virus winlognn.exe

[themaster]

J'ai chopé cette saleté de virus "winlognn.exe", hijackthis va suffire pour m'en débarrasser?

edit:
la photo du coupable:


J'ai pu identifier un autre coupable csrssc.exe ( à ne pas confondre avec csrss.exe qui semble être un exe légitime de XP tout comme winlogon.exe si je ne m'abuse) Il a désactivé mon Antivir (Antivira)
Et il y a winlogon.exe qui demande l'acces au network toutes les 5 min accésoirement.

J'ai essayé de m'en débarrasser avec spy bot mais il revient plus vite que son ombre et avec Doctor Web idem.

Rapport hijackthis (fait en safe mode):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:35:07, on 01/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32 askmgr.exe
C:Program FilesSpybot - Search & DestroySpybotSD.exe
C:Documents and SettingsuserBureauHiJackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://www.google.ca/keyword/%s
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.free.fr/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 62.215.195.85:80
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O2 - BHO: C:WINDOWSsystem32hhs3ijndfd.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:WINDOWSsystem32hhs3ijndfd.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O3 - Toolbar: La barre AccessiWeb - {3FC3B053-3708-4F55-88B2-F40405F7930C} - C:PROGRA~1BARRE_~1ACCESS~1.DLL
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:Program FilesOrbitdownloaderGrabPro.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:Program FilesGoogleGoogle ToolbarGoogleToolbar.dll
O4 - HKLM..Run: [PPort11reminder] "C:Program FilesScanSoftPaperPortEregEreg.exe" -r "C:Documents and SettingsAll UsersApplication DataScanSoftPaperPort11ConfigEregEreg.ini"
O4 - HKLM..Run: [VVSN] C:Program FilesVVSNVVSN.exe
O4 - HKLM..Run: [ControlCenter3] C:Program FilesBrotherControlCenter3rctrcen.exe /autorun
O4 - HKLM..Run: [BrMfcWnd] C:Program FilesBrotherBrmfcmonBrMfcWnd.exe /AUTORUN
O4 - HKLM..Run: [IndexSearch] "C:Program FilesScanSoftPaperPortIndexSearch.exe"
O4 - HKLM..Run: [PaperPort PTD] "C:Program FilesScanSoftPaperPortpptd40nt.exe"
O4 - HKLM..Run: [SSBkgdUpdate] "C:Program FilesFichiers communsScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" -Embedding -boot
O4 - HKLM..Run: [NetLimiter] C:Program FilesNetLimiterNetLimiter.exe /s
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSsystem32PSDrvCheck.exe -CheckReg
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [Acronis Scheduler2 Service] "C:Program FilesFichiers communsAcronisSchedule2schedhlp.exe"
O4 - HKLM..Run: [AcronisTimounterMonitor] C:Program FilesAcronisTrueImageHomeTimounterMonitor.exe
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay
O4 - HKLM..Run: [avgnt] "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [basicsmssmenu] "C:Program FilesSeagateBasicsBasics StatusMaxMenuMgrBasics.exe"
O4 - HKLM..Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM..Run: [ioCentre] C:GeniusioCentregTaskBar.exe
O4 - HKLM..Run: [LanguageShortcut] "C:Program FilesCyberLinkPowerDVDLanguageLanguage.exe"
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe -startgui
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_03injusched.exe"
O4 - HKLM..Run: [TrueImageMonitor.exe] C:Program FilesAcronisTrueImageHomeTrueImageMonitor.exe
O4 - HKLM..Run: [WinDVR SchSvr] "C:Program FilesFichiers communsInterVideoSchSvrSchSvr.exe"
O4 - HKLM..Run: [TerraTec Remote Control] "C:Program FilesFichiers communsTerraTecRemoteTTTVRC.exe"
O4 - HKLM..Run: [MSConfig] C:WINDOWSpchealthhelpctrBinariesMSCONFIG.EXE /auto
O4 - HKLM..RunOnce: [SpybotDeletingA6526] command /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKLM..RunOnce: [SpybotDeletingC9008] cmd /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..RunOnce: [SpybotDeletingB3242] command /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKCU..RunOnce: [SpybotDeletingD6635] cmd /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-21-1547161642-926492609-682003330-500..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Administrateur')
O4 - HKUSS-1-5-21-1547161642-926492609-682003330-500..RunOnce: [SpybotDeletingB205] command /c del "C:WINDOWSsystem32crypts.dll_old" (User 'Administrateur')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-PCTV Sat.lnk.disabled
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:Program FilesInterVideoCommonBinWinCinemaMgr.exe
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk.disabled
O4 - Global Startup: WinManager.lnk = C:Program FilesPC-TVWinManagerWinManager.exe
O4 - Global Startup: WinManager.lnk.disabled
O8 - Extra context menu item: &Download by Orbit - res://C:Program FilesOrbitdownloaderorbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:Program FilesOrbitdownloaderorbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:Program FilesOrbitdownloaderorbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:Program FilesOrbitdownloaderorbitmxt.dll/202
O8 - Extra context menu item: Download all with Free Download Manager - file://C:Program FilesFree Download Managerdlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:Program FilesFree Download Managerdlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:Program FilesFree Download Managerdlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:Program FilesFree Download Managerdllink.htm
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:WINDOWSwebOpenFrame.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:Program FilesFichiers communsSourceTecSWF CatcherInternetExplorer.htm
O8 - Extra context menu item: Surligner en Vert - C:WINDOWSwebMarqueurFluoGreen.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:Program FilesFree Download Managerdlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:Program FilesFree Download Managerdllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:Program FilesFree Download Managerdlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:Program FilesFree Download Managerdlfvideo.htm
O8 - Extra context menu item: Voir les cookies - C:WINDOWSwebshowcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:Program FilesGoogleGoogle GearsInternet Explorer.5.4.2gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:Program FilesGoogleGoogle GearsInternet Explorer.5.4.2gears.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:Program FilesFichiers communsSourceTecSWF CatcherInternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:Program FilesFichiers communsSourceTecSWF CatcherInternetExplorer.htm
O9 - Extra button: @C:Program FilesMessengerMsgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: @C:Program FilesMessengerMsgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:Program FilesFree Download Managerfumfumiebtn.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) -
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.5.0) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) -
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) -
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLMSystemCCSServicesTcpip..{1B6334B7-9F4A-4C34-9857-4D9D49908843}: NameServer = 80.10.246.2,80.10.246.132
O17 - HKLMSystemCCSServicesTcpip..{9CE1F54D-FBA1-4BAC-83F5-9ED5C472CDDF}: NameServer = 80.10.246.2,80.10.246.132
O17 - HKLMSystemCS1ServicesTcpip..{1B6334B7-9F4A-4C34-9857-4D9D49908843}: NameServer = 80.10.246.2,80.10.246.132
O17 - HKLMSystemCS2ServicesTcpip..{1B6334B7-9F4A-4C34-9857-4D9D49908843}: NameServer = 80.10.246.2,80.10.246.132
O17 - HKLMSystemCS3ServicesTcpip..{1B6334B7-9F4A-4C34-9857-4D9D49908843}: NameServer = 80.10.246.2,80.10.246.132
O17 - HKLMSystemCS4ServicesTcpip..{1B6334B7-9F4A-4C34-9857-4D9D49908843}: NameServer = 80.10.246.2,80.10.246.132
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:WINDOWSsystem32hhs3ijndfd.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:Program FilesFichiers communsAcronisSchedule2schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:Program FilesSeagateBasicsServiceSyncServicesBasics.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: gearsec - GEAR Software - C:WINDOWSsystem32gearsec.exe
O23 - Service: Google Update Service (gupdate1c9186410e8ac90) (gupdate1c9186410e8ac90) - Google Inc. - C:Program FilesGoogleUpdateGoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver1150Intel 32IDriverT.exe
O23 - Service: IEPro - Unknown owner - C:Program Filesinternet explorerpluginsIEpro.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:Program Filesma-config.commaconfservice.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:Program FilesWinPcap pcapd.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:Program FilesSygateSPFsmc.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:Program FilesFichiers communsAcronisFomatikTrueImageTryStartService.exe

--
End of file - 13467 bytes

[Grego]

Salut,

Tu fix:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 62.215.195.85:80
O2 - BHO: C:WINDOWSsystem32hhs3ijndfd.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:WINDOWSsystem32hhs3ijndfd.dll
O4 - HKLM..Run: [PPort11reminder] "C:Program FilesScanSoftPaperPortEregEreg.exe" -r "C:Documents and SettingsAll UsersApplication DataScanSoftPaperPort11ConfigEregEreg.ini"
O4 - HKLM..Run: [VVSN] C:Program FilesVVSNVVSN.exe
O4 - HKLM..Run: [IndexSearch] "C:Program FilesScanSoftPaperPortIndexSearch.exe"
O4 - HKLM..Run: [PaperPort PTD] "C:Program FilesScanSoftPaperPortpptd40nt.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [WinDVR SchSvr] "C:Program FilesFichiers communsInterVideoSchSvrSchSvr.exe"
O4 - HKLM..RunOnce: [SpybotDeletingA6526] command /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKLM..RunOnce: [SpybotDeletingC9008] cmd /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKCU..RunOnce: [SpybotDeletingB3242] command /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKCU..RunOnce: [SpybotDeletingD6635] cmd /c del "C:DOCUME~1userLOCALS~1Tempcsrssc.exe"
O4 - HKUSS-1-5-21-1547161642-926492609-682003330-500..RunOnce: [SpybotDeletingB205] command /c del "C:WINDOWSsystem32crypts.dll_old" (User 'Administrateur')
O4 - Startup: Registration-PCTV Sat.lnk.disabled
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk.disabled
O4 - Global Startup: WinManager.lnk.disabled
O8 - Extra context menu item: Surligner en Vert - C:WINDOWSwebMarqueurFluoGreen.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:Program FilesFree Download Managerdlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:Program FilesFree Download Managerdllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:Program FilesFree Download Managerdlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:Program FilesFree Download Managerdlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:WINDOWSsystem32hhs3ijndfd.dll

Si dans ton navigateur quand tu click droit il y a des trucs style "télécharger avec Free Download Manager" et que tu t'en sert régulièrement, tu peux ne pas fixer les ligne O8. Mais bon comme moi je connais pas je fixerais.

- Ensuite, tu télécharges Malwarebytes anti Malware

Une fois installé tu le lance, il se met à jour. Ferme le puis redémarre en mode sans echec (F8 au démarrage).
Désactive Antivir temporairement (click droit tu décoche Activer antivir Guard et du coup si possible déconnecte toi d'internet pour l'instant)

Là ouvre de nouveau MBAM , tu cliques sur "Exécuter un examen complet" et "Rechercher"

Pense à enregistrer le rapport qu'il va générer, et colle le ici.

[r@in | b0w]

Bonjour.

_ Ta version d'Internet Explorer n'est pas à jour non plus mais on s'en chargera plus tard.

_ Je serai d'avis de lancer aussi ComboFix.

Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaître à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

_ Les lignes O4 - HKLM..RunOnce: [SpybotDeletingA6526] command /c del ... correspondent à la quarantaine de Spybot.

Désactive Spybot quand tu utiliseras Mbam.

[Grego]

Mais heuuuu ... Je voulais d'abord voir le rapport mbam, méchant !!

[r@in | b0w]

C'est en attendant de récupérer ma machine, mes deux frères squattent les comptes Steam

[themaster]

* ComboFix qd je le lance rien ne se passe il ya bien la barre de progression verte qui va jusqu'à 100% et puis.... rien.
* La console de récup est installée.

Rapport Mbam:

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1813
Windows 5.1.2600 Service Pack 2

01/03/2009 16:01:51
mbam-log-2009-03-01 (16-01-45).txt

Type de recherche: Examen rapide
Eléments examinés: 65904
Temps écoulé: 4 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOTvideosoft (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOThomeview (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINESYSTEMControlSet002Servicesseneka (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.BHO) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32UACiqcpacws.dll (Trojan.TDSS) -> No action taken.
C:WINDOWSsystem32UACkdsebnpr.dll (Rootkit.TDSS) -> No action taken.
C:WINDOWSsystem32UACsaekrxoa.dll (Trojan.TDSS) -> No action taken.
C:WINDOWSsystem32UACydgytpiu.dll (Rootkit.TDSS) -> No action taken.
C:WINDOWSsystem32driversUACcdddovmr.sys (Rootkit.TDSS) -> No action taken.
C:WINDOWSsystem32uacinit.dll (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32senekadoexdodb.dll (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32driversseneka.sys (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32driverssenekaoomshutv.sys (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32UACkxxvjnwr.dat (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32UACvynmoejy.log (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32senekatjdcgmpp.dat (Trojan.Agent) -> No action taken.

[Grego]

Allo allo !!!!

Type de recherche: Examen rapide
Eléments examinés: 65904
Temps écoulé: 4 minute(s), 24 second(s)

Là ouvre de nouveau MBAM , tu cliques sur "Exécuter un examen complet" et "Rechercher"

J'avais bien précisé Examen Complet !!

Met de côté combofix pour l'instant, r | b s'en occupera

Pour l'instant :

_ Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner

SDFix has been extracted to %systemdrive%SDFix
(Drive that contains the Windows directory - typically C:SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html

Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.

Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

[themaster]

SCAN LONG:

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1813
Windows 5.1.2600 Service Pack 2

01/03/2009 17:08:38
mbam-log-2009-03-01-scan_long.txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 218785
Temps écoulé: 49 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOTvideosoft (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOThomeview (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINESYSTEMControlSet002Servicesseneka (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.BHO) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32UACiqcpacws.dll (Trojan.TDSS) -> No action taken.
C:WINDOWSsystem32UACkdsebnpr.dll (Rootkit.TDSS) -> No action taken.
C:WINDOWSsystem32UACsaekrxoa.dll (Trojan.TDSS) -> No action taken.
C:WINDOWSsystem32UACydgytpiu.dll (Rootkit.TDSS) -> No action taken.
C:WINDOWSsystem32driversUACcdddovmr.sys (Rootkit.TDSS) -> No action taken.
C:WINDOWSsystem32uacinit.dll (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32senekadoexdodb.dll (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32driversseneka.sys (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32driverssenekaoomshutv.sys (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32UACkxxvjnwr.dat (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32UACvynmoejy.log (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32senekatjdcgmpp.dat (Trojan.Agent) -> No action taken.

[Grego]

Supprime tout avec mbam, il va générer un nouveau rapport, envois nous le rapport après suppression ensuite passe à SdFix (voir mon précédent post)

[themaster]

Concernant SDFIX:

Il n'a pas l'air de marcher, dès que je le lance une fenetre dos s'affiche et disparait immédiatement le tout en mode SE bien sûr.
Et dans le gestionnaire des taches je ne le vois pas.

Concernant Mbam, fais-tu référence à l'onglet PROTECTION (PAYANT) ?

[Grego]

Concernant SDFIX:

Il n'a pas l'air de marcher, dès que je le lance une fenetre dos s'affiche et disparait immédiatement le tout en mode SE bien sûr.
Et dans le gestionnaire des taches je ne le vois pas.

Tu as supprimé les élements nuisibles avec Mbam ??
Si oui envois le rapport.
Si non refais une analyse complète et donne le rapport après suppression.

[themaster]

Concernant SDFIX:

Il n'a pas l'air de marcher, dès que je le lance une fenetre dos s'affiche et disparait immédiatement le tout en mode SE bien sûr.
Et dans le gestionnaire des taches je ne le vois pas.

Tu as supprimé les élements nuisibles avec Mbam ??
Si oui envois le rapport.
Si non refais une analyse complète et donne le rapport après suppression.

Non je ne l'ai pas fait ça l'air d'être payant le module de désinfection (onglet protection)

[Grego]

C'est de ma faute, mon premier post n'était pas assez clair à ce sujet.

Pour l'onglet protection, il s'agit de la protection en temps réelle, celle ci est payante mais là on en a pas besoin. C'est dans le cas où tu veux te servir de Mbam en temps que protection en temps réel, hors là c'est pa le cas..

Par contre la suppression de nuisible n'est absolument pas payante.

Tu fais ton analyse Mbam complète . A la fin de l'analyse, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu verras, rien de payant.
Et il faut que tu passe par là pour débloquer le reste a mon avis.

[themaster]

J'ai fait suprimer la(les) selection(s) + reboot en SE + scan ( rapide) apparement c'est mieux là 0 detectés.

SpyBot me détecte un problème avec winlogon ceci dit dans la base de registre:
Win32.Delf.uc: [SBI $88B8013A] Réglages (Valeur du registre, nothing done)
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList\??C:WINDOWSsystem32winlogon.exe

Win32.Delf.uc: [SBI $60B5F410] Réglages (Valeur du registre, nothing done)
HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList\??C:WINDOWSsystem32winlogon.exe

Je note que mon firewall detecte un programme (lequel mystère) qui veut se connecter sur un channel irc (irc.zief.pl)

J'ai aussi toujours le problème avec explorer.exe qui ne se lance pas au démarrage (obligé de le lancer en manuel)

[Grego]

Il nous faudrait le rapport de la première suppression du scan complet de Mbam pour voir ce qu'il a fait exactement (Dans mbam tu as un onglet rapport où ils y sont tous).

- Ensuite, télécharge Glary utilities puis installe le.
Une fois ouvert, tu vas dans "maintenance en un clic" en haut.
Tu coches tout (sauf les fichiers temporaires si tu veux les garder bien sur), puis tu clic sur "chercher des erreurs".
Il y aura surement beaucoup d'erreur registre, c'est normal.
Tu répare, puis tu répète l'opération jusqu'à qu'il n'y ai plus d'erreur registre.

Maintenant, vois si tu peux executer combofix ou pas.

Dans tous les cas refais un rapport HiJackThis que tu nous postes dans ton prochain message.

PS: Les scans rapide de Mbam ne servent strictement à rien !!

L'idéal dans ton prochain message serait un rapport Mbam exam complet lors de la suppression, un rapport mbam complet après une nouvelle analyse, un raport HiJaThis, et une réponse pour savoir si Combofix est passé ou pas. (si oui le rapport qui va avec ...)
Après je ne peux pas te forcer a faire des exams complet ou envoyer des rapports donc c'est toi qui gère !

PS²: pendant une analyse Mbam désactive tout (antivirus , spybot et compagnie !) et fais le en mode sans echec.