Virus et dysfonctionnement [résolu]

Salut a tous.
Hier j'ai visité des sites adulte et j'ai cliqué sur une soit disant mise a jour pour pouvoir lire des vidéos. Depuis, mon ordi a certains cadres de fenêtre type "ancien" windows avec les trois boutons en haut a droite différents. Les cases a cocher, par exemple dans ccleaner ou les fameuses cases en haut a droite pour les commandes de fermeture et reduction de page, me semblent avoir les traits bien plus "gras" qu'avant.j'ai fait un scan avec l'antivirus de orange mais il n'a rien trouvé. j'ai essayé de faire une restauration du système mais ca bloque au moment de la lancer. j'ai supprimé tout ce qui portait le nom de cette "mise a jour" a partir de la rubrique "chercher" du menu démarrer. A certains moment, une fenêtre avec un message d'erreur s'ouvre avec noté "l'instruction à "0x75586eb5" emploie l'adresse mémoire"0X00000008" la mémoire ne peut être"read". cliquez sur OK pour terminer le programme".
Lorsque j'essaye d'acceder au disque dur a partir du menu demarrer, il m'apparait ca;
"windows ne trouve pas "recycler\s-0-3-56-100018602-100003570-100020208-3248.com" verifiez que vous avez entré le nom correctement et essayez a nouveau. pour chercher un fichier, cliquez sur le bouton demarrer puis sur rechercher."
Y a t il quelqu'un pour m'aider a corriger ca?
En vous remerciant par avance.

casse bonbons

Télécharge Flash Disinfector (de sUBs) sur le bureau :
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Ferme les applications (Word, etc) : car explorer.exe va être arrêté
puis relancé (on perd les icônes du bureau).

Branche les supports amovibles, démarre-les (clé Usb, disques dur externes,
par exemple) pour ceux qui le devraient, sans ouvrir le contenu par le
Poste de travail.

Double-clique sur Flash_Disinfector.exe.

Le nettoyage est rapide, un message informe de la fin des opérations.

Si un rapport est généré en cas d'infection, sauvegarde-le et poste le
dans la prochaine réponse.

S'il y a plusieurs clés USB ou disques durs externes à désinfecter,
renouvelle l'opération en branchant les clés non traitées une par une.

---
Ensuite, ...

Fais un scan HijackThis et poste le rapport.

Bonjour kmisol.
Merci de me consacrer de ton temps. Le premier lien ne fonctionne pas.

...

http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Re.
Le premier lien n'a pas generé de rapport.
sinon voila pour le second:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:06, on 16/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\bip\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\7431218\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Program Files\Securitoo\av_fw\backweb\7431218\Program\fspex.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsrw.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\PROGRA~1\SECURI~1\av_fw\ANTI-S~1\fsaw.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\av_fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\bip\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\Securitoo\av_fw\backweb\7431218\Program\fspex.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\Securitoo\av_fw\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.(...)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageupload(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - http://67.15.101.33/g_bin/eng/marbles_2_0_0_32.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.eu/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/fr/check/qdiagh.cab?326
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: NameServer = 85.255.112.128,85.255.112.142
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.21,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.128,85.255.112.142
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 7431218) - Securitoo Portal - C:\PROGRA~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: FSBWSYS - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\7431218\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 10587 bytes

bonjour

casse bonbons, la prochaine fois je vous prierai de ne plus faire de double sujet (cf celui où je vous écris actuellement) et de plus supprimer le sujet initial

...

Télécharge WareOut Removal Tool (par dj QUIOU & la team sécurité MH)

Lance le fichier WareOut_Removal_Tool.bat et choisis l'option 1.

Patiente (1 à 2 mn maxi) pendant que le programme sauvegarde le regsitre.

Lis bien attentivement les instructions qui te seront données.

A la fin de l'analyse, un rapport va s'ouvrir ; poste-le.

Ok m'sieur mais c'etait pour en faire qu'un qui fasse moin fouillis donc plus lisible. Mais si il doit en etre ainsi... (reponse a totoftotof...)

kmisol, le lien ne fonctionne pas, erreur 404..

...

http://pc-system.fr/WORT/WORT.zip

===== Rapport WareOut Removal Tool =====

version 2.4

analyse effectuée le 16/03/2009 à 15:22:16,07

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~

C:\autorun.inf trouvé!
C:\autorun.inf suppression impossible


~~~~ Recherche d'infections dans C:\Program Files\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\bip\Application Data\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\bip\Bureau\ ~~~~


~~~~ Recherche de détournement de DNS ~~~~

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.112.128,85.255.112.142
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.112.128,85.255.112.142
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.112.128,85.255.112.142
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}]
NameServer REG_SZ 85.255.112.128,85.255.112.142
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}]
NameServer REG_SZ 85.255.112.128,85.255.112.142
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}]
NameServer REG_SZ 85.255.112.128,85.255.112.142


~~~~ Recherche du Rootkit kd???.exe ~~~~


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ


~~~~ Nettoyage du registre ~~~~

Registre sauvegardé et nettoyé avec succès !

_________________________________

développé par http://pc-system.fr
_________________________________

...

Relance WareOut_Removal_Tool.bat et choisis cette fois l'option 6.

Patiente (1 à 2 mn maxi) pendant que le programme sauvegarde le registre ;

Lis bien attentivement les instructions qui te seront données ;

A la fin de l'analyse, un rapport va s'ouvrir ; poste-le.

C'est quoi un rootkit?

===== Rapport WareOut Removal Tool (option n°6 rootkit kd???.exe) =====

version 2.4

analyse effectuée le 16/03/2009 à 15:35:23,95

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~


~~~~ Recherche d'infections dans C:\Program Files\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~


~~~~ Recherche d'infections dans C:\DOCUME~1\bip\LOCALS~1\Temp\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\bip\Start Menu\Programs\ ~~~~


~~~~ Nettoyage du registre ~~~~

~~~~ Tentative de suppression des entrées suivantes: ~~~~

[HKEY_CURRENT_USER\Software\VideoAccess]
[HKEY_CLASSES_ROOT\VideoAccess]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoAccess]
[HKEY_CURRENT_USER\Software\DirectVideo]
[HKEY_CLASSES_ROOT\DirectVideo]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DirectVideo]
[HKEY_CLASSES_ROOT\msqpdxvx]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msqpdxserv.sys]

~~~~ Tentative de réparation des entrées suivantes: ~~~~

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

~~~~ Vérification: ~~~~

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ


_________________________________

développé par http://pc-system.fr
_________________________________

http://fr.wikipedia.org/wiki/Rootkit

---
Télécharge et installe SmitFraudFix (par S!Ri)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 5 et appuie sur "Entrée" pour créer un
rapport que tu trouveras à la racine du disque système C:\rapport.txt

Poste-le.

SmitFraudFix v2.404

Rapport fait à 15:54:21,15, 16/03/2009
Executé à partir de C:\Documents and Settings\bip\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.128
DNS Server Search Order: 85.255.112.142

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: NameServer=85.255.112.128,85.255.112.142
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: NameServer=85.255.112.128,85.255.112.142
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: NameServer=85.255.112.128,85.255.112.142
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.128,85.255.112.142
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.128,85.255.112.142
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.128,85.255.112.142

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4A8B39E1-9FEC-4DF5-A36F-38B8309BB765}: DhcpNameServer=192.168.1.1

...

Redémarre le PC en mode sans échec …
(méthode F8 de préférence)

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 2 et appuie sur "Entrée".
Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie
sur "Entrée" ....
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste-le.

casse bonbons, pour information il existe la fonction édition de message quand vous avez quelque chose de plus à rajouter au message précédent donc vous n'auriez pas fait un double sujet et supprimer l'initial, il vous suffisait tout simplement d'utiliser cette fonction et de réunir vos messages en un seul ==>> ""

donc la prochaine fois pas de double sujet et vous utilisez cette fonction

Ok meci pour cete precision totoftotof.
Pour ce qui est de ma procédure, j'ai comme un p'tit problème; je n'accède plus a internet. Pendant l'avant dernière manipulation de SmitFraudFix v2.404 (donc celle avant le mode sans echec) il me semble avoir dit oui lorsqu'une fenetre s'est ouverte, je crois que ca parlait de dns et depuis plus d'internet. La je réponds a partir d'un ordi portable. comment faire?

de rien

merci donc d'en tenir compte la prochaine fois

...

Télécharge LSPfix :

- Démarre LSPfix
- Coche "I know what I'm doing"
- Clique sur "Finish".
- Redémarre ton PC.

Par clé Usb, transfère-le.

Re probleme; le portable a vista et le fixe xp...

...

Si tu le transfère sans l' exécuter !

je l'ai fait mais ca change pas grand chose. ca me dit page web inaccessible

...

Télécharge Zeb-Restore

http://telechargement.zebulon.fr/zeb-restore.html

Enregistre ce fichier sur le bureau.

→ Clic droit Zeb-Restore.zip ==> Extraire tout
(choisis comme lieu d'enregistrement le bureau).
→ Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
→ Coche la case devant : Réparation IE ( si tu as un message d'erreur
recommence en mode sans échec )

-- Ne coche aucune autre case --

→ Clique sur Restaurer
→ Redémarre ton PC

autre petite info; depuis la manip en mode sans echec, l'image de mon fond d'ecran a disparue.

ca change rien.... il me semble que ca parlait de changement de dns... enfin il me semble.

...

Pour LSPFix, prends ce lien : http://www.cexx.org/lspfix.zip

Sinon, essaie d' installer Malwarebytes :

http://forum.telecharger.01net.com/microhebdo/6/tuto-securite/tuto-malwaresby(...)

zeb-restaure et LSPix sont fait en passant par le portable et usb. la j'en suis a plus d'acces internet, plus de fond d'ecran, toujours pas possible de restaurer a une date anterieure, par contre j'ai de nouveau acces au (c:). je telechage Malwarebytes? je l'ai deja sur mon ordi mais il ne veut pas se lancer. pour les mises a jour, plus d'acces a internet, comment faire? le faire a partir du portable? ca ne sera pas un probleme vista/ xp?

J'ai telechergé Malewarebyte et fait les mises a jour a partir du portable, je l'ai transfere a l'autre ordi mais il ne veut pas se lancer

Essaie ce qui suit :

Clique droit sur > FindyKill < (par Chiquitine29)

Choisis > Enregistrer la cible sous ... le Bureau !
Double-clique sur le raccourci FindyKill sur ton bureau.

Exécute-le ...
Il faut lancer l'installation avec les paramètres par défaut.
Laisse toi guider : Next > I agree > Next, etc ...

Double-clique sur le 2 ème raccourci FindyKill sur ton bureau.
Au menu principal, choisis l'option 1 (Recherche).

Patiente le temps du scan ...

Un rapport va s ouvrir ; poste-le dans ta prochaine réponse.
Note : le rapport FindyKill.txt est aussi conservé à
la racine du disque dur (C:\).

Transfère par clé Usb et exécute-le sur le PC endommagé.

Re...

############################## [ FindyKill V4.720 ]

# User : bip () # ERIC
# Update on 12/03/09 by Chiquitine29
# Start at: 13:56:56 | 17/03/2009

# Intel(R) Celeron(R) CPU 1.80GHz
# Microsoft Windows XP �dition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AntiVirus Firewall 6.15 6.15 [ Enabled | Updated ]
# FW : AntiVirus Firewall 6.15[ Enabled ]6.15

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 37,27 Go (18,87 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible # 1,89 Go (368,22 Mo free) [USB DISK] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\7431218\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\backweb\7431218\Program\fspex.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsrw.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\bip\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\SECURI~1\av_fw\ANTI-S~1\fsaw.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]


################## [ Registre / Clés infectieuses ]



################## [ Recherche dans supports amovibles]

# Presence des fichiers :

Found ! [16/03/2009 15:22][d-a------] - C:\autorun.inf

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.720 ! ]

...

Branche les sources de données externes à ton PC
(clé USB, disque dur externe, etc ...) sans les ouvrir !

Sur le bureau, relance FindyKill en double-cliquant sur le raccourci.

Au menu principal, choisis l'option 2 : (Suppression)

Il y aura 2 redémarrages du PC.

Laisse-le travailler jusqu' à l' apparition de : "Nettoyage effectué".

Un rapport va s' ouvrir. Copie/colle-le dans ta réponse.
PS : le rapport FindyKill.txt est aussi conservé à la racine du disque dur.

############################## [ FindyKill V4.720 ]

# User : bip () # ERIC
# Update on 12/03/09 by Chiquitine29
# Start at: 16:34:37 | 17/03/2009

# Intel(R) Celeron(R) CPU 1.80GHz
# Microsoft Windows XP �dition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AntiVirus Firewall 6.15 6.15 [ Enabled | Updated ]
# FW : AntiVirus Firewall 6.15[ Enabled ]6.15

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 37,27 Go (18,87 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\7431218\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\backweb\7431218\Program\fspex.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsrw.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\bip\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\SECURI~1\av_fw\ANTI-S~1\fsaw.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]

Deleted ! - "C:\Avenger"

################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]


################## [ Registry / Infected keys ]


################## [ Cleaning Removable drives ]

# Deleting files :

Not deleted !! - C:\autorun.inf

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# -> Nothing found.

################## [ ! End of Report # FindyKill V4.720 ! ]

...

A partir d’ un de ces trois liens, télécharge Combofix, sur ton bureau :
ComboFix 1, ComboFix 2 ou ComboFix 3 (par sUBs).

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en combo-fix.exe

Prends connaissance de ce tutoriel :
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Ferme toutes les fenêtres et applications.
Déconnecte-toi du net et désactive tes protections résidentes :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

Sur le bureau, double clique combo-fix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse.

j'ai essayé de desactiver l'antivirus de orange mais ca me dit que ca le detecte toujours comme actif. de plus il y a une fenetre qui me dit que "combofix a detecté que la console de recuperation windows n'existe pas sur le pc. vous aurez tout interet a l'installer. voulez vous le faire maintenant? *note* une connection internet active est indispensable. oui non". que dois je faire?

...

Si la connection Internet est active, installe la.

ben disons qu'elle l'etait mais il y a eu ce fameux probleme de dns. depuis je n'ai pas re-essayé, attendant tes instructions. dans le lien expliquant le fontionnement de combofix, il n'y a rien pour ce cas? une solution?

possible de faire quelque chose avec l'ordi portable et la cle usb?

...

Ne t' ocuppes pas de ce que dit l' antivirus pour ComboFix !

Si tu peux le lancer en mode sans echec, une fois installé par
clé Usb, fais-le.

l'antivirus ne dit rien, c'est combofix qui detecte qu'il est encore en fontion. pour ce qui est de ce message; "combofix a detecté que la console de recuperation windows n'existe pas sur le pc. vous aurez tout interet a l'installer. voulez vous le faire maintenant? *note* une connection internet active est indispensable. oui non", je doit arreter la procedure, redemarrer l'ordi en mode sans echec et pas installer cette "console de recuperation windows"?