[Résolu] Navigation internet difficile, sites inaccessibles. Virus ?

Rapport HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:42, on 01/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\MATLAB701\webserver\bin\win32\matlabserver.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\OpenVPN\bin\openvpn-gui.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Pidgin\pidgin.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom 3.2\lightroom.exe
C:\Program Files\SyncBack\SyncBack.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Microsoft Web Test Recorder Helper - {62355041-605D-4469-84FD-5D66ED67A7E3} - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: StExBar - {367D8B32-F9FD-474b-8E65-9E521F35DE99} - C:\Program Files\StExBar\StExBar.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Taskbar Shuffle] C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [Taskbar Shuffle] C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [Google Update] "C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-329068152-1604221776-682003330-1003 Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User '?')
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O4 - Global Startup: Pidgin.lnk = C:\Program Files\Pidgin\pidgin.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save to AnyNotes - C:\Program Files\AnyNotes 5.0\an_menu1.htm
O9 - Extra button: Save to AnyNotes - {0CEC0F8D-EA18-4559-9FF9-4BF679CA3740} - C:\Program Files\AnyNotes 5.0\an_menu1.htm
O9 - Extra 'Tools' menuitem: Save to AnyNotes - {0CEC0F8D-EA18-4559-9FF9-4BF679CA3740} - C:\Program Files\AnyNotes 5.0\an_menu1.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{770A7826-3701-40D6-A4E6-1ECE586CF24E}: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CCS\Services\Tcpip\..\{C14B36BD-1BA9-4CCF-BFDF-BAED0B8765B8}: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB701\webserver\bin\win32\matlabserver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 14775 bytes

Merci !

Ça n'inspire vraiment personne pour le moment... ?

Bonsoir,

Détrounement de DNS ... ce qui explique les soucis de connexion, mais d'autres choses me trouble :



Tu gères un site/serveur/forum ? Tu utilises une connexion en VPN ?


Pour voir plus en détails :

Télécharge OTL (de Old Timer) sur ton bureau.

Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
ipsec.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT

Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.

A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
PS : Les rapports sont aussi enregistrés sur le bureau

Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

Bonsoir, merci pour ton aide.

Non je ne gère pas de site/serveur/forum. Les outils que tu as vu me sont parfois utiles dans mon travail. De même, il m'arrive en effet de me connecter à un réseau distant en VPN.

Les deux rapports OTL :
http://www.cijoint.fr/cjlink.php?file=cj201011/cij8QEgY...
http://www.cijoint.fr/cjlink.php?file=cj201011/cijYltTb...

Re,

Ok, on va commencer par rétablir le net, mais on va fouiller plus loin, car je ne vois pas l'origine du détournement de DNS ...

1) Supprime Spybot Search and destroy :

En plus d'être obsolète il pourrait fortement nous gêner pendant les manipulations.

2) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.

:OTL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51

:Commands
[purity]
[emptytemp]

Puis clique sur le bouton Correction en haut à gauche

Si le pc demande à redémarrer accepte.

Poste le rapport de suppression.


3) Télécharge TDSSKiller de Kaspersky sur ton bureau.

Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)

Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

Clique alors sur le bouton "Start Scan".

Laisse le scan s'effectuer.

Dans la fenêtre de résultat, assures-toi que "Malicious objects" ait le statut "Cure"

Pour la partie "Suspicious object" clique sur "Skip" et choisi "Quarantine"

Clique enfin sur "Continue"

Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

Poste son contenu dans ta prochaine réponse.

Rapport de suppression OTL :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijCm5Ib...

Avec TDSSKiller, pour la partie "Suspicious object", il y avait deux fichiers, que j'ai mis en quarantaine :
C:\WINDOWS\System32\Drivers\dtscsi.sys
C:\WINDOWS\System32\Drivers\sptd.sys

Rapport de suppression TDSSKiller :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijYD9ji...

Re,

Bah voilà, du tdss ...

Est-ce que tu as encore des soucis pour accéder au web ?

Ceux en quarantaine, pas sur qu'il soient infecté ...


Pour revoir :

Relance OTL :

Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
/md5start
intelppm.sys
dtscsi.sys
sptd.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT

Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.

A la fin du scan, le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
PS : Les rapports sont aussi enregistrés sur le bureau

Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

On peut dire que les soucis que j'avais en accédant à quelques sites ont disparu.
A condition que tu me rassures sur un point, peux-tu me dire si tu arrives à accéder aux sites :
http://www.malwarebytes.org/
et
http://www.safer-networking.org/fr/download/index.html

Que je sois sûr que c'est bien les sites qui ont un problème (ca serait bizarre quand même mais bon..) et que je ne me traîne pas une cochonnerie qui m'interdirait l'accès à une liste de site... je sais pas... ?

Qu'entends-tu par "Bah voilà, du tdss ..." ?  

Je relance OTL et te joins le rapport tout de suite.

Re,

Non, l'accès au site de MBAM et spybot sont fonctionnel, possible qu'il y ait encore des trucs, on commence juste la désinfection.


TDSS c'est une belle m*rde très en vogue ... qui change de version souvent ...


Après OTL tu ajouteras ceci s'il te plait :


Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

/!\ Ferme tous tes programmes et déconnecte toi d'internet.

/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware

Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.

Clique sur le bouton Scan.

Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.

Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.

Quitte Gmer et réactive tes logiciels de sécurité.

Attention à ne rien tenter par toi même !!

OK.

Mon 2ème rapport OTL :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijErU3G...

Rapport Gmer :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijT7Cif...

Re,

Je serai de nouveau dispo pour la suite ce soir.
Merci pour le boulot déjà accompli, et à ce soir j'espère.

Re,

Et allez, tant qu'à faire, ton MBR est infecté ... (secteur d'amorçage du disque dur ...)


Faisons donc les choses dans l'ordre :

Télécharge Bootkit Remover (de eSageLab) sur ton bureau.

Décompresse Bootkit Remover sur ton bureau.
(Info : si tu ne possèdes pas de décompresseur, 7zip fera l'affaire)

Double-clique sur bootkit_remover.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

Le scan est immédiat, et une fenêtre d'invite de commande noire apparait.

Dans la fenêtre, fais un clic-droit -> "Sélectionner tout", puis appuie sur la touche "Entrée"

Reviens poster ici puis fais un clic-droit "Coller" pour que le contenu apparaisse dans ta réponse.

Tu peux appuyer sur une touche pour fermer la fenêtre de bootkit_remover.

Me revoilà,

Le rapport Bootkit Remover :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijwCDfw...

Merci.

Re,

Tu n'as pas de double-boot sur ce pc ? (Linux/windows, etc ...)

Si non, fais ceci :


Quand tu es prêt :

Ouvre le bloc note de windows :

Clique sur "Démarrer" puis "Exécuter"

Dans la fenêtre tape ceci :

Citation :

notepad.exe

Valide avec "Entrée"

Dans la nouvelle fenêtre, copie-colle le script suivant (sans laisser de ligne blanche en haut)

@echo off
START "bootkit_remover.exe" fix \\.\PhysicalDrive0
exit

Enregistre ce fichier sur ton bureau :

Menu "Fichier" -> "Enregistrer sous"

Assure-toi que "Type de fichier" soit sur "All types (*.*)"

Nomme le fichier "fix.bat" en terminant obligatoirement par l'extension .bat

Double-clic sur "fix.bat" pour le lancer.
(Utilisateur de Vista/Windows 7 : effectue un clic droit et sélectionne "Exécuter en tant qu'administrateur".)

Une nouvelle fenêtre de Bootkit Remover va s'ouvrir.

Un message d'avertissement va apparaitre, choisis "Yes", le pc va redémarrer.

Au redémarrage, tu auras une fenêtre de Bootkit Remover d'ouverte.

Fais un clic-droit dedans -> "Sélectionner tout" puis appuies sur la touche "Entrée"

Fais un clic droit-> copier ici dans ta prochaine réponse pour me fournir le rapport.


/!\ La correction du Master Boot Record peut engendrer la perte du système ou l'accès au disque dur, il convient donc de sauvegarder auparavant tes fichiers important, nous ne sommes jamais à l'abri d'un plantage. /!\

Bonsoir,

Je n'ai pas pu continuer hier soir. Me revoilà.
Non, pas de double boot.

Alors, je pense que ça ne se passe pas comme prévu...
Bon, première chose, l'exécutable de Bootkit Remover que tu m'as fait télécharger ne s'appelant pas bootkit_remover.exe mais remover.exe, j'ai changé le nom dans le .bat. Je me suis bien sur assuré d'avoir fix.bat et remover.exe tous les deux sur le bureau. Mais une fois que j'exécute le script, Bootkit Remover ne se lance pas, au lieu de cela, une fenêtre noire (dos) s'ouvre et se ferme aussitôt une multitude de fois...

Une idée ?

OK c'est bon, j'ai créé un raccourci Windows et j'y ai ajouté l'argument "fix \\.\PhysicalDrive0 ". Je l'exécute et j'ai bien la fenêtre avec message d'avertissement. Je vais cliquer "Oui".
A toute.

OK, le redémarrage s'est bien passé. Par contre, pas de fenêtre Bootkit Remover d'ouverte. Le log peut être ailleurs ? Pas de fichier ressemblant sur le Bureau, ni à la racine de C:

... ?

Re,

Bon j'ai pris la liberté de faire ça. Puisque ça ne fait qu'un scan... ça me semblait pas bien méchant, et au final... assez concluant puisque voilà :

http://www.cijoint.fr/cjlink.php?file=cj201011/cij2eaNf...

Next step ? Car j'ai toujours des sites inaccessibles...  
Merci !

Re,

  ha ben j'aime bien quand çà se passe comme çà  

Très bien joué, on continu, çà c'était que la première partie effectivement.


1) Relance Gmer :

/!\ Ferme tous tes programmes et déconnecte toi d'internet.

/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware

Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.

Clique sur le bouton Scan.

Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.

Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.

Quitte Gmer et réactive tes logiciels de sécurité.

Attention à ne rien tenter par toi même !!


2) Relance OTL :

Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT

Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.

A la fin du scan, le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
PS : Les rapports sont aussi enregistrés sur le bureau

Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

 

Gmer : http://www.cijoint.fr/cjlink.php?file=cj201011/cijkZF4m...
OTL : http://www.cijoint.fr/cjlink.php?file=cj201011/cijpd90R...

Re,

Bon, il va falloir passer à un étape supérieure pour voir si tu as encore des fichiers patché (détourné par l'infection)


Télécharge OTLPEnet sur ton Bureau (Taille > 120 Mo)

Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.

Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.

Patiente le temps de la décompression et de la gravure du CD.

Passe sur le PC bloqué/infecté

Modifie l'ordre de Boot pour démarrer sur le CD

Redémarre ton PC en utilisant le LiveCD venant d'être créé.

Ton système doit montrer un bureau REATOGO-X-PE

Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

Double-clique sur l'icône OTLPE

Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes

Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

L'outil OTL doit se lancer maintenant.

Copie-colle ceci sous "Custom Scan/Fix"

netsvcs
msconfig
drivers32
/md5start
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
sptd.sys
SPTD6893.SYS
ati2mtag.sys
spsys.sys
dtscsi.sys
intelppm.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
redbook.sys
ipsec.sys
termdd.sys
win32k.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles

Presse Run Scan pour démarrer le scan.

Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt

Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

Re,

Vu. Je ferai tout ça ce soir tard, ou plutôt demain.
Merci.

Re,

Voilà tout s'est bien passé.
Le rapport OTLPENet: http://www.cijoint.fr/cjlink.php?file=cj201011/cij6pdeT...

Merci.

Re,

Ok continuons, je vois ce que je voulais :

1) Redémarre ton PC en utilisant le LiveCD venant d'etre créé.

Ton système doit montrer un bureau REATOGO-X-PE

Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

Double-clique sur l'icône OTLPE

Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes

Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

L'outil OTL doit se lancer maintenant

Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"

:OTL
DRV - File not found [Kernel | Disabled] -- D:\DOCUME~1\Nico\LOCALS~1\Temp\mc23.tmp -- (mchInjDrv)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-wind... (Reg Error: Key error.)

:Commands
[emptytemp]
[emptyflash]
[resethosts]

Cliques alors sur "Run Fix"

Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.

Poste la contenu du rapport dans ta prochaine réponse.

Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


2) Télécharge ou Relance MalwareByte's Anti-Malware :

Installe le programme (aide ici)

Lance-le et met à jour la base de définition.

Si tu ne parviens pas à le mettre à jour, suis cette procédure pour le faire manuellement :
http://www.donnemoilinfo.com/sujet/Astuce/maj-malwareby...

Choisi ensuite "Exécuter un examen complet" puis "Rechercher"

Sélectionne les disques dur et clique sur "Lancer l'examen"

Laisse l'analyse se faire (cela peut durer longtemps).

A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).

Puis clique sur "Supprimer la sélection" en bas.

Un redémarrage peut être nécessaire.

Un rapport va s'afficher, enregistre-le sur ton bureau.

ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

Re,

OK pour le Run Fix avec OTLPE. Le rapport : http://www.cijoint.fr/cjlink.php?file=cj201011/cijdguiH...

Le scan MalwareByte's Anti-Malware est en cours. C'est long...  

Et le rapport MalwareByte's : http://www.cijoint.fr/cjlink.php?file=cj201011/cijMKcgl...

C'était pas joli... mais ça va mieux je crois !  
Et en effet, je n'ai plus rencontré de problème de navigation sur internet, pour en revenir à mon problème initial ! Et ça me semble bien plus fluide.

Où en est-on, il reste des tests à faire ?
Merci !

Re,

  Faut effectivement pas trop s'étonner de se retrouver contaminé avec çà :



Tu peux de nouveau accéder au site bloqué auparavant ?

Si oui, non, c'est bon, on fini le ménage :


1) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

Clique sur "Purge d'outils"

Valide l'avertissement par "ok" et laisse le pc redémarrer.


2) Purge ta restauration système :

Elle contient des traces de l'infection, suis ce tuto pour la purger :
http://www.inforumatique.fr/la-restauration-du-systeme-...

(fin du tuto)


3) Mise à jour du système et des logiciels :

Désinstalle via ajout/suppression des programmes :
- Java(TM) 6 Update 7

Vérifie que tes logiciels sont à jour avec un scan comme celui de Secunia :
http://secunia.com/vulnerability_scanning/online/



Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

Installer un parefeu en remplacement de celui de Windows XP :
Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !

Re,

Oui j'ai vu ça...   Ok bin, je ne m'étonne pas donc... Je vais tâcher de faire un peu plus attention.
Bon tout me semble bien réglé. Merci pour les derniers conseils.

Vraiment, merci à toi pour ta patience et tes compétences ! J'ai une grande estime pour les services que vous rendez sur ce genre de forum.

Au plaisir. Mais pas trop vite quand même...  
Salut.

Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.


A bientôt sur les forums Tom's Guide