Accueil | Aide en ligne | Annuaire | Sécurité | Articles | Astuces | Téléchargements | Association 


Mon compte SOS Ordi

Vous n'êtes pas identifié
[-> S'inscrire à SOS Ordi
[-> Mot de passe perdu ?
S'identifier


Rechercher sur SOS Ordi

Ok

Dans





 Catégories de l'aide en ligne
 Aide en ligne




 Partenaires
  SOS Ordi > Aide en ligne > Logiciel > Virus/Antivirus > Liens google redirigés vers thealtimes.com et ...

Liens google redirigés vers thealtimes.com et ...
61 réponse(s)
dont 4 ont aidé reitavas85 à résoudre son problème

  Problème résolu posté le 06/02/2012 à 12:20
Profil Configuration PC
reitavas85


Aucun
État : Absent
Bonjour,

Je rame depuis 3 jours sur cette infection.Les anti-malwares ne fonctionnent pas ou ne détectent rien.ComboFix a supprimé 3 entrées,mais pas de changement.

Edité par demonkill le 06/02/2012 à 13:38

   

Bas de page 


Information
Pour participer vous devez d'abord être membre ou identifié :
[-> M'identifier
[-> Je ne suis pas membre SOS Ordi, je souhaite m'inscrire
[-> J'ai perdu mon mot de passe

1 | 2 | 3 Suivante »

  Réponse postée le 06/02/2012 à 12:25
Profil du membre Configuration PC
demonkill
Modérateur


État : Absent
Bonjour,

Il faut mettre ton rapport Zhpdiag en lien et non directement dans la question.
Merci de :
* Lire la charte : http://www.sosordi.net/Depannage/Charte.html . Ne pas poser 2 fois la même question
* Rester courtois, éviter les majuscules et employer un langage clair

  Réponse postée le 06/02/2012 à 12:27
Profil du membre Configuration PC
reitavas85



État : Absent
http://cjoint.com/?0BgmzLhQm8k

Ok toutes mes excuses

  Réponse postée le 06/02/2012 à 13:40
Profil du membre Configuration PC
demonkill
Modérateur


État : Absent
Re,

Les Helpers sécurité ont été prévenus.

Merci de patienter dans leur attente.


PS : Je me suis permis du coup d'éditer ta question
Merci de :
* Lire la charte : http://www.sosordi.net/Depannage/Charte.html . Ne pas poser 2 fois la même question
* Rester courtois, éviter les majuscules et employer un langage clair

  Réponse postée le 06/02/2012 à 22:54
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
Bonjour reitavas85

Étape 1

Attention le temps de téléchargement du script a été limité à 4 jours

- Clique sur http://cjoint.com/?0Bgw2d4iByy

- Sur la page qui s'ouvre clic droit et Tout sélectionner
- Refais un clic droit et Copier

- Double clique sur ZHPFix qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

- Clique maintenant sur le H bleu http://img51.xooimage.com/files/f/3[...]leu-226894a.jpg (coller les lignes helper)

- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

http://img63.xooimage.com/files/a/b[...]fix-273d5b0.jpg

- Clique sur Go patiente le temps du traitement

- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé dans C:\ZHP\ZHPFix[R1].txt

- Poste son contenu dans ta prochaine réponse


=======================================================


Le rapport posté, passe à ceci

Télécharge AdwCleaner ( d'Xplode )
http://general-changelog-team.fr/te[...]e/28-adwcleaner
Enregistre ce fichier sur le bureau et pas ailleurs

- Double clique sur AdwCleaner.exe qui est sur le bureau.
** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Recherche laisee l'outil travailler

- Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

  Réponse postée le 07/02/2012 à 19:28
Profil du membre Configuration PC
reitavas85



État : Absent
Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-07-02-2012-19-23-11.txt
Run by claude at 07/02/2012 19:23:11
Windows Vista Home Basic Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-he[...]ess/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\LdShih
SUPPRIME Key: SearchScopes :{6cec3876-fc26-4089-9dc3-6194cc219173}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{c7b76b90-3455-4ae6-a752-eac4d19689e5}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{D08D9F98-1C78-4704-87E6-368B0023D831}
SUPPRIME Key: HKCU\Software\APN
SUPPRIME Key: HKLM\Software\APN
SUPPRIME Key: HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

========== Dossier(s) ==========
SUPPRIME Folder: c:\users\claude\appdata\roaming\mozilla\firefox\profiles\pr6sabqy.default\conduit

========== Fichier(s) ==========
SUPPRIME File: c:\users\claude\appdata\roaming\mozilla\firefox\profiles\pr6sabqy.default\searchplugins\searcheo.xml
ABSENT Folder/File: c:\users\claude\appdata\roaming\mozilla\firefox\profiles\pr6sabqy.default\searchplugins\searcheo.xml


========== Récapitulatif ==========
16 : Clé(s) du Registre
1 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 06/02/2012 12:31:18 [772]
C:\ZHP\ZHPFix[R2].txt - 07/02/2012 19:23:11 [2428]

  Réponse postée le 07/02/2012 à 19:33
Profil du membre Configuration PC
reitavas85



État : Absent
# AdwCleaner v1.408 - Rapport créé le 07/02/2012 à 19:31:36
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : claude - PC-DE-CLAUDE (Administrateur)
# Exécuté depuis : C:\Users\claude\Bureau\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\claude\AppData\Roaming\eType
Dossier Présent : C:\Users\claude\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Présent : C:\Users\claude\AppData\Local\TempDir
Dossier Présent : C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\ConduitCommon

***** [Registre] *****

Clé Présente : HKCU\Software\DSNR Labs
Clé Présente : HKCU\Software\Headlight
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.Tools
Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.19170

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v10.0 (fr)

Profil : pr6sabqy.default
Fichier : C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v16.0.912.77

Fichier : C:\Users\claude\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2323 octets] - [07/02/2012 19:31:36]

########## EOF - C:\AdwCleaner[R1].txt - [2451 octets] ##########

  Réponse postée le 07/02/2012 à 19:42
Profil du membre Configuration PC
reitavas85



État : Absent
Rien de changé,les 2 premiers clics m'amènent à thealtimes.com,le 3° clic aléatoire et le 4° est en principe sur la page demandée.Sinon le PC n'a aucun symptôme de contamination.
Un grand Merci et bonne soirée

  Réponse postée le 07/02/2012 à 23:18
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
Re, ça devrait s'arranger maintenant

- Relance AdwCleaner
- Clique sur Suppression Pour lancer le nettoyage

Laisse travailler l'outil ne touche pas au clavier ni à la souris.

- Le scan terminé un rapport sera créé sur le disque C sous la forme de : C:\AdwCleaner[S1].txt


- Poste le contenu de ce rapport

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


Tu as encore le probléme?

  Réponse postée le 08/02/2012 à 12:57
Profil du membre Configuration PC
reitavas85



État : Absent
Le problème persiste.

Rapport:
# AdwCleaner v1.408 - Rapport créé le 08/02/2012 à 12:31:15
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : claude - PC-DE-CLAUDE (Administrateur)
# Exécuté depuis : C:\Users\claude\Bureau\raccourcis log outil\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\claude\AppData\Roaming\eType
Dossier Supprimé : C:\Users\claude\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Users\claude\AppData\Local\TempDir
Dossier Supprimé : C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\ConduitCommon

***** [Registre] *****

Clé Supprimée : HKCU\Software\DSNR Labs
Clé Supprimée : HKCU\Software\Headlight
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.19170

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v10.0 (fr)

Profil : pr6sabqy.default
Fichier : C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v16.0.912.77

Fichier : C:\Users\claude\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2452 octets] - [07/02/2012 19:31:36]
AdwCleaner[S1].txt - [2300 octets] - [08/02/2012 12:31:15]

*************************

Dossier Temporaire : 6 dossier(s) et 189 fichier(s) supprimés

  Réponse postée le 08/02/2012 à 22:34
Profil du membre Configuration PC
reitavas85



État : Absent
Bonjour
J'ai refais un passage ce soir, avec Avira de désactivé,mais pas de changement.

# AdwCleaner v1.408 - Rapport créé le 08/02/2012 à 22:24:55
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : claude - PC-DE-CLAUDE (Administrateur)
# Exécuté depuis : C:\Users\claude\Bureau\raccourcis log outil\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.19170

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v10.0 (fr)

Profil : pr6sabqy.default
Fichier : C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v16.0.912.77

Fichier : C:\Users\claude\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2452 octets] - [07/02/2012 19:31:36]
AdwCleaner[S1].txt - [2523 octets] - [08/02/2012 12:31:15]
AdwCleaner[S2].txt - [1170 octets] - [08/02/2012 22:24:55]

*************************

Dossier Temporaire : 4 dossier(s) et 12 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S2].txt - [1391 octets] ##########

  Réponse postée le 08/02/2012 à 23:10
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
Relance ZHPDiag, clique sur la fleche verte en haut à droite et accepte la mise à jour
Celle ci fini, scanne le PC et envoie le rapport via cjoint

  Réponse postée le 09/02/2012 à 09:44
Profil du membre Configuration PC
reitavas85



État : Absent
http://cjoint.com/?0BjjR2f0UQx

  Réponse postée le 09/02/2012 à 23:32
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
Re, on va passer a autre chose



Télécharge Combofix.exe (par sUBs) sur ton Bureau et nulle part ailleurs.
http://download.bleepingcomputer.co[...]Bs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Ferme le navigateur et tous les programmes ouverts et désactive tous les logiciels de sécurité (antivirus antimalwares spybot etc) et ne clique pas dans la fenêtre pendant l'exécution du scan

- Fais un clic droit surComboFix.exe et choisis "Exécuter en tant que... Administrateur".

Laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

  Réponse postée le 10/02/2012 à 09:52
Profil du membre Configuration PC
reitavas85



État : Absent
Bonjour
J'ai déjà appliqué ComboFix 2 fois avant de t'appeler à l'aide.Je te joins le rapport.Veux tu que j'en réactualise un autre?
http://cjoint.com/?0BkjXwiDbsd

  Réponse postée le 10/02/2012 à 21:47
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
Re, non c'est inutile et combofix n'est pas un outil anodin

Fait analyser ce fichier sur VirusToal

c:\windows\system32\Drivers\antarska.sys

https://www.virustotal.com/

Navigue jusqu'au fichier a analyser

C:\ugliyaoc.sys

Clique sur Scan It

Si une fenêtre de dialogue dit qu'il a deja été analysé, choisi réanalyse

Attend que le rapport soit complet puis poste le ici

  Réponse postée le 10/02/2012 à 23:37
Profil du membre Configuration PC
reitavas85



État : Absent
ssdeep
1536:PhQy2GDoTNx3l7mhrKB3rJ1ucBZsKV5phBuj2pCNsiDjyRHnMcs+Zg5rcS5yZBT:5ABl1usVf6Nui2nMcsYgJcS5yT
TrID
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
ExifTool

SubsystemVersion.........: 5.1
LinkerVersion............: 8.0
ImageVersion.............: 6.0
FileSubtype..............: 7
FileVersionNumber........: 1.0.15.4918
UninitializedDataSize....: 0
LanguageCode.............: English (U.S.)
FileFlagsMask............: 0x003f
CharacterSet.............: Unicode
InitializedDataSize......: 36736
FileOS...................: Windows NT 32-bit
MIMEType.................: application/octet-stream
LegalCopyright...........: Copyright (C) GMER 2003-2009
FileVersion..............: 1, 0, 15, 4918 built by: WinDDK
TimeStamp................: 2011:07:16 21:20:40+01:00
FileType.................: Win32 EXE
PEType...................: PE32
InternalName.............: gmer.sys
ProductVersion...........: 1, 0, 15, 4918
FileDescription..........: GMER Driver http://www.gmer.net
OSVersion................: 6.0
OriginalFilename.........: gmer.sys
Subsystem................: Native
MachineType..............: Intel 386 or later, and compatibles
CompanyName..............: GMER
CodeSize.................: 62976
ProductName..............: GMER
ProductVersionNumber.....: 1.0.15.4918
EntryPoint...............: 0x16005
ObjectFileType...........: Driver

Sigcheck

publisher................: GMER
product..................: GMER
internal name............: gmer.sys
file version.............: 1, 0, 15, 4918 built by: WinDDK
original name............: gmer.sys
copyright................: Copyright (C) GMER 2003-2009
description..............: GMER Driver http://www.gmer.net

Portable Executable structural information

Compilation timedatestamp.....: 2011-07-16 20:20:40
Target machine................: 332
Entry point address...........: 0x00016005

PE Sections...................:

Name Virtual Address Virtual Size Raw Size Entropy MD5
.text 1152 59948 60032 6.45 a0ffd8d7e67fda16d045b3b9c0142509
.rwtext 61184 81 128 1.71 c00d6d7ba9be2d7a526fdd7311b1247f
.rdata 61312 12220 12288 5.14 d5bbf44c1f811f2d9f8454ba69b8c008
.data 73600 16452 16512 0.34 74ff1bbfb8e0ed1825669d220a13bc03
INIT 90112 2728 2816 5.43 619c6618a9e220cb810a7c9a63a55a26
.rsrc 92928 880 896 3.35 c0c6d76b43cfd61d2ad6fb7fc4b40a16
.reloc 93824 6938 7040 6.44 278d1556f5baf102668f4df3707ad15b

PE Imports....................:

HAL.dll
KfLowerIrql, KeGetCurrentIrql, KfRaiseIrql

ntoskrnl.exe
ExFreePoolWithTag, ExAllocatePool, ZwReadFile, ZwQueryInformationFile, ZwOpenFile, memcpy, KeQuerySystemTime, PsLookupProcessByProcessId, ObfDereferenceObject, ObReferenceObjectByHandle, KeDetachProcess, KeAttachProcess, MmIsAddressValid, memset, ZwSetInformationFile, RtlInitUnicodeString, ObOpenObjectByPointer, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, RtlUnicodeStringToAnsiString, PsTerminateSystemThread, PsCreateSystemThread, KeInitializeEvent, wcsstr, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, strrchr, KeGetCurrentThread, KeBugCheckEx, IoFreeIrp, _wcsnicmp, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, ZwWriteFile, ZwCreateFile, strncmp, IoGetCurrentProcess, strncpy, _vsnprintf, PsGetCurrentProcessId, _snprintf, RtlTimeToTimeFields, ExSystemTimeToLocalTime, _stricmp, ZwQuerySystemInformation, _strnicmp, RtlCopyUnicodeString, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, _snwprintf, ZwClose, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, ZwEnumerateKey, PsLookupThreadByThreadId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, _strupr, _strlwr, KeDelayExecutionThread, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp, KeInsertQueueDpc, KeSetTargetProcessorDpc, KeInitializeDpc, KeNumberProcessors, MmMapLockedPagesSpecifyCache, KeServiceDescriptorTable, _wcsicmp, wcsrchr, strchr, strstr, wcsncpy, IoCreateNotificationEvent, ZwQuerySection, RtlInitString, ZwRequestWaitReplyPort, ZwConnectPort, MmMapLockedPages, MmGetSystemRoutineAddress, ObReferenceObjectByName, IoDriverObjectType, ZwDeleteFile, KeTickCount, NtClose, IofCallDriver, RtlCompareUnicodeString, IoBuildSynchronousFsdRequest, _alldiv, RtlEqualUnicodeString, ZwQueryDirectoryObject, ZwOpenDirectoryObject, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, IoGetDeviceInterfaces, KeBugCheck, KeSetEvent, KeWaitForSingleObject, IoFreeMdl, KeClearEvent, RtlUnwind

First seen by VirusTotal
2011-07-17 05:09:05 UTC ( 6 mois, 4 semaines ago )
Last seen by VirusTotal
2012-02-10 22:31:38 UTC ( 3 minutes ago )
File names (max. 25)

ugliyaoc.sys
kwtiyfow.sys
smona_49c9df7fb2200e3e20aedb8f8a69aa28bf858adfbc3ae286957d2479832abb8b.bin
pxtdypow.vys
577c37fbeb973390e61b654d0ac1bebd
ugldipow.sys
afgiakog.sys
577c37fbeb973390e61b654d0ac1bebd
smona132751277393395068577
pxtdypod.sys1
kwdyypow.sys
577c37fbeb973390e61b654d0ac1bebd
577c37fbeb973390e61b654d0ac1bebd
zaccess.sys
1.sys
577c37fbeb973390e61b654d0ac1bebd
577c37fbeb973390e61b654d0ac1bebd.uxldqpoc.sys.bad
9ACCD0DD0067FF858A190133D8846F00D61A8267.sys
C:\kfddapow.sys
Suspect_kwdirpod.sys.vir
afgiipoc.-ys
aflirpow.sys
aglcyuoc.sys
awaiikob.sys
awddyfow.sys

  Réponse postée le 10/02/2012 à 23:44
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
C'est ok, c'est le driver de gmer
* Télécharge OTL (de Old_Timer) sur ton bureau http://oldtimer.geekstogo.com/OTL.exe
* Double-clique sur son icône pour le démarrer. Si tu es sous Vista ou 7, démarre par clic droit, exécuter en tant qu'administrateur. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit.
* Coche la case "Tous les utilisateurs",
* Sous l'emplacement "Personnalisation", copie colle le contenu ce qui suit :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs


* Clique ensuite sur le bouton "Analyse" puis patiente pour que l'outil analyse le pc. Cela peut durer quelques minutes, selon l'état du système.
* A la fin de l'analyse, la fenêtre du bloc-note s'ouvre. Elle s'appelle OTL.txt
* Copie-colle ce texte dans ta prochaine réponse.
* Pour sélectionner le texte : CTRL+A
* Pour copier le texte sélectionné : CTRL+C,
* Pour coller le texte dans ta prochaine réponse : CRTL+V

  Réponse postée le 11/02/2012 à 10:14
Profil du membre Configuration PC
reitavas85



État : Absent
Rapport OTL
http://cjoint.com/?0BlkmuKozza

J'avais téléchargé GMer suite à l'infection !!!

A+@

  Réponse postée le 11/02/2012 à 12:42
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
Re, ok comme tu as Gmer, on va en profiter pour faire un scan apres la manip ci-dessous


Relance OTL.exe


- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre bleu de OTL.exe nommé Custom Scans/Fixes
Citation :
:Files
ipconfig /flushdns /c
C:\WINDOWS\tasks\*.job
C:\*.sqm
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\*.tmp
C:\Windows\jestertb.dll
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{209DF55F-5E5C-48A3-BC3D-A7CB1224458C}\NewShortcut1_E14B8A0842B346769E911D39F8158DA1.exe
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{209DF55F-5E5C-48A3-BC3D-A7CB1224458C}\NewShortcut2_E14B8A0842B346769E911D39F8158DA1.exe
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{37327654-EBF7-410C-9161-C24D68E02753}\_080C431F429756B3A6C919.exe C:\Users\claude\AppData\Roaming\Microsoft\Installer\{37327654-EBF7-410C-9161-C24D68E02753}\_6FEFF9B68218417F98F549.exe
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{37327654-EBF7-410C-9161-C24D68E02753}\_E47B9B72500055712D025F.exe
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{4FCBD822-5DAB-4403-9064-569D7AA7DAD6}\_FA81DAE.exe C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
C:\Users\claude\AppData\Roaming\Nokia\Nokia Download!\Temp\Nokia_Download_newUI_2.1.19.0_setup.exe C:\Users\claude\AppData\Roaming\Nokia\Ovi Suite\Software Updater\NokiaOviSuite2Installer.exe C:\Users\claude\AppData\Roaming\Raccourcis applicatifs\Mes Raccourcis MSN.exe
C:\Users\claude\AppData\Roaming\Voxmobili\profile_iod\PC_Sync_6.73.62001_GP.exe
C:\Users\claude\AppData\Roaming\Wondershare\WSHelper\WSHelper.exe
C:\ProgramData\TEMP:D4810DBE
C:\ProgramData\TEMP:07BF512B
C:\ProgramData\TEMP:B1CD2545
C:\ProgramData\TEMP:07BF512B
C:\ProgramData\TEMP:EEDA5B17
C:\ProgramData\TEMP:820563D3
C:\ProgramData\TEMP:890CC2F3
C:\ProgramData\TEMP:430C6D84
C:\ProgramData\TEMP:BFE23423
C:\ProgramData\TEMP:FA5F15C4
C:\ProgramData\TEMP:DFC5A2B2
:Commands
[EmptyTemp]
[Emptyflash]
[Reboot]


Clique sur Correction

Poste le rapport qui sera généré


Tu as encore des soucis?


Une fois l erapport posté, passe au scan Gmer

- Double-clic sur Gmer.exe.


- A droite, coche seulement Files et Services & Registry
- Clique maintenant sur Scan
- Lorsque le scan est terminé, clique sur Copy
- Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton Bureau
- Quitte Gmer

- Poste le contenu du rapport dans ta prochaine réponse.

Edité par zaede le 11/02/2012 à 12:44


  Réponse postée le 11/02/2012 à 13:24
Profil du membre Configuration PC
reitavas85



État : Absent
All processes killed
========== FILES ==========
< ipconfig /flushdns /c >
Configuration IP de Windows
Cache de r‚solution DNS vid‚.
C:\Users\claude\Bureau\raccourcis log outil\cmd.bat deleted successfully.
C:\Users\claude\Bureau\raccourcis log outil\cmd.txt deleted successfully.
C:\WINDOWS\tasks\Extension de garantie-claude.job moved successfully.
C:\WINDOWS\tasks\GlaryInitialize.job moved successfully.
C:\WINDOWS\tasks\Google Software Updater.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-3335537847-117266691-964515163-1000Core.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-3335537847-117266691-964515163-1000UA.job moved successfully.
C:\WINDOWS\tasks\Otdrgl.job moved successfully.
File\Folder C:\*.sqm not found.
File\Folder C:\WINDOWS\System32\*.tmp not found.
C:\WINDOWS\4E0C6314A8B84026AC15084E8B63AFB5.TMP folder moved successfully.
C:\WINDOWS\msdownld.tmp folder moved successfully.
C:\Windows\jestertb.dll moved successfully.
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{209DF55F-5E5C-48A3-BC3D-A7CB1224458C}\NewShortcut1_E14B8A0842B346769E911D39F8158DA1.exe moved successfully.
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{209DF55F-5E5C-48A3-BC3D-A7CB1224458C}\NewShortcut2_E14B8A0842B346769E911D39F8158DA1.exe moved successfully.
File\Folder C:\Users\claude\AppData\Roaming\Microsoft\Installer\{37327654-EBF7-410C-9161-C24D68E02753}\_080C431F429756B3A6C919.exe C:\Users\claude\AppData\Roaming\Microsoft\Installer\{37327654-EBF7-410C-9161-C24D68E02753}\_6FEFF9B68218417F98F549.exe not found.
C:\Users\claude\AppData\Roaming\Microsoft\Installer\{37327654-EBF7-410C-9161-C24D68E02753}\_E47B9B72500055712D025F.exe moved successfully.
File\Folder C:\Users\claude\AppData\Roaming\Microsoft\Installer\{4FCBD822-5DAB-4403-9064-569D7AA7DAD6}\_FA81DAE.exe C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe not found.
C:\Users\claude\AppData\Roaming\Mozilla\Firefox\Profiles\pr6sabqy.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe moved successfully.
File\Folder C:\Users\claude\AppData\Roaming\Nokia\Nokia Download!\Temp\Nokia_Download_newUI_2.1.19.0_setup.exe C:\Users\claude\AppData\Roaming\Nokia\Ovi Suite\Software Updater\NokiaOviSuite2Installer.exe C:\Users\claude\AppData\Roaming\Raccourcis applicatifs\Mes Raccourcis MSN.exe not found.
C:\Users\claude\AppData\Roaming\Voxmobili\profile_iod\PC_Sync_6.73.62001_GP.exe moved successfully.
C:\Users\claude\AppData\Roaming\Wondershare\WSHelper\WSHelper.exe moved successfully.
File\Folder C:\ProgramData\TEMP:D4810DBE not found.
File\Folder C:\ProgramData\TEMP:07BF512B not found.
File\Folder C:\ProgramData\TEMP:B1CD2545 not found.
File\Folder C:\ProgramData\TEMP:07BF512B not found.
File\Folder C:\ProgramData\TEMP:EEDA5B17 not found.
File\Folder C:\ProgramData\TEMP:820563D3 not found.
File\Folder C:\ProgramData\TEMP:890CC2F3 not found.
File\Folder C:\ProgramData\TEMP:430C6D84 not found.
File\Folder C:\ProgramData\TEMP:BFE23423 not found.
File\Folder C:\ProgramData\TEMP:FA5F15C4 not found.
File\Folder C:\ProgramData\TEMP:DFC5A2B2 not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes

User: All Users

User: claude
->Temp folder emptied: 10828814 bytes
->Temporary Internet Files folder emptied: 19246452 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 71716378 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 984 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56587 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56587 bytes

User: Public
->Temp folder emptied: 0 bytes

User: qwerty
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 14648 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 114966 bytes
RecycleBin emptied: 123645131 bytes

Total Files Cleaned = 215,00 mb


[EMPTYFLASH]

User: Administrator

User: All Users

User: claude
->Flash cache emptied: 0 bytes

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Invité
->Flash cache emptied: 0 bytes

User: Public

User: qwerty

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 02112012_131517

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.

Registry entries deleted on Reboot...

  Réponse postée le 11/02/2012 à 13:35
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
Tu as encore des soucis?

  Réponse postée le 11/02/2012 à 14:25
Profil du membre Configuration PC
reitavas85



État : Absent
Je fais le scan avec GMer.
A priori le problème est résolue !

  Réponse postée le 11/02/2012 à 14:28
Profil du membre Configuration PC
zaede
Modérateur


État : Absent
C'est une bonne nouvelle ça

  Réponse postée le 11/02/2012 à 14:41
Profil du membre Configuration PC
reitavas85



État : Absent
Oui Super.Etant moi-même dans la partie, je te félicite pour ta réactivité et tes compétences.Peux-tu m'éclairer un peu plus sur cette infection et son rapport avec Gmer dont l'installation a été postérieure au problème.
Je te joins le scan Gmer dès qu'il est terminé.

  Réponse postée le 11/02/2012 à 15:08
Profil du membre Configuration PC
reitavas85



État : Absent
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-02-11 15:06:32
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\0000005a ST325031 rev.3.AA
Running: gmer.exe; Driver: C:\Users\claude\AppData\Local\Temp\ugliyaoc.sys


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application@Sources MSDMine?DfSdk
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Application@Sources MSDMine?DfSdk
Reg HKLM\SOFTWARE\Classes\CLSID\{F32BB3B7-649B-9C4F-EB34-22CFD39D0431}\hoaborxd@ tM^BnEH{spdKH@
Reg HKLM\SOFTWARE\Classes\CLSID\{F32BB3B7-649B-9C4F-EB34-22CFD39D0431}\VgNosdiwt@ v^Kgq}yz}~EPg|AUvEB

---- EOF - GMER 1.0.15 ----


1 | 2 | 3 Suivante »

Haut de page 

 

Version 5.6 | Infos / Contacts | Partenariat | Publicité