redirigé! YEAH!![:D]( ":D")
En plus, comme ma boite de courriel est gmail, je n'y avais plus accès, et voilà que je peux y accéder. Alors, jusqu'ici tout va bien!![:wahoo:]( ":wahoo:")
Je quitte pour le travail, je referai un test au retour, et je reviendrai poster pour indiquer si tout est rentré dans l'ordre...
Dans tous les cas, merci!
J'ai effectué une recherche sur google, et devine quoi... je ne suis plus redirigé! YEAH!
En plus, comme ma boite de courriel est gmail, je n'y avais plus accès, et voilà que je peux y accéder. Alors, jusqu'ici tout va bien!
Je quitte pour le travail, je referai un test au retour, et je reviendrai poster pour indiquer si tout est rentré dans l'ordre...
Dans tous les cas, merci!
siwhalen,
Allez vérifier si ces lignes qui sont utiles peuvent être restaurées avec HijackThis.
Restauration de lignes avec HijackThis.
Lancer HijackThis, appuyer sur [View the list of backups] ,
cocher la/les ligne(s) à restaurer (pour les 2 lignes suivante) et
appuyer sur [Restore] à droite.
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
_________________________________________
Désactivez votre antivirus.Téléchargez sur votre bureau SmitfraudFix (S!Ri) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Double-cliquez sur SmitfraudFix.exe,
Choisissez l'option 1- Recherche et valider.
► Afficher le rapport qui sera généré dans votre prochaine réponse.
Et faites l'option 2 immédiatement.
Redémarrer l'ordinateur en mode sans échec (lorsque le logo du Bios apparait appuyer à répétition sur la touche F8 ou F5 )
Avec les flèches de direction choisissez le Mode sans échec .
Choisissez votre session habituelle et non la session Administrateur.
Double cliquez sur le dossier SmitfraudFix qui est sur le bureau,
double cliquez sur smitfraudfix.cmd.
Sélectionner l'option 2 - Nettoyage.
À voulez-vous nettoyer le registre ? répondez O (oui)
Corriger le fichier infecté ? répondez O (oui)
Afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté, dans ce cas, répondre O (oui)
À "Corriger le fichier infecté ?" pour remplacer le fichier corrompu.
Lorsque cette l'option 2 sera terminée, redémarrer en mode normal et
► Afficher le rapport SmitFraudFix. C:\rapport.txt
Réactivez votre antivirus.
_________________________________________
Télécharger Malwarebytes - & - Tutoriel Malwarebytes . Dans [Paramètre] vous pouvez mettre en Français.
Installer et mettez à jours Malwarebytes.
Redémarrer en mode sans échec (au logo du Bios appuyer à répétition sur F8 ou F5).
Lancer une Recherche "Complet", lorsque terminé appuyer sur "Supprimer la sélection".
► Afficher le rapport Malwarebytes sur votre prochain post.
_________________________________________
Télécharger CCleaner - & - Tutoriel CCleaner .
Installer et lancer CCleaner.
Appuyer sur [Analyse] et [Lancer le Nettoyage].
Utiliser CCleaner après chaque session sur le net, installation/désinstallation de logiciels et/ou avant de fermer le PC.
________________________________________
Si vous avez eu des problèmes à télécharger et/ou utiliser (SmitFraudFix et Malwarebytes).
Afficher les fichiers et répertoires cachés.
Aller en mode sans échec si nécessaire.
Copier/coller le contenu exact de la citation dans le Bloc-Note
Sauvegarder sou Fix.Reg
Double-cliquer sur Fix.Reg et valider
[-HKEY_LOCAL_MACHINE\Software\tdss]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Minimal\tdssserv.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Network\tdssserv.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Minimal\tdssserv.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Network\tdssserv.sys]
Téléchargez OTMoveIt2 (de Old_Timer) sur votre Bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2...
Double-cliquez sur OTMoveIt2.exe pour le lancer.
Assurez vous que la case "Unregister Dll's and Ocx's" soit bien cochée !
Copiez / collez les lignes suivantes (en gras) dans la fenêtre de gauche de OTMoveIt nommé "Paste List of Files/Folders to be moved".
C:\WINDOWS\system32\drivers\TDSSserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\System32\lanmanwrk.exe
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\kzyjyhov.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\NetProject
Cliquez sur MoveIt! pour lancer la suppression.
Si OTMoveIt propose de redémarrer votre PC, acceptez.
Lorsque un résultat apparaît dans le cadre Results, cliquez sur Exit>.
► [#9b0063]Afficher le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.
____________________________________
Si vous n'avez pu télécharger OTMoveIT2.
Copier/coller le conteu exact de la citation dans le Bloc-Note
Sauvegarder sous Fix.Bat
Double-cliquer sur Fix.Bat et valider
del "C:\WINDOWS\system32\drivers\TDSSserv.sys"
attrib "C:\WINDOWS\system32\tdssadw.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssadw.dll"
del "C:\WINDOWS\system32\tdssadw.dll"
attrib "C:\WINDOWS\system32\tdssinit.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssinit.dll"
del "C:\WINDOWS\system32\tdssinit.dll"
attrib "C:\WINDOWS\system32\tdssl.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssl.dll"
del "C:\WINDOWS\system32\tdssl.dll"
attrib "C:\WINDOWS\system32\tdsslog.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdsslog.dll"
del "C:\WINDOWS\system32\tdsslog.dll"
attrib "C:\WINDOWS\system32\tdssmain.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssmain.dll"
del "C:\WINDOWS\system32\tdssmain.dll"
attrib "C:\WINDOWS\system32\tdssserf.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssserf.dll"
del "C:\WINDOWS\system32\tdssserf.dll"
attrib "C:\WINDOWS\system32\tdssservers.dat" -h -s -r
del "C:\WINDOWS\system32\tdssservers.dat"
attrib "C:\WINDOWS\system32\drivers\tdssserv.sys" -h -s -r
del "C:\WINDOWS\system32\drivers\tdssserv.sys"
Allez vérifier si ces lignes qui sont utiles peuvent être restaurées avec HijackThis.
Restauration de lignes avec HijackThis.
Lancer HijackThis, appuyer sur [View the list of backups] ,
cocher la/les ligne(s) à restaurer (pour les 2 lignes suivante) et
appuyer sur [Restore] à droite.
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
_________________________________________
Désactivez votre antivirus.
Citation :
process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.► Afficher le rapport qui sera généré dans votre prochaine réponse.
Et faites l'option 2 immédiatement.
Afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
► Afficher le rapport SmitFraudFix. C:\rapport.txt
Réactivez votre antivirus.
_________________________________________
Télécharger Malwarebytes - & - Tutoriel Malwarebytes .
► Afficher le rapport Malwarebytes sur votre prochain post.
_________________________________________
Télécharger CCleaner - & - Tutoriel CCleaner .
Utiliser CCleaner après chaque session sur le net, installation/désinstallation de logiciels et/ou avant de fermer le PC.
________________________________________
Si vous avez eu des problèmes à télécharger et/ou utiliser (SmitFraudFix et Malwarebytes).
Afficher les fichiers et répertoires cachés.
Aller en mode sans échec si nécessaire.
Citation :
Windows Registry Editor Version 5.00[-HKEY_LOCAL_MACHINE\Software\tdss]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Minimal\tdssserv.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Network\tdssserv.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Minimal\tdssserv.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Network\tdssserv.sys]
Téléchargez OTMoveIt2 (de Old_Timer) sur votre Bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2...
C:\WINDOWS\system32\drivers\TDSSserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\System32\lanmanwrk.exe
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\kzyjyhov.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\NetProject
► [#9b0063]Afficher le rapport de OTMoveIt
____________________________________
Si vous n'avez pu télécharger OTMoveIT2.
Citation :
attrib "C:\WINDOWS\system32\drivers\TDSSserv.sys" -h -s -rdel "C:\WINDOWS\system32\drivers\TDSSserv.sys"
attrib "C:\WINDOWS\system32\tdssadw.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssadw.dll"
del "C:\WINDOWS\system32\tdssadw.dll"
attrib "C:\WINDOWS\system32\tdssinit.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssinit.dll"
del "C:\WINDOWS\system32\tdssinit.dll"
attrib "C:\WINDOWS\system32\tdssl.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssl.dll"
del "C:\WINDOWS\system32\tdssl.dll"
attrib "C:\WINDOWS\system32\tdsslog.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdsslog.dll"
del "C:\WINDOWS\system32\tdsslog.dll"
attrib "C:\WINDOWS\system32\tdssmain.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssmain.dll"
del "C:\WINDOWS\system32\tdssmain.dll"
attrib "C:\WINDOWS\system32\tdssserf.dll" -h -s -r
regsvr32.exe -u “C:\WINDOWS\system32\tdssserf.dll"
del "C:\WINDOWS\system32\tdssserf.dll"
attrib "C:\WINDOWS\system32\tdssservers.dat" -h -s -r
del "C:\WINDOWS\system32\tdssservers.dat"
attrib "C:\WINDOWS\system32\drivers\tdssserv.sys" -h -s -r
del "C:\WINDOWS\system32\drivers\tdssserv.sys"
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumGoogle redirige
- ForumVirus - google redirige
- ForumGoogle redirige vers pub
- ForumGoogle redirige vers d'autres sites
- ForumGoogle me redirige sur des mauvais sites
- ForumGoogle redirige vers autres sites
- ForumPage internet google redirige
- ForumGoogle me redirige vers d'autre site
- ForumResultat google redirige
- ForumPage google redirige
- Voir plus
