Grosse infections

raymond66 Messages postés 21 Statut Membre -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour a tous

voila j ai telechargé Navipromo07H et il m a dis ceci :


Rapport Navipromo.bat 0.72 effectué depuis C:\Documents and Settings\Propri‚taire\Bureau\Navipromo07H le 12/01/2009 à 18:36:44,59
Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés


-------------

Rapport Navipromo.bat 0.72 effectué depuis C:\Documents and Settings\Propri‚taire\Bureau\Navipromo07H le 12/01/2009 à 18:36:52,64
Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés

## Vérifications supplémentaires

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

* Navipromo

C:\WINDOWS\System32


* Trojan Nebula



* Trojan Vundo

et j ai telechargé aussi spyware blaster j ai plein de trojan de worm comme trojan.vundo.b win32.delf trojan

zlob..... placé ici HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility dans plein

de clefs pouvais vous m aider svp a supprimer au moins trojan.vundo ??? merci beacoup

34 réponses

  • 1
  • 2
Réponse 1 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Bonjour,

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur " RSIT.exe " pour le lancer .
dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
cliques ensuite sur " Continue " pour lancer l'analyse ...

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

Attends jusqu’à la fin de l’analyse.
deux rapports vont être generés.

Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...

Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

A+
0
Réponse 2 / 34
raymond66 Messages postés 21 Statut Membre
 
Logfile of random's system information tool 1.05 (written by random/random)
Run by Propriétaire at 2009-01-12 21:25:22
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 143 GB (94%) free of 152 GB
Total RAM: 2047 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:52, on 12/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Spyware Doctor\pctsGui.exe
C:\Program Files\Spyware Vaccine\Spyware Vaccine\spv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\SpywareBlaster\spywareblaster.exe
C:\Program Files\SpywareBlaster\spywareblaster.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Propriétaire\Bureau\Propriétaire.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Spyware Vaccine.lnk = C:\Program Files\Spyware Vaccine\Spyware Vaccine\spv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
0
Réponse 3 / 34
raymond66 Messages postés 21 Statut Membre
 
info.txt logfile of random's system information tool 1.05 2009-01-12 21:25:54

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{D6E592B3-67DA-4BBB-9783-E1838FB253A2}
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Eusing Free Registry Cleaner-->C:\PROGRA~1\EUSING~1\UNWISE.EXE C:\PROGRA~1\EUSING~1\INSTALL.LOG
Final Uninstaller-->"C:\Program Files\FinalUninstaller\unins000.exe"
HijackThis 2.0.2-->"C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe" /uninstall
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{3CCB732A-E472-4CF9-B1EE-F18365341FE0}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953155)-->"C:\WINDOWS\$NtUninstallKB953155$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NVIDIA Ethernet Driver-->C:\WINDOWS\System32\nvuenet.exe Uninstall C:\WINDOWS\System32\Nvenet.nvu,NVIDIA Ethernet Driver
NVIDIA Gart Driver-->C:\WINDOWS\System32\nvugart.exe Uninstall C:\WINDOWS\System32\Nvgart.nvu,NVIDIA Gart Driver
NVIDIA Windows 2000/XP Display Drivers-->rundll32.exe C:\WINDOWS\System32\nvinstnt.dll,NvUninstallNT4 nvhp.inf
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Revo Uninstaller 1.75-->C:\Program Files\VS Revo Group\Revo Uninstaller\uninst.exe
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Spyware Doctor 6.0-->C:\Program Files\Spyware Doctor\unins000.exe /LOG
Spyware Vaccine 4.0-->"C:\Program Files\Spyware Vaccine\Spyware Vaccine\unins000.exe"
SpywareBlaster 4.1-->"C:\Program Files\SpywareBlaster\unins000.exe"
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{01523985-2098-43AF-9C97-12B07BE02A9B}
Windows Live Communications Platform-->MsiExec.exe /I{F69E83CF-B440-43F8-89E6-6EA80712109B}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Wise Registry Cleaner 3 Free 3.9-->"C:\Program Files\Wise Registry Cleaner 3\unins000.exe"

System event log

Computer Name: BENJAMIN
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Services Terminal Server.

Record Number: 5
Source Name: Service Control Manager
Time Written: 20090110111415.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: BENJAMIN
Event Code: 34
Message: Le service de temps a détecté que l'heure système doit être modifiée de
+93560 secondes. Le service de temps ne va pas modifier
l'heure système de plus de +54000 secondes. Vérifiez que votre heure et votre fuseau horaire
sont corrects et que la source de temps time.windows.com (ntp.m|0x1|192.168.1.132:123->207.46.232.182:123) fonctionne correctement.

Record Number: 4
Source Name: W32Time
Time Written: 20090110111307.000000+060
Event Type: erreur
User:

Computer Name: BENJAMIN
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 3
Source Name: EventLog
Time Written: 20090110111237.000000+060
Event Type: Informations
User:

Computer Name: BENJAMIN
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 2
Source Name: EventLog
Time Written: 20090110111237.000000+060
Event Type: Informations
User:

Computer Name: benjamin
Event Code: 115
Message: Le suivi de la Restauration système a été activé sur tous les lecteurs.

Record Number: 1
Source Name: SRService
Time Written: 20090110111152.000000+060
Event Type: Informations
User:

Application event log

Computer Name: BENJAMIN
Event Code: 1001
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés.
Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système
et les dernières entrées du registre d'aide.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090110111655.000000+060
Event Type: Informations
User:

Computer Name: BENJAMIN
Event Code: 1
Message:
Record Number: 4
Source Name: ccEvtMgr
Time Written: 20090110111336.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: BENJAMIN
Event Code: 26
Message:
Record Number: 3
Source Name: ccEvtMgr
Time Written: 20090110111332.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: BENJAMIN
Event Code: 2
Message:
Record Number: 2
Source Name: ccPwdSvc
Time Written: 20090110111332.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: BENJAMIN
Event Code: 1
Message:
Record Number: 1
Source Name: ccPwdSvc
Time Written: 20090110111331.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Security event log

Computer Name: BENJAMIN
Event Code: 514
Message: Un package d'authentification a été chargé par l'autorité de sécurité locale.
Ce package d'authentification va être utilisé pour authentifier les tentatives d'ouverture de session.


Nom du package d'authentification : C:\WINDOWS\system32\msv1_0.dll : NTLM

Record Number: 5
Source Name: Security
Time Written: 20090110111237.000000+060
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: BENJAMIN
Event Code: 514
Message: Un package d'authentification a été chargé par l'autorité de sécurité locale.
Ce package d'authentification va être utilisé pour authentifier les tentatives d'ouverture de session.


Nom du package d'authentification : C:\WINDOWS\system32\kerberos.dll : Kerberos

Record Number: 4
Source Name: Security
Time Written: 20090110111237.000000+060
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: BENJAMIN
Event Code: 514
Message: Un package d'authentification a été chargé par l'autorité de sécurité locale.
Ce package d'authentification va être utilisé pour authentifier les tentatives d'ouverture de session.


Nom du package d'authentification : C:\WINDOWS\system32\LSASRV.dll : Negotiate

Record Number: 3
Source Name: Security
Time Written: 20090110111237.000000+060
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: BENJAMIN
Event Code: 512
Message: Windows démarre.

Record Number: 2
Source Name: Security
Time Written: 20090110111237.000000+060
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: benjamin
Event Code: 517
Message: Le journal d'audit a été effacé


Utilisateur principal : SYSTEM

Domaine principal : AUTORITE NT

Id. de session principale : (0x0,0x3E7)

Utilisateur client : SYSTEM

Domaine client : AUTORITE NT

Id. de session client : (0x0,0x3E7)


Record Number: 1
Source Name: Security
Time Written: 20090110111150.000000+060
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;c:\Python22
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------
0
Réponse 4 / 34
raymond66 Messages postés 21 Statut Membre
 
par contre je suis allé plusieurs fois dans mes services jeté un oeil est ce normal que je sois bourré de services?

est ce normal que la plupart sois desactivé et d autres sur manual?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
raymond66 Messages postés 21 Statut Membre
 
plus personne me repond?
0
Réponse 6 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Il est minimaliste le rapport Hijackthis !
C'est toi qui optimises comme cela ton PC ?

Tu n'as aucun antivirus, ni parefeu sur ton PC.

Installes Antivir en français.
Télécharge-le : https://www.avira.com/fr/free-antivirus-windows

Suis le tuto pour installer Antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/

Mets à jour Antivir et lance un scan complet :
Pour cela, clique sur l'onglet Protection Locale puis Contrôler :
Choisis les éléments à scanner ( disques durs locaux ).
Lance le scan. Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
Poste le rapport.

A+
0
Réponse 7 / 34
raymond66 Messages postés 21 Statut Membre
 
normal ma securité est infecté par contre confofix vien de me trouvé des trucs


c:\program files\Fichiers communs\PagingSYS.dll il ma trouvé ca j avé un fichier commun des les program files et a

l interieur j avé microsoft shared system et d autres choses je vais telecharger alors antivir
0
Réponse 8 / 34
raymond66 Messages postés 21 Statut Membre
 
antivir quand je click dessus il me dit setup ne peut pas trouver le repertoire de programme
0
Réponse 9 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Il ne me semble pas t'avoir demandé de passer ComboFix.
Si tu prends de ton côté toutes sortes d'initiatives, je te dis tout de suite que j'arrête la.

premièrement, poste moi le rapport de combofix.
il se trouve en C:\combofix.txt

Deuxièmement, comment as-tu chopé ce problème ?
Quels sont les symptômes qui te fais dire qu'il y a de grosses infections sur ton PC ?

1) Télécharge FindyKill de ( Chiquitine29 )
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Important : télécharge le sur le bureau

Supprime Elibagla si tu l’as téléchargé ( risque de conflit entre les deux outils )

* Lance l' installation de FindyKill avec les parametres par default
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infecté sans les ouvrir
* Double clic sur le raccourci FindyKill sur ton bureau
* Au menu principal,choisis l'option 1 ( Recherche )

Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

2) Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Utilise Internet Explorer.

Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

3) Tu vas analyser ce fichier : restart.exe

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/

Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.

Chemin : C:\WINDOWS\system32\restart.exe

Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

Tu me postes tous ces rapports et attends la suite.

A+
0
Réponse 10 / 34
raymond66 Messages postés 21 Statut Membre
 
----------------- FindyKill V4.711 ------------------

* User : Propri‚taire - BENJAMIN
* executed from : C:\Program Files\FindyKill
* Update on 05/01/09 par Chiquitine29
* Start at 12:12:36 the 13/01/2009
* Windows XP - Internet Explorer 7.0.5730.13


((((((((((((((( *** deleting *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe

--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:


»»»» Supression files in C:\WINDOWS


»»»» Supression files in C:\WINDOWS\Prefetch


»»»» Supression files in C:\WINDOWS\system32


»»»» Supression files in C:\WINDOWS\system32\drivers


»»»» Supression files in C:\Documents and Settings\Propri‚taire\Application Data


»»»» Supression files in C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp


»»»» Supression files in C:\Documents and Settings\Propri‚taire\Local Settings\Temporary Internet Files\Content.IE5


--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe

--------------- [ States / Restarting of services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2


--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe


+- deleting files :


--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


--------------- [ Searching Other Infections ] ----------------


--------------- [ Searching Cracks / Keygen ] ----------------



---------------- ! End of report ! ------------------
0
Réponse 11 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Et le rapport de Combofix ?
Poste le moi;
0
Réponse 12 / 34
raymond66 Messages postés 21 Statut Membre
 
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.14 -
AhnLab-V3 2009.1.13.3 2009.01.14 -
AntiVir 7.9.0.54 2009.01.14 SPR/Tool.Hardoff.A
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.13 -
AVG 8.0.0.229 2009.01.14 -
BitDefender 7.2 2009.01.14 -
CAT-QuickHeal 10.00 2009.01.14 -
ClamAV 0.94.1 2009.01.14 Trojan.Shutdowner
Comodo 927 2009.01.13 TrojWare.Win32.Shutdowner.~A
DrWeb 4.44.0.09170 2009.01.14 Trojan.Shutdown.134
eSafe 7.0.17.0 2009.01.13 -
eTrust-Vet 31.6.6307 2009.01.14 -
F-Prot 4.4.4.56 2009.01.14 -
Fortinet 3.117.0.0 2009.01.14 -
GData 19 2009.01.14 -
Ikarus T3.1.1.45.0 2009.01.14 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.14 -
McAfee 5494 2009.01.13 -
McAfee+Artemis 5494 2009.01.13 -
Microsoft 1.4205 2009.01.14 -
NOD32 3764 2009.01.14 Win32/Shutdown.NAA
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.14 Trojan/W32.ShutDown.16384
Panda 9.5.1.2 2009.01.13 -
PCTools 4.4.2.0 2009.01.14 -
Rising 21.12.22.00 2009.01.14 -
SecureWeb-Gateway 6.7.6 2009.01.14 -
Sophos 4.37.0 2009.01.14 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.14 -
TheHacker 6.3.1.4.219 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.14 -
VBA32 3.12.8.10 2009.01.13 -
ViRobot 2009.1.14.1559 2009.01.14 Trojan.Win32.ShutDown.16384
VirusBuster 4.5.11.0 2009.01.13 -
0
Réponse 13 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Poste moi le rapport combofix.
Il se trouve en C:\combofix.txt
0
Réponse 14 / 34
raymond66 Messages postés 21 Statut Membre
 
ComboFix 09-01-13.04 - Propriétaire 2009-01-13 13:45:27.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2047.1644 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
.

2009-01-13 13:45 . 2009-01-13 13:46 <REP> d----c--- C:\ComboFix
2009-01-13 13:44 . 2009-01-13 13:44 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-01-13 13:44 . 2009-01-13 13:44 <REP> d-------- c:\windows\LastGood
2009-01-13 13:13 . 2009-01-13 13:14 <REP> d-------- c:\windows\system32\NtmsData
2009-01-13 13:00 . 2009-01-13 13:00 <REP> d--hsc--- C:\RECYCLER
2009-01-13 12:07 . 2009-01-13 12:13 <REP> d-------- c:\program files\FindyKill
2009-01-13 10:49 . 2009-01-13 13:06 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-13 10:49 . 2009-01-13 12:03 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-13 09:34 . 2009-01-13 09:34 <REP> d-------- c:\windows\system32\%commonprogramfiles%
2009-01-13 09:34 . 2009-01-13 09:34 <REP> d-------- c:\program files\microsoft frontpage
2009-01-13 09:34 . 2,146,881,536 C:\hiberfil.sys
2009-01-13 09:00 . 2009-01-13 13:45 <REP> d----c--- C:\Qoobox
2009-01-12 21:25 . 2009-01-12 21:25 <REP> d----c--- C:\rsit
2009-01-12 21:25 . 2009-01-12 21:25 <REP> d----c--- C:\rsit
2009-01-12 19:27 . 2009-01-12 19:27 <REP> dr------- c:\documents and settings\LocalService\Favoris
2009-01-12 18:36 . 2009-01-12 18:36 <REP> d----c--- C:\Navipromo
2009-01-12 18:36 . 2009-01-12 18:36 <REP> d----c--- C:\Navipromo
2009-01-12 18:15 . 2009-01-12 18:15 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-12 18:15 . 2009-01-12 18:15 <REP> d-------- c:\documents and settings\Propriétaire\Application Data\Malwarebytes
2009-01-12 18:15 . 2009-01-12 18:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-12 18:15 . 2009-01-04 18:39 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-12 18:15 . 2009-01-04 18:39 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-12 17:57 . 2001-08-29 19:57 155,648 --a------ c:\windows\system32\addurl41.DLL
2009-01-12 17:57 . 2001-07-10 14:43 18,432 --a------ c:\windows\system32\winwatch.DLL
2009-01-12 17:37 . 2009-01-12 17:37 <REP> d-------- c:\documents and settings\Propriétaire\Application Data\Sunbelt
2009-01-12 17:37 . 2009-01-12 17:37 <REP> d-------- c:\documents and settings\All Users\Application Data\Sunbelt
2009-01-12 17:35 . 2009-01-12 18:28 <REP> d-------- c:\documents and settings\Propriétaire\Application Data\dvdcss
2009-01-12 13:18 . 2009-01-12 18:18 <REP> d-------- c:\documents and settings\Propriétaire\Application Data\DelinvFile
2009-01-12 13:12 . 2009-01-13 12:58 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-01-12 13:01 . 2009-01-12 13:01 <REP> d-------- c:\windows\system32\regdacl
2009-01-12 13:01 . 2009-01-12 13:01 90,112 --a------ c:\windows\system32\regdacl.exe
2009-01-12 13:01 . 2009-01-12 13:01 16,384 --a------ c:\windows\system32\restart.exe
2009-01-12 13:01 . 2009-01-12 13:01 4,096 --a------ c:\windows\system32\reboot.exe
2009-01-12 12:50 . 2009-01-12 12:50 142,096 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-01-12 10:02 . 2009-01-12 10:02 <REP> d-------- c:\program files\VideoLAN
2009-01-12 10:02 . 2009-01-12 10:03 <REP> d-------- c:\documents and settings\Propriétaire\Application Data\vlc
2009-01-11 21:13 . 2009-01-12 20:51 <REP> d-------- c:\documents and settings\Propriétaire\Tracing
2009-01-11 21:13 . 2009-01-12 20:51 <REP> d-------- c:\documents and settings\Propriétaire\Tracing
2009-01-11 20:14 . 2008-10-16 21:18 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-01-11 20:14 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-01-11 20:14 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-01-11 20:14 . 2008-10-16 21:18 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-01-11 20:14 . 2008-10-16 21:18 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-01-11 20:14 . 2008-10-16 21:18 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-01-11 20:14 . 2008-10-16 21:18 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-01-11 20:14 . 2008-10-16 21:18 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-01-11 20:14 . 2008-10-16 14:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-01-11 20:01 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-11 19:58 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-11 19:58 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-11 19:58 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-11 19:58 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-11 19:57 . 2009-01-13 13:29 <REP> d-------- c:\program files\eMule
2009-01-11 19:52 . 2008-06-14 18:33 272,768 --------- c:\windows\system32\drivers\bthport.sys
2009-01-11 19:52 . 2008-06-14 18:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-11 19:45 . 2009-01-11 20:51 <REP> d--h----- c:\windows\$hf_mig$
2009-01-11 19:45 . 2006-09-06 17:43 22,752 --a------ c:\windows\system32\spupdsvc.exe
2009-01-11 19:43 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-01-11 19:43 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui
2009-01-11 19:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-01-11 19:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-01-11 19:43 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui
2009-01-10 22:13 . 2009-01-10 22:13 <REP> d-------- c:\program files\SpywareBlaster
2009-01-10 22:13 . 2005-04-15 20:58 1,071,088 --a------ c:\windows\system32\MSCOMCTL.OCX
2009-01-10 22:13 . 2005-08-25 19:18 118,784 --a------ c:\windows\system32\MSSTDFMT.DLL
2009-01-10 21:37 . 2009-01-10 21:37 <REP> d-------- c:\windows\system32\Macromed
2009-01-10 21:35 . 2009-01-10 21:35 0 --a------ c:\windows\nsreg.dat
2009-01-10 20:02 . 2009-01-10 11:07 <REP> d-------- C:\I386
2009-01-10 20:02 . 2009-01-10 11:07 <REP> d-------- C:\I386
2009-01-10 19:57 . 2009-01-13 13:07 <REP> dr------- C:\Program Files
2009-01-10 19:57 . 2009-01-13 10:47 <REP> dr------- c:\documents and settings\Propriétaire\Mes documents
2009-01-10 19:57 . 2009-01-13 10:47 <REP> dr------- c:\documents and settings\Propriétaire\Mes documents
2009-01-10 19:57 . 2009-01-10 20:01 <REP> dr------- c:\documents and settings\Propriétaire\Menu Démarrer
2009-01-10 19:57 . 2009-01-10 20:01 <REP> dr------- c:\documents and settings\Propriétaire\Menu Démarrer
2009-01-10 19:57 . 2009-01-12 14:02 <REP> dr------- c:\documents and settings\Propriétaire\Favoris
2009-01-10 19:57 . 2009-01-12 14:02 <REP> dr------- c:\documents and settings\Propriétaire\Favoris
2009-01-10 19:57 . 2009-01-10 20:01 <REP> dr------- c:\documents and settings\Default User\Menu Démarrer
2009-01-10 19:57 . 2009-01-10 17:54 <REP> dr------- c:\documents and settings\All Users\Menu Démarrer
2009-01-10 19:57 . 2009-01-11 21:13 <REP> dr------- c:\documents and settings\All Users\Documents
2009-01-10 19:57 . 2009-01-13 13:07 <REP> dr------- C:\Program Files
2009-01-10 19:56 . 2009-01-13 10:45 <REP> dr-hsc--- c:\windows\system32\dllcache
2009-01-10 19:56 . 2009-01-10 20:01 <REP> dr------- c:\windows\system32\config\systemprofile\Menu Démarrer
2009-01-10 19:28 . 2003-08-02 08:01 4,399,505 --a--c--- c:\windows\system32\dllcache\nls302en.lex
2009-01-10 19:27 . 2008-04-14 13:00 3,166,208 --a--c--- c:\windows\system32\dllcache\msgr3en.dll
2009-01-10 19:26 . 2003-08-02 06:51 1,175,635 --a--c--- c:\windows\system32\dllcache\hrtzres.dll
2009-01-10 19:25 . 2003-08-02 05:32 1,817,687 --a--c--- c:\windows\system32\dllcache\bckgres.dll
2009-01-10 17:54 . 2009-01-10 17:54 12,620 --a------ c:\windows\system32\wpa.bak
2009-01-10 17:29 . 2009-01-11 20:14 <REP> d-------- c:\windows\system32\fr-fr
2009-01-10 17:29 . 2009-01-10 17:34 <REP> d-------- c:\windows\system32\fr
2009-01-10 17:29 . 2009-01-10 17:29 <REP> d-------- c:\windows\Provisioning
2009-01-10 17:29 . 2009-01-10 17:34 <REP> d-------- c:\windows\PeerNet
2009-01-10 17:29 . 2009-01-10 17:35 <REP> d-------- c:\windows\L2Schemas
2009-01-10 17:29 . 2,145,386,496 C:\pagefile.sys
2009-01-10 16:57 . 2008-04-14 13:00 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll
2009-01-10 16:56 . 2004-05-13 00:39 876,653 --a--c--- c:\windows\system32\dllcache\fp4awel.dll
2009-01-10 16:55 . 2009-01-10 16:55 749 -rah----- c:\windows\WindowsShell.Manifest
2009-01-10 16:55 . 2009-01-10 16:55 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest
2009-01-10 16:55 . 2009-01-10 16:55 749 -rah----- c:\windows\system32\sapi.cpl.manifest
2009-01-10 16:55 . 2009-01-10 16:55 749 -rah----- c:\windows\system32\ncpa.cpl.manifest
2009-01-10 16:55 . 2009-01-10 16:55 488 -rah----- c:\windows\system32\logonui.exe.manifest
2009-01-10 16:52 . 2008-04-14 13:00 290,304 --a------ c:\windows\system32\rhttpaa.dll
2009-01-10 16:52 . 2008-04-14 13:00 290,304 --a--c--- c:\windows\system32\dllcache\rhttpaa.dll
2009-01-10 16:52 . 2008-04-14 13:00 136,192 --a--c--- c:\windows\system32\dllcache\aaclient.dll
2009-01-10 16:52 . 2008-04-14 13:00 136,192 --a------ c:\windows\system32\aaclient.dll
2009-01-10 16:52 . 2008-04-14 13:00 53,248 --a------ c:\windows\system32\tsgqec.dll
2009-01-10 16:52 . 2008-04-14 13:00 53,248 --a--c--- c:\windows\system32\dllcache\tsgqec.dll
2009-01-10 16:51 . 2009-01-10 16:51 5,208 --a------ c:\windows\system32\pid.PNF
2009-01-10 16:41 . 2008-04-13 19:33 516,768 --a------ c:\windows\system32\ativvaxx.dll
2009-01-10 16:41 . 2008-04-13 19:33 229,376 --a------ c:\windows\system32\ati2cqag.dll
2009-01-10 16:38 . 2008-04-14 13:00 24,661 --a------ c:\windows\system32\spxcoins.dll
2009-01-10 16:38 . 2008-04-14 13:00 24,661 --a--c--- c:\windows\system32\dllcache\spxcoins.dll
2009-01-10 16:38 . 2008-04-14 13:00 13,312 --a------ c:\windows\system32\irclass.dll
2009-01-10 16:38 . 2008-04-14 13:00 13,312 --a--c--- c:\windows\system32\dllcache\irclass.dll
2009-01-10 15:12 . 2009-01-10 15:12 <REP> d-------- c:\windows\system32\RegVac
2009-01-10 14:51 . 2009-01-10 14:52 <REP> d-------- c:\program files\Eusing Free Registry Cleaner
2009-01-10 14:17 . 2009-01-10 14:17 <REP> d-------- c:\program files\FinalUninstaller
2009-01-10 11:55 . 2009-01-10 21:18 10 --a------ c:\windows\WININIT.INI
2009-01-10 11:36 . 2009-01-10 11:36 <REP> d-------- c:\program files\VS Revo Group
2009-01-10 11:20 . 2009-01-10 11:22 <REP> d-------- c:\program files\Wise Registry Cleaner 3
2009-01-10 11:14 . 2009-01-10 11:14 <REP> dr-hs---- C:\cmdcons
2009-01-10 11:13 . 2009-01-10 11:13 4,240 -rahs---- c:\windows\system32\drivers\HP_DQ054A-ABF t329.fr_YC_Pavi_QCZB345_E34FRheBLT2_4_IA7N8X-LA_SASUSTeK Computer INC._VRev 1.xx_B3.07_T031015_W1_L40C_M2048_J164_7AMD_8Athlon XP 2600+_91,91_110DE006E_N10DE0066_P_Z_K_A10DE006A_U10DE0067_G10025961.MRK
2009-01-10 11:11 . 2003-08-05 13:49 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS
2009-01-10 11:11 . 2003-08-05 14:02 <REP> d-------- c:\windows\system32\config\systemprofile\.javaws
2009-01-10 11:11 . 2002-10-01 09:22 9,856 --a------ c:\windows\system32\drivers\pfc.sys
2009-01-10 11:10 . 1995-07-31 13:44 212,480 --a------ c:\windows\PCDLIB32.DLL

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
dcsh--w 0 2009-01-13 12:00:08 \RECYCLER
dc----w 0 2009-01-13 12:46:25 \ComboFix
dc----w 0 2009-01-13 12:45:08 \Qoobox
dc----w 0 2009-01-12 20:25:54 \rsit
dc----w 0 2009-01-12 17:36:24 \Navipromo
d-sh--w 0 2009-01-13 12:45:23 \System Volume Information
d-sh--r 0 2009-01-10 10:14:13 \cmdcons
d-----w 0 2009-01-13 12:46:19 \WINDOWS
d-----w 0 2009-01-10 10:07:07 \I386
d-----r 0 2009-01-13 12:07:46 \Program Files
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
-csha-r 47,564 2008-04-14 12:00:00 \NTDETECT.COM
-csha-r 4,952 2008-04-14 12:00:00 \Bootfont.bin
-csh--w 297 2009-01-10 15:51:51 \boot.ini
-c--a-w 3,054 2009-01-13 11:13:45 \FindyKill.txt
--sha-w 2,146,881,536 2009-01-13 11:12:32 \hiberfil.sys
--sha-w 2,145,386,496 2009-01-13 11:12:31 \pagefile.sys
--sha-r 252,240 2008-04-14 12:00:00 \ntldr
--sha-r 0 2003-08-05 11:11:18 \MSDOS.SYS
--sha-r 0 2003-08-05 11:11:18 \IO.SYS
--sh--w 196 2009-01-10 10:08:31 \BOOT.BAK
--sh--r 249,136 2003-08-02 04:29:54 \cmldr
----a-w 0 2003-08-05 11:11:18 \CONFIG.SYS
----a-w 0 2003-08-05 11:11:18 \AUTOEXEC.BAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-01-04 399504]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\C:\[u]0/uautocheck autochk *

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"59090:TCP"= 59090:TCP:Pando P2P TCP Listening Port
"59090:UDP"= 59090:UDP:Pando P2P UDP Listening Port

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2009-01-12 15504]
R4 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2009-01-12 170640]
S3 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - APPMGMT
*NewlyCreated* - CLIPSRV
*NewlyCreated* - DMADMIN
*NewlyCreated* - DMSERVER
*NewlyCreated* - DOT3SVC
*NewlyCreated* - EAPHOST
*NewlyCreated* - HIDSERV
*NewlyCreated* - HKMSVC
*NewlyCreated* - IP6FW
*NewlyCreated* - MNMSRVC
*NewlyCreated* - NAPAGENT
*NewlyCreated* - NETDDE
*NewlyCreated* - NETDDEDSDM
*NewlyCreated* - NETLOGON
*NewlyCreated* - NTLMSSP
*NewlyCreated* - NTMSSVC
*NewlyCreated* - RASAUTO
*NewlyCreated* - RDSESSMGR
*NewlyCreated* - REMOTEACCESS
*NewlyCreated* - RPCLOCATOR
*NewlyCreated* - RSVP
*NewlyCreated* - SCARDDRV
*NewlyCreated* - SCARDSVR
*NewlyCreated* - SWPRV
*NewlyCreated* - SYSMONLOG
*NewlyCreated* - UPNPHOST
*NewlyCreated* - UPS
*NewlyCreated* - VSS
*NewlyCreated* - WMDMPMSN
*NewlyCreated* - WMIAPSRV
*NewlyCreated* - XMLPROV
.
Contenu du dossier 'Tâches planifiées'

2009-01-10 c:\windows\Tasks\Connexion Facile à Internet.job
- c:\program files\Easy Internet signup\HPSdpApp.exe []

2009-01-12 c:\windows\Tasks\Malwarebytes' Scheduled Scan for Propriétaire.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-01-04 18:39]

2009-01-13 c:\windows\Tasks\Malwarebytes' Scheduled Update for Propriétaire.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-01-04 18:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 13:46:17
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-01-13 13:47:08
ComboFix-quarantined-files.txt 2009-01-13 12:47:05
ComboFix2.txt 2009-01-13 11:20:59
ComboFix3.txt 2009-01-13 08:04:29

Avant-CF: 150 660 935 680 octets libres
Après-CF: 150,755,749,888 octets libres

254
0
Réponse 15 / 34
raymond66 Messages postés 21 Statut Membre
 
o faite je ne vois plus mes dllcache dans system32
0
Réponse 16 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Je ne t'avais pas dit de repasser combofix mais uniquement de me poster le rapport de celui que tu avais obtenu.
J'aurais au moins pu savoir ce qui avait été supprimé.

Ce rapport ne montre aucune suppression.

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

- Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL:
http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

- Redémarre en mode Sans Échec.
Choisis ton compte usuel, et non Administrateur.

- Connecte éventuellement tes clés USB et disques externes.
* Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
* Réponds "Oui" à la question "Do you want to continue installation?"
* Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
* L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
* Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image :
http://img227.imageshack.us/img227/3433/img145432rkivsjz6.jpg
* Valide avec "Apply" puis "OK"
* L'outil est maintenant configuré : dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
* A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre :
http://img128.imageshack.us/img128/3885/kas2rd1gr4.png
* Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
* Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
* Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
* Redémarre en mode "normal"
* Poste le contenu du rapport dans ta prochaine réponse.
* Quand tu fermes toutes les fenêtres de l'outil, une fenêtre s'ouvre te demandant si tu veux désinstaller AVP Tool. Clique sur Non.

Je t'indiquerais plus tard la procédure.

Imprime le texte et les images jointes pour pouvoir correctement configurer et utiliser l'outil.

Un scan avec un tel outil va prendre plusieurs heures car il va scanner et désinfecter en profondeur ton PC.
Laisse le travailler et poste moi le rapport une fois terminé.

A+
0
Réponse 17 / 34
raymond66 Messages postés 21 Statut Membre
 
j avais pas eu grand chose dans l autre rapport de combix je n avais eu que ca

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Fichiers communs\PagingSYS.dll
c est tout aprés il y a le reste du rapport a peu prés pareil
0
Réponse 18 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
OK,

Passe à AVP Tool.
Il se peut que le scan prenne du temps ( une demi-journée ou plus ) mais il va nettoyer ton PC.

A+ avec le rapport.
0
Réponse 19 / 34
raymond66 Messages postés 21 Statut Membre
 
bin desolé mais moi il m a rien nettoyé

tu veux quand meme le rapport il est long une question tu serais pas comment fais pour nettoyer mais bien les activex

car easycleaner ccleaner et tout le bordel ca ma rien rien spyware blaster me detecte me detecte plein de

cochonneries dans les activex
0
Réponse 20 / 34
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Tu vas me le poster à https://www.cjoint.com/
Tu m'indiqueras le lien crée.

Spywareblaster est le meilleur outil pour les activeX.
C'est celui qui a la meilleure base de définition.

As-tu essayé de passer ce logiciel en mode sans échec ?

Sinon, dans le rapport, il n'y a pas de trace d'infections.

Quels sont les symptômes exacts d'infections ?
Comment as-tu attrappé cela ?


A+
0

Discussions similaires

Grosse infection de spyware
sevete60 -
sevete60 -

13 réponses