Malekal's forum

[chinche]

Bonjour, mon pc est bizarre depuis quelques temps.
En effet, les fenêtres changent de format, le texte y disparait, les icones du pc aussi. le texte se surimprime.
Comme mon dd commence à être fatigué, j'ai pensé à un problème de machine, mais rien n'y fait.

Intriguée par le comportement de mon pc et des erreurs vraiment bizarres de toutes sortes (application win32 non valide, le fichier demandé n'existe pas à propos de msconfig, erreur mémoire, et même des textes sous formes de petits carrés), je me suis dit, ça y est ma brave tu es infectée.

J'ai commencé à faire le ménage avec la dernière version d'avast que j'avais en résident, qui n'a rien vu.
Puis j'ai passé un coup de mbam et hop il en a attrapé 4, spybot a attrapé une barre non-légitime (babylon) que je n'avais pas téléchargé car je sais que c'est une cochonnerie, superantspyware en a attrapé 2, panda n'a rien trouvé, mais le problème persiste.
dernièrement j'ai fait un scan avec combofix, il y a des fichiers que je reconnais (mon xp est skinné donc normal que certains fichiers d'apparence soient modifiés)
un ami m'a parlé de roguekiller, et lui il me dit que des drivers de mon pc sont faked, dont le lecteur cd-rom (il faut dire que j'ai récupéré le lecteur blu-ray sur un autre pc et que j'ai eu du mal à trouver les drivers compatibles).

Quant à eset qui m'avait sauvé une autre fois, le pauvre n'arrive pas à finir son scna, mon pc bugue tellement que je suis obligée de le redémarrer.

ah et j'ai remarqué une chose étrange, les pages de firefox n'arrêtent pas de s'actualiser, ça ne faisait jamais ça.

J'ai lancé combofix, et il m'a fait un rapport. Je peux vous le poster ainsi que celui de hijakthis?
Système d'exploitation: windows xp pro sp3 skinné bricopack et un poil de vista.

[Malekal_morte]

Salut,

Désinstalle Spybot, sert à rien.

~~



Télécharge http://general-changelog-team.fr/telech ... adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


et :


- Télécharge http://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

[chinche]

mon pc est trop lent même pour les désinstallations, c'est une misère.
Bref je l'ai supprimé.
Qu'est ce que je peux faire en attendant? mon p a l'air de marcher normalement mais je veux être sure qu'il ne reste aucun morceau de ces virus.

[chinche]

# AdwCleaner v1.701 - Rapport créé le 04/07/2012 à 00:11:00
# Mis à jour le 02/07/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Administrateur - TITANIUM
# Exécuté depuis : C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Administrateur\chat-land
Dossier Supprimé : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Supprimé au redémarrage : C:\WINDOWS\system32\prncnfgd
Fichier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7bknqtt3.default\searchplugins\yahoo-zugo.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Toolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ToolbarBroker.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandle.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandler
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.BandObject
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.BandObject.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.ToolbarHelperObject
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.ToolbarHelperObject.1
Clé Supprimée : HKLM\SOFTWARE\Classes\ZGClnt.Mngr
Clé Supprimée : HKLM\SOFTWARE\Classes\ZGClnt.Mngr.1

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{01994268-3C10-4044-A1EA-7A9C1B739A11}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{7E8A36EA-2501-4ED3-A3C8-CFA9143FB169}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{FAA8C612-F1B6-461B-8B60-B54D74D9642E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{479BF2D6-E362-4A99-B1AB-BC764D7B97AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4B6D6E60-FBD2-4E79-BF4B-886BC98F1797}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{796D822A-C3F9-4A97-BAAB-42FE7628EA63}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C875C0A1-09E3-48D5-9F8E-BD337796FD14}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DD438708-AAB4-422D-A322-B619589F5680}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2CBD2A57-2FD5-4F1A-9FC8-90ED48FA4187}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v13.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7bknqtt3.default\prefs.js

Supprimée : user_pref("CT2653012..clientLogIsEnabled", true);
Supprimée : user_pref("CT2653012..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Supprimée : user_pref("CT2653012..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Supprimée : user_pref("CT2653012.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Supprimée : user_pref("CT2653012.CTID", "CT2653012");
Supprimée : user_pref("CT2653012.CurrentServerDate", "13-9-2011");
Supprimée : user_pref("CT2653012.DialogsAlignMode", "LTR");
Supprimée : user_pref("CT2653012.DialogsGetterLastCheckTime", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.DownloadReferralCookieData", "");
Supprimée : user_pref("CT2653012.FirstServerDate", "25-7-2010");
Supprimée : user_pref("CT2653012.FirstTime", true);
Supprimée : user_pref("CT2653012.FirstTimeFF3", true);
Supprimée : user_pref("CT2653012.FirstTimeSettingsDone", true);
Supprimée : user_pref("CT2653012.FixPageNotFoundErrors", true);
Supprimée : user_pref("CT2653012.GroupingServerCheckInterval", 1440);
Supprimée : user_pref("CT2653012.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Supprimée : user_pref("CT2653012.HasUserGlobalKeys", true);
Supprimée : user_pref("CT2653012.Initialize", true);
Supprimée : user_pref("CT2653012.InitializeCommonPrefs", true);
Supprimée : user_pref("CT2653012.InstallationAndCookieDataSentCount", 3);
Supprimée : user_pref("CT2653012.InstalledDate", "Sun Jul 25 2010 03:47:29 GMT+0200");
Supprimée : user_pref("CT2653012.IsGrouping", false);
Supprimée : user_pref("CT2653012.IsMulticommunity", false);
Supprimée : user_pref("CT2653012.IsOpenThankYouPage", true);
Supprimée : user_pref("CT2653012.IsOpenUninstallPage", true);
Supprimée : user_pref("CT2653012.LanguagePackLastCheckTime", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.LanguagePackReloadIntervalMM", 1440);
Supprimée : user_pref("CT2653012.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Supprimée : user_pref("CT2653012.LastLogin_2.7.1.3", "Sun Aug 22 2010 08:58:09 GMT+0200");
Supprimée : user_pref("CT2653012.LastLogin_3.6.0.10", "Tue Sep 13 2011 06:20:12 GMT+0200");
Supprimée : user_pref("CT2653012.LatestVersion", "3.6.0.10");
Supprimée : user_pref("CT2653012.Locale", "en");
Supprimée : user_pref("CT2653012.LoginCache", 4);
Supprimée : user_pref("CT2653012.MCDetectTooltipHeight", "83");
Supprimée : user_pref("CT2653012.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Supprimée : user_pref("CT2653012.MCDetectTooltipWidth", "295");
Supprimée : user_pref("CT2653012.MyStuffEnabledAtInstallation", true);
Supprimée : user_pref("CT2653012.SearchFromAddressBarIsInit", true);
Supprimée : user_pref("CT2653012.SearchInNewTabEnabled", true);
Supprimée : user_pref("CT2653012.SearchInNewTabIntervalMM", 1440);
Supprimée : user_pref("CT2653012.SearchInNewTabLastCheckTime", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Supprimée : user_pref("CT2653012.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Supprimée : user_pref("CT2653012.SearchInNewTabUserEnabled", false);
Supprimée : user_pref("CT2653012.ServiceMapLastCheckTime", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.SettingsCheckIntervalMin", 120);
Supprimée : user_pref("CT2653012.SettingsLastCheckTime", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.SettingsLastUpdate", "1315523219");
Supprimée : user_pref("CT2653012.ThirdPartyComponentsInterval", 504);
Supprimée : user_pref("CT2653012.ThirdPartyComponentsLastCheck", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.ThirdPartyComponentsLastUpdate", "1312887586");
Supprimée : user_pref("CT2653012.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2653012");
Supprimée : user_pref("CT2653012.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Supprimée : user_pref("CT2653012.Uninstall", true);
Supprimée : user_pref("CT2653012.UserID", "UN86553363227120467");
Supprimée : user_pref("CT2653012.ValidationData_Search", 2);
Supprimée : user_pref("CT2653012.ValidationData_Toolbar", 2);
Supprimée : user_pref("CT2653012.alertChannelId", "1045667");
Supprimée : user_pref("CT2653012.clientLogIsEnabled", false);
Supprimée : user_pref("CT2653012.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Supprimée : user_pref("CT2653012.components.1000234", false);
Supprimée : user_pref("CT2653012.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Supprimée : user_pref("CT2653012.globalFirstTimeInfoLastCheckTime", "Tue Sep 13 2011 06:20:12 GMT+0200");
Supprimée : user_pref("CT2653012.homepageProtectorEnableByLogin", true);
Supprimée : user_pref("CT2653012.initDone", true);
Supprimée : user_pref("CT2653012.isAppTrackingManagerOn", true);
Supprimée : user_pref("CT2653012.myStuffEnabled", true);
Supprimée : user_pref("CT2653012.myStuffPublihserMinWidth", 400);
Supprimée : user_pref("CT2653012.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Supprimée : user_pref("CT2653012.myStuffServiceIntervalMM", 1440);
Supprimée : user_pref("CT2653012.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Supprimée : user_pref("CT2653012.oldAppsList", "129199665576502590,129199665576658841,111,129518362214439676,129[...]
Supprimée : user_pref("CT2653012.searchProtectorDialogDelayInSec", 10);
Supprimée : user_pref("CT2653012.searchProtectorEnableByLogin", true);
Supprimée : user_pref("CT2653012.testingCtid", "");
Supprimée : user_pref("CT2653012.toolbarAppMetaDataLastCheckTime", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.toolbarContextMenuLastCheckTime", "Mon Sep 12 2011 22:20:11 GMT+0200");
Supprimée : user_pref("CT2653012.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 30);
Supprimée : user_pref("extensions.BabylonToolbar.cntry", "FR");
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "fr");
Supprimée : user_pref("extensions.BabylonToolbar.firstRun", false);
Supprimée : user_pref("extensions.BabylonToolbar.hdrMd5", "CFD497BA97E8F9EF6C5C0EFB292E5B1A");
Supprimée : user_pref("extensions.BabylonToolbar.lastActv", "30");
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 30);
Supprimée : user_pref("extensions.searchrecs@veoh.com.install-event-fired", true);
Supprimée : user_pref("extensions.veohsearchrecs.SupportedSites", "<?xml version=\"1.0\" ?>\r\n<results revision[...]
Supprimée : user_pref("extensions.veohsearchrecs.VeohVersion", "1.5.2");
Supprimée : user_pref("extensions.veohsearchrecs.id", "78eccd72c-d85b-dc20-3b74-6531b97ac0e");
Supprimée : user_pref("extensions.veohsearchrecs.lastsitedate", "29");
Supprimée : user_pref("extensions.veohsearchrecs.veohenabled", "false");
Supprimée : user_pref("extensions.veohsearchrecs.veohfamilyfilteron", "false");
Supprimée : user_pref("flashblock.whitelist", "magiemetapsychique.forumpro.fr,www.urban-rivals.com,www.donjons-t[...]
Supprimée : user_pref("keyword.URL", "hxxp://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&prov[...]

*************************

AdwCleaner[R1].txt - [11149 octets] - [04/07/2012 00:10:49]
AdwCleaner[S1].txt - [11218 octets] - [04/07/2012 00:11:00]

########## EOF - C:\AdwCleaner[S1].txt - [11347 octets] ##########

Je suis sure de n'avoir installé aucune de ces fichues barres parce que justement je m'en méfie comme de la peste!

[chinche]

Il me dit quand je clique sur hijackthis: paramètre incorrect. je vais le re-télécharger :/

[chinche]

Heu j'ai une drole d'erreur, je te fais une capture d'écran:


puis l'erreur suivante sous firefox: Firefox ne peut trouver le serveur à l'adresse trendsecure.custhelp.com.

Il a fini par faire le scan voici le résultat:
L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : http://pjjoint.malekal.com/files.php?id ... 2h8e8b8n14

[Malekal_morte]

Copernic Agent et Flashget à désinstaller, si tu t'en sers pas.
SuperAntispyware à désinstaller, pas efficace, plutôt utiliser Malwarebyte : http://www.malekal.com/tutorial_Malware ... alware.php

Désinstalle Avast! voir si c'est pas la source du prb.

[chinche]

Ok c'est fait mais je constate que j'ai toujours des fichiers erronés ou des tripatouillages sur la partie réseau.
Que dois-je faire pour être sure qu'il ne reste pas de trace d'infection?

[chinche]

Up! maintenant j'ai plus de son O_o sur le pc, pourtant la carte son est bien reconnue j'ai vérifié les branchements etc :/

[chinche]

ma config ne marche plus ni aida64 :/

[Malekal_morte]

Si Malwarebyte ne détecte rien, ce n'est pas un prb de virus.
Soit ton Windows est flingué, faut le réinstaller.
Soit un prb matériel sous jascent, voir avec un magasin informatique.

[chinche]

Avira en a après le dossier l'autorun.inf de mon disque dur interne nommé e:/
d'ailleurs le dossier est vide.

[chinche]

roguekiller m'a annoncé que plusieurs de mes drivers sont des fakes.
et je ne peux rien détecter au niveau matériel,sauf par panneau de config -> système.
Je suppose qu'en faisant le ménage, un des antivirus a du virer les drivers qui étaient infectés, dont peut-être celui de la carte son.

[chinche]

quant à malewarebytes, il bugue régulièrement pendant le controle, je suspecte encore un virus d'être présent.

[Malekal_morte]

Mouais.

Passe un coup de TDSSKiller : tdsskiller-kaspersky-t28637.html
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.