Security Tool

enfaite les programme comme sa s'installe dans la sesion de lutilisateur donc si tu change de session il n'aura rien a partir de la tu sauve tes doc de lautre sesion (juste tes doc) et tu supr la sesion; tu réouvre une nouvelle session tu remet les doc et voila

Bon là j'en suis à essayer d'utiliser rkill, je lance l'executable en mode sans echec et je ne trouve pas où il s'installe ^^ c'est moi qui craque ou il s'installe dans un endroit biscornu ?

J'ai un soft très intéressant pour toi

Panda SafeCD, un outil pratique pour analyser et désinfecter les PC sous Windows.

Cet utilitaire gratuit se présente sous la forme d'une image ISO. Après l'avoir téléchargé, vous pouvez soit le graver sur un CD ou DVD soit créer une clé USB bootable, au moyen d'outils tels que UNetbootin. Démarrez ensuite l'ordinateur à désinfecter avec le CD/DVD ou la clé USB.

Fonctionnalités :

Détection et suppression automatique de tous les types de malwares

Démarrage depuis CD, DVD ou clé USB.

Possibilité d'utiliser un fichier de signatures mis à jour.

Disponible en 13 langues, dont le français.

Compatible avec les partitions FAT et NTFS.

Mise à jour du fichier de signatures :

Panda SafeCD recherche automatiquement si un fichier de signature à jour est présent sur le PC (dans le cas où une solution Panda est installée sur le système).

http://research.pandasecurity.com/panda-safecd-4-4-3-0/

Là je viens de télécharger panda machin mais je ne le trouve pas dans mes téléchargement c'est quoi ce bin's ! bon je reprend à zéro!

bon je n'arrive pas à créer une cle usb bootable !!!

bon en reprenant à zéro clairement (je veux essayer la technique de rkill), je télécharge rkill, je passe en mode sans echec, je double clic sur l'executable et actuellement ba il y a un fichier texte qui s'affiche mais rien de plus !

je dois faire autre chose pour faire fonctionner rkill?

vraiment merci de votre patience ^^

existance, je vais essayer ce que tu m'a dit ^^

Après avoir fait un des RKill.

Téléchargement de ComboFix.

• Faites un clic-droit sur le lien de téléchargement de ComboFix (sUBs).

• Sélectionnez soit avec :

- Internet Explorer : Enregistrer la cible sous...

- Firefox : Enregistrer la cible du lien sous...

• Renommer ComboFix.exe → en → Explorer.exe et sauvegarder le sur le bureau.

Utilisation de ComboFix.

/|\ Désactivez l’antivirus de service,

/|\ Fermez tous les applications, n'ouvrez aucun programmes,

• Double-cliquer sur Combofix et [Exécuter]

• Si vous utilisez Windows Vista, cliquer sur le bouton [Continuer],

• é la ’’Limitation de garantie du logiciel’’ → [Oui],

• Installez la ’’Console de récupération’’ → [Oui], ( <-- IMPORTANT)

• Attendre la fermeture de l’outil (plusieurs 10aines d’étapes).

/|\ Si ComboFix a besoin de redémarrer, laisser le aller.

/|\ Après que ComboFix soit lancé, ne pas cliquer dans sa fenêtre,

► Postez le rapport de ComboFix (C:\Combofix.txt).

/|\ Réactiver l'antivirus et autre protection /|\

Voila ce que j'ai trouvé avec regedit (en mode sans echec avec machin reseau (je sais pas si ça a de l'importance mais je le précise)) :

" />

" />

" />

" />

Donc voila visiblement rien d'anormal, verdict ?

bon je n'arrive pas à créer une cle usb bootable !!!

C'est très compliqué, ça.

bon en reprenant à zéro clairement (je veux essayer la technique de rkill), je télécharge rkill, je passe en mode sans echec, je double clic sur l'executable et actuellement ba il y a un fichier texte qui s'affiche mais rien de plus !

C'est normal. C'est un programme qui enlève les processus dont on parle. En fait, il t'évite d'avoir à faire Ctrl-Shift-Echapp pour les enlever. En principe, tu peux le lancer en mode normal, et après, ton ordinateur redevient normal. Jusqu'au démarrage suivant, bien entendu. Cela ne règle pas le problème du deuxième programme.

Au sujet de ce que tu as trouvé avec regedit, tout à l'air normal. Il se peut encore que le 2ème programme se trouve dans le dossier Démarrage.

Sinon est-ce que tu as installé récemment un programme, peu avant que Security Tools s'incruste ?

(le 2ème programme peut être un programme a priori neutre, mais qui inclut l'autre, c'est le principe d'un trojan)

Non je ne crois pas avoir installé quoique ce soit récemment !

Bon voici le rapport combofix (là je n'y comprend rien je vous laisse analyser voir si vous pensez qu'il a detecté un truc anormal!) : (je dois faire quoi là? remettre un petit coup de malware anti spyware ?)

ComboFix 10-09-27.01 - Utilisateur 27/09/2010 21:50:40.1.2 - x86 NETWORK

Microsoft Windows XP édition familiale 5.1.2600.3.1252.33.1036.18.3067.2689 [GMT 2:00]

Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Utilisateur\Local Settings\Application Data\20686711.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-27 au 2010-09-27 ))))))))))))))))))))))))))))))))))))

.

2010-09-26 15:32 . 2010-09-26 15:32 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\Malwarebytes

2010-09-26 15:31 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-26 15:31 . 2010-09-26 15:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-09-26 15:31 . 2010-09-26 15:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-09-26 15:31 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-09-26 12:56 . 2010-09-26 12:56 -------- d-----w- c:\program files\Enigma Software Group

2010-09-26 12:56 . 2010-09-26 13:20 -------- d-----w- c:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP

2010-09-26 12:56 . 2010-09-26 12:56 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2010-09-07 10:20 . 2010-09-07 10:29 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2010-09-07 10:20 . 2010-09-26 13:24 -------- d-----w- c:\program files\Invisible Secrets 4

2010-09-06 16:34 . 2010-09-06 16:34 -------- d-----w- c:\program files\TextInPicture

2010-08-29 14:07 . 2010-08-29 14:07 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2010-08-29 14:07 . 2010-09-26 17:10 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\skypePM

2010-08-29 14:06 . 2010-09-26 17:11 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\Skype

2010-08-29 14:05 . 2010-08-29 14:05 -------- d-----w- c:\program files\Fichiers communs\Skype

2010-08-29 14:05 . 2010-09-06 20:46 -------- d-----r- c:\program files\Skype

2010-08-29 14:05 . 2010-08-29 14:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-26 19:33 . 2008-04-14 13:00 84964 ----a-w- c:\windows\system32\perfc00C.dat

2010-09-26 19:33 . 2008-04-14 13:00 510980 ----a-w- c:\windows\system32\perfh00C.dat

2010-09-26 17:19 . 2010-02-06 14:16 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\vlc

2010-09-25 15:53 . 2010-06-05 14:35 -------- d-----w- c:\program files\Cheat Engine

2010-09-15 16:21 . 2009-11-14 17:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-09-07 19:41 . 2009-11-08 22:35 1 ----a-w- c:\documents and settings\Utilisateur\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-09-03 15:18 . 2009-11-13 08:48 -------- d-----w- c:\program files\Google

2010-08-17 13:17 . 2008-04-14 13:00 58880 ----a-w- c:\windows\system32\spoolsv.exe

2010-07-22 15:48 . 2008-04-14 13:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll

2010-06-30 12:32 . 2008-04-14 13:00 149504 ----a-w- c:\windows\system32\schannel.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-13 39408]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-02-23 870920]

"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-01-30 192512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 16:43 69632 ----a-w- c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2008-04-10 14:52 16861184 ----a-w- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 k57w2k;Broadcom NetLink Gigabit Ethernet;c:\windows\system32\drivers\k57xp32.sys [05/08/2009 10:33 186880]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/02/2010 02:33 135664]

S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]

S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]

.

Contenu du dossier 'Tâches planifiées'

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 00:33]

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 00:33]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Settings,ProxyServer = 10.225.75.254:3128

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\bw1qadef.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: network.proxy.ftp - 87.106.143.132

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.gopher - 87.106.143.132

FF - prefs.js: network.proxy.gopher_port - 3128

FF - prefs.js: network.proxy.http - 87.106.143.132

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - 87.106.143.132

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - 87.106.143.132

FF - prefs.js: network.proxy.ssl_port - 3128

FF - prefs.js: network.proxy.type - 0

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-RunOnce-20686711 - c:\documents and settings\Utilisateur\Local Settings\Application Data\20686711.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-09-27 21:54

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(744)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2010-09-27 21:56:51

ComboFix-quarantined-files.txt 2010-09-27 19:56

Avant-CF: 34 908 336 128 octets libres

Après-CF: 34 915 426 304 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 986B176E1D408909CB74DDBB4CF596A2

c'est du charabia pour moi ^^ (en même temps je me suis pas trop plongé dedans mais peut-être avez vous plus l'habitude que moi :s )

la partie "orphelin supprimé" m'a l'air importante non ?

il y a encore des traces de spyhunter c'est pas normal ça non plus... comment je fais pour supprimer correctement des programme (tel que spy hunter dans notre cas) qui n'apparaissent pas dans "panneau de configuration" ==> "ajout ou suppresion de programme" ???

C'est très compliqué, ça.

je vois pas ce qu'il y a de compliqué avec UNetbootin

Copier/coller dans Démarrer → Exécuter : ComboFix /uninstall et valider.

Vérifier sur le C:\ pour supprimer des rép. : Combofix - QooBox.

_________________________________________

Produisez un diagnostique complet du PC.

Téléchargez sur votre bureau ZHPDiag (de Coolman).

• Lancer ZHPDiag.exe par un double-clique

.. Ne modifiez pas les paramètres

.. Après l'installation, ZHPDiag devrait s'ouvrir ..ou faites le,

• Cliquer sur le Tournevis , et sélectionner /cocher que les lignes (045) et (061)

En haut à gauche ;

• Cliquer sur la Loupe ..pour créer le rapport.

.. Attendez que le rapport soit complété,

• Cliquer sur la Disquette et sauvegarder le rapport,

Au lieu de poster ce rapport "trop volumineux" direct sur le forum.

• Aller sur le site d'hébergement CJoint,

• Appuyez sur [Parcourir] et chercher le rapport ← image

• Ensuite appuyez sur [Créer le lien CJoint],

.. Une adresse http//......(bleu, mauve) sera créé.

► Postez cette adresse http//......

Je ne vais pas avoir besoin de suivre ton dernier conseil cosmido ^^

visiblement combofix est venu à bout de ce XHdcc...^^š^ll,n nkkb de virus !!! ouraaaaaaaaaaa

Merci vraiment à tous de m'avoir accompagner dans cette démarche, je n'y serais vraiment pas arrivé sans vous!

Un gros bisous à tous de la part d'un clown, dont qui sait vous croiserez peut-être le chemin au détour d'un traboul dans le vieux Lyon