Heur;trojan.win32.generci virus!!!

ketchoupie Messages postés 1 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
mon kaspersky me detecte un virus et j aimerai le supprimer car j ai l impression qu il ralenti mon processus,voici l analyse hijackthis.PLease aidez moi!!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:17:16, on 25/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 1\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\MSconfig.exe" /auto
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\STacSV.exe
O23 - Service: Validity Fingerprint Service (vfsFPService) - Validity Sensors, Inc. - C:\Windows\system32\vfsFPService.exe
A voir également:

52 réponses

Réponse 1 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

ton rapport ne montre rien.

==================

Peux préciser : le nom du fichier infecté, le nom du malware, ce qui a été fait (suppression, mise en quarantaine).

==================

Pour en voir plus :
Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
.

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
Réponse 2 / 52
ketchoupie
 
le fichier infecte est le fichier D:\resycled\boot.com c est ma seconde partition ou je stock mes documents , mais ce fichier je ne connais pas a quoi il correspond car c est pas un fichier personnel,je pense que c est un fichier indispensable au focntionnement de la partition.je ne sais pas le nom du virus et je sais que kaspersky 2009 essaye de le supprimer mais sans succes,quand il le met en quarantaire ca dure un petit moment et il revient dans son emplacement d origine et infecte
voici le rapport log:

Logfile of random's system information tool 1.05 (written by random/random)
Run by laurent at 2009-01-26 20:12:16
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 102 GB (63%) free of 163 GB
Total RAM: 2813 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:54, on 26/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 1\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Users\laurent\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\laurent.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\MSconfig.exe" /auto
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\STacSV.exe
O23 - Service: Validity Fingerprint Service (vfsFPService) - Validity Sensors, Inc. - C:\Windows\system32\vfsFPService.exe
0
Réponse 3 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

le fichier que tu cites est nocif.


On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
0
ketchoupie
 
j ai bien telecharger combofix mais lorsque je le lance rien ne se passe...je dois faire comment? pourtant j ai lu le tutorial
0
Réponse 4 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

hum hum !!!

Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

! Déconnecte toi d'internet et ferme toutes applications en cours !


* Exécute Rooter et laisse travailler l'outil .

* Une fois terminé, poste le rapport obtenu pour analyse ...
0
ketchoupie
 
lorsque je le lance il y a ecrit please wait mais rien ne se passe :s et ceci apres des dizaines de minutes d attente... :s
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

dernière tentative :

Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install.
L'outil sera extrait à la racine du lecteur système (généralement le C:\)..

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

__________________

Si SDfix ne se lance pas (ça arrive!)

* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe


* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.


=============
0
Réponse 6 / 52
ketchoupie
 
bon alors j ai fait ce que tu m a dit seulement sd fix ne veut pas se lancer en mode sans echec, j ai reessaye en mode normal une page bleue s ouvre mais il me dit de le relancer en mode sans echec avec les drotis administrateur.cependant en mode sans echec ja i lance combofix, la il a marche mais il y a des operations qu il n a pu faire car pareil il me disait que l acces etait refuse par manque des drotis administrateur pourtant c est le seul compte qu il existe sur mon ordi et forcement il possede les droits administrateur...je dois faire quoi?
a fait voici le rapport de combofix :

ComboFix 09-01-21.04 - laurent 2009-01-27 22:21:40.1 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.2813.2387 [GMT 1:00]
Lancé depuis: c:\users\laurent\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *enabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\QUAD Utilities
c:\program files\QUAD Utilities\QUAD Registry Cleaner\program.log
c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.url
c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
c:\program files\QUAD Utilities\QUAD Registry Cleaner\Styles\Vista.cjstyles
c:\program files\QUAD Utilities\QUAD Registry Cleaner\uninst.exe
c:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.exe
c:\users\laurent\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\QUAD Utilities
c:\users\laurent\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.lnk
c:\users\laurent\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.lnk
c:\users\laurent\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\QUAD Utilities\QUAD Registry Cleaner\Uninstall QUAD Registry Cleaner.lnk
c:\users\laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.lnk
c:\users\laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.lnk
c:\users\laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\Uninstall QUAD Registry Cleaner.lnk
c:\users\laurent\AppData\Roaming\QUAD Backups
c:\users\laurent\Desktop\QUAD Registry Cleaner.lnk
c:\windows\system32\mdm.exe
D:\resycled
d:\resycled\boot.com

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-27 au 2009-01-27 ))))))))))))))))))))))))))))))))))))
.

2009-01-27 21:56 . 2008-11-06 02:03 <REP> d-------- C:\SDFix
2009-01-27 21:25 . 2009-01-27 21:25 <REP> d-------- c:\users\laurent\AppData\Roaming\Grisoft
2009-01-27 21:24 . 2007-05-30 13:10 10,872 --a------ c:\windows\System32\drivers\AvgAsCln.sys
2009-01-27 19:51 . 2009-01-27 19:59 <REP> d-------- C:\Rooter$
2009-01-27 17:36 . 2009-01-27 17:36 <REP> d-------- c:\users\All Users\Apple Computer
2009-01-27 17:36 . 2009-01-27 17:37 <REP> d-------- c:\program files\QuickTime
2009-01-27 17:36 . 2009-01-27 17:36 <REP> d-------- c:\progra~2\Apple Computer
2009-01-27 17:35 . 2009-01-27 17:35 <REP> d-------- c:\users\All Users\Apple
2009-01-27 17:35 . 2009-01-27 17:35 <REP> d-------- c:\program files\Apple Software Update
2009-01-27 17:35 . 2009-01-27 17:35 <REP> d-------- c:\progra~2\Apple
2009-01-26 20:12 . 2009-01-26 20:42 <REP> d-------- C:\rsit
2009-01-25 00:10 . 2009-01-25 00:10 <REP> d-------- c:\program files\Trend Micro
2009-01-13 20:35 . 2008-12-16 03:42 288,768 --a------ c:\windows\System32\drivers\srv.sys
2009-01-09 18:14 . 2009-01-09 18:14 96,976 --a------ c:\windows\System32\drivers\klin.dat
2009-01-09 18:14 . 2009-01-09 18:14 87,855 --a------ c:\windows\System32\drivers\klick.dat
2009-01-09 18:13 . 2009-01-09 18:13 <REP> d-------- c:\program files\Kaspersky Lab
2009-01-09 18:13 . 2009-01-27 22:06 2,533,920 --ahs---- c:\windows\System32\drivers\fidbox.dat
2009-01-09 18:13 . 2009-01-27 22:06 417,824 --ahs---- c:\windows\System32\drivers\fidbox2.dat
2009-01-09 18:13 . 2009-01-27 22:06 21,924 --ahs---- c:\windows\System32\drivers\fidbox.idx
2009-01-09 18:13 . 2009-01-27 22:06 3,556 --ahs---- c:\windows\System32\drivers\fidbox2.idx
2009-01-05 16:18 . 2009-01-05 16:18 90,112 --a------ c:\windows\System32\QuickTimeVR.qtx
2009-01-05 16:18 . 2009-01-05 16:18 57,344 --a------ c:\windows\System32\QuickTime.qts
2008-12-28 01:53 . 2008-12-28 01:53 <REP> d-------- c:\program files\Maxis
2008-12-28 01:27 . 2008-12-28 01:53 533 --a------ c:\windows\eReg.dat
2008-12-28 01:22 . 2008-12-28 01:22 <REP> d-------- c:\users\laurent\AppData\Roaming\DAEMON Tools Pro
2008-12-28 01:22 . 2008-12-28 01:22 <REP> d-------- c:\users\laurent\AppData\Roaming\DAEMON Tools
2008-12-28 01:21 . 2008-12-28 01:21 <REP> d-------- c:\users\All Users\DAEMON Tools Lite
2008-12-28 01:21 . 2008-12-28 01:21 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-12-28 01:21 . 2008-12-28 01:21 <REP> d-------- c:\progra~2\DAEMON Tools Lite
2008-12-28 01:13 . 2008-12-28 01:13 717,296 --a------ c:\windows\System32\drivers\sptd.sys
2008-12-28 01:12 . 2008-12-28 01:25 <REP> d-------- c:\users\laurent\AppData\Roaming\DAEMON Tools Lite

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-27 21:20 --------- d-----w c:\progra~2\Kaspersky Lab
2009-01-27 00:55 --------- d-----w c:\program files\Mozilla Firefox 3.1 Beta 1
2009-01-13 21:13 --------- d-----w c:\program files\Windows Mail
2009-01-09 19:32 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-01-09 18:08 --------- d-----w c:\users\laurent\AppData\Roaming\BitTorrent
2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-03 16:21 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-03 16:20 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-29 18:33 --------- d-----w c:\program files\CCleaner
2008-12-21 18:25 --------- d-----w c:\program files\ma-config.com
2008-12-21 18:25 --------- d-----w c:\progra~2\ma-config.com
2008-12-16 19:33 --------- d-----w c:\users\laurent\AppData\Roaming\OpenOffice.org2
2008-12-14 16:22 --------- d-----w c:\program files\ATI
2008-12-14 16:21 --------- d-----w c:\progra~2\ATI
2008-12-14 02:02 --------- d-----w c:\program files\ATI Technologies
2008-12-11 18:41 --------- d--h--r c:\users\laurent\AppData\Roaming\SecuROM
2008-12-10 23:47 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-12-10 15:37 135,680 ----a-w c:\windows\system32\drivers\Rtlh86.sys
2008-12-09 05:54 410,984 ----a-w c:\windows\System32\deploytk.dll
2008-12-09 05:54 --------- d-----w c:\program files\Java
2008-12-02 12:48 62,976 ----a-w c:\windows\system32\drivers\RTSTOR.sys
2008-12-02 12:37 10,240 ----a-w c:\windows\System32\RtNicProp32.dll
2008-12-01 22:14 4,179,968 ----a-w c:\windows\system32\drivers\atikmdag.sys
2008-12-01 20:47 425,984 ----a-w c:\windows\System32\ATIDEMGX.dll
2008-12-01 20:46 159,744 ----a-w c:\windows\System32\atitmmxx.dll
2008-12-01 20:45 43,520 ----a-w c:\windows\System32\ati2edxx.dll
2008-12-01 20:45 331,776 ----a-w c:\windows\System32\atipdlxx.dll
2008-12-01 20:45 274,432 ----a-w c:\windows\System32\Ati2evxx.dll
2008-12-01 20:45 262,144 ----a-w c:\windows\System32\Oemdspif.dll
2008-12-01 20:44 720,896 ----a-w c:\windows\System32\Ati2evxx.exe
2008-12-01 20:35 2,340,352 ----a-w c:\windows\System32\atidxx32.dll
2008-12-01 20:29 4,033,536 ----a-w c:\windows\System32\atiumdag.dll
2008-12-01 20:17 10,981,376 ----a-w c:\windows\System32\atioglxx.dll
2008-12-01 20:09 4,754,432 ----a-w c:\windows\System32\atiumdva.dll
2008-12-01 19:56 98,304 ----a-w c:\windows\System32\atiadlxx.dll
2008-12-01 19:56 57,344 ----a-w c:\windows\System32\amdcalrt.dll
2008-12-01 19:56 53,248 ----a-w c:\windows\System32\amdcalcl.dll
2008-12-01 19:56 50,688 ----a-w c:\windows\System32\amdpcom32.dll
2008-12-01 19:53 3,256,320 ----a-w c:\windows\System32\amdcaldd.dll
2008-12-01 19:42 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-11-30 10:33 --------- d-----w c:\program files\DynGate
2008-11-29 18:07 --------- d-----w c:\program files\Common Files\SWF Studio
2008-11-29 16:44 --------- d-----w c:\users\laurent\AppData\Roaming\Skype
2008-11-29 16:42 --------- d-----w c:\users\laurent\AppData\Roaming\skypePM
2008-11-29 15:05 --------- d-----w c:\program files\eMule
2008-11-29 15:05 --------- d-----w c:\progra~2\eMule
2008-11-11 19:00 218,376 ----a-w c:\windows\System32\klogon.dll
2008-11-07 15:38 84,496 ----a-w c:\windows\System32\KemXML.dll
2008-11-07 15:38 170,512 ----a-w c:\windows\System32\kemutb.dll
2008-11-07 15:38 145,936 ----a-w c:\windows\System32\KemUtil.dll
2008-11-07 15:38 117,264 ----a-w c:\windows\System32\KemWnd.dll
2008-11-07 15:37 301,656 ----a-w c:\windows\System32\BtCoreIf.dll
2008-11-01 03:44 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll
2008-11-01 03:44 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll
2008-11-01 03:44 460,288 ----a-w c:\windows\AppPatch\AcSpecfc.dll
2008-11-01 03:44 28,672 ----a-w c:\windows\System32\Apphlpdm.dll
2008-11-01 03:44 2,154,496 ----a-w c:\windows\AppPatch\AcGenral.dll
2008-11-01 03:44 173,056 ----a-w c:\windows\AppPatch\AcXtrnal.dll
2008-11-01 01:21 4,240,384 ----a-w c:\windows\System32\GameUXLegacyGDFs.dll
2008-10-29 06:29 2,927,104 ----a-w c:\windows\explorer.exe
2008-10-06 18:58 56 ---ha-w c:\users\All Users\ezsidmv.dat
2008-10-06 18:58 56 ---ha-w c:\progra~2\ezsidmv.dat
2008-09-26 16:00 174 --sha-w c:\program files\desktop.ini
2008-10-25 17:29 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-10-25 17:29 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-10-25 17:29 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"MSConfig"="c:\windows\system32\MSconfig.exe" [2008-01-19 227840]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-06-27 442467]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-09 136600]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2008-09-04 2524416]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-10-10 c:\windows\KHALMNPR.Exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-09-23 809488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd.dll,c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll,c:\progra~1\KASPER~1\KASPER~1\adialhk.dll,c:\progra~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0/uOODBS

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Symantec Fax Starter Edition Port.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Symantec Fax Starter Edition Port.lnk
backup=c:\windows\pss\Symantec Fax Starter Edition Port.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^laurent^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
path=c:\users\laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2008-09-04 05:01 2524416 c:\windows\System32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-05-30 14:54 21718312 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UCam_Menu]
--------- 2007-12-24 14:55 222504 c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{C1B9D2A6-4C0B-495C-B06E-8217B2084FFF}"= UDP:48113:LocalSubnet:LocalSubnet:maconfig_tcp
"{BCBB5FF6-3F34-4FE3-AAE7-CAADBFA89255}"= TCP:48113:LocalSubnet:LocalSubnet:maconfig_udp
"{77AA681F-01FC-4931-95B5-FAA7B7FD2B5A}"= UDP:c:\program files\ma-config.com\maconfservice.exe:maconfservice
"{FB4D5015-E0DA-4D06-B16D-E890545E019E}"= TCP:c:\program files\ma-config.com\maconfservice.exe:maconfservice
"{268C2506-A65A-4568-B499-10ED85C9F8B4}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{61139673-DA9E-4FF8-816B-E0D96F911D1E}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{ABB45E7D-0490-4C70-A44D-B4ABD0B3075C}"= UDP:c:\program files\DNA\btdna.exe:DNA (TCP-In)
"{675AF599-78FC-44FB-AF70-B09417ABA0D4}"= TCP:c:\program files\DNA\btdna.exe:DNA (UDP-In)
"{D0FD35C4-8704-42B2-B022-1EC9E8D1B75F}"= UDP:c:\program files\DNA\btdna.exe:DNA
"{2B244810-1331-4221-B4BA-1007C7F889B7}"= TCP:c:\program files\DNA\btdna.exe:DNA
"{F4BC0825-738B-438F-ADF4-B777CF4964E3}"= UDP:48113:LocalSubnet:LocalSubnet:maconfig_tcp
"{82FC09D0-F70A-46E7-B2DC-DE24265198C6}"= TCP:48113:LocalSubnet:LocalSubnet:maconfig_udp
"{B22150FC-CA3E-40A4-B7F2-58A9C58F50EA}"= UDP:c:\program files\ma-config.com\maconfservice.exe:maconfservice
"{D40B71B0-6671-4B08-8087-B3E14390736D}"= TCP:c:\program files\ma-config.com\maconfservice.exe:maconfservice

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\BitTorrent\\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [2008-01-24 52736]
S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\System32\drivers\klbg.sys [2008-01-29 32784]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [2008-07-09 20496]
S3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\System32\drivers\klfltdev.sys [2008-03-13 26640]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-12-19 195752]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\System32\drivers\ndisprot.sys [2008-10-25 29192]
S3 usbfilter;AMD USB Filter Driver;c:\windows\System32\drivers\usbfilter.sys [2008-09-20 22072]
S4 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\AEstSrv.exe [2008-09-20 77824]
S4 hpsrv;HP Service;c:\windows\System32\hpservice.exe [2008-03-18 24880]
S4 vfsFPService;Validity Fingerprint Service;c:\windows\System32\vfsFPService.exe [2008-03-26 595248]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - sptd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe70c3b4-d474-11dd-860e-001e68a63426}]
\shell\AutoRun\command - H:\RunGame.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Bluetooth Connection Assistant - LBTWIZ.EXE
HKLM-RunOnce-<NO NAME> - (no file)
SafeBoot-Wdf01000.sys


.
------- Examen supplémentaire -------
.
DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://ma-config.com/activex/hardwaredetection_3_0_3_1.cab
FF - ProfilePath - c:\users\laurent\AppData\Roaming\Mozilla\Firefox\Profiles\2rp1y4hp.default\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox 3.1 Beta 1\plugins\npbittorrent.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF - plugin: c:\users\laurent\AppData\Roaming\Mozilla\Firefox\Profiles\2rp1y4hp.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF - plugin: c:\users\laurent\Program Files\DNA\plugins\npbtdna.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-27 22:24:20
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


**************************************************************************
.
Heure de fin: 2009-01-27 22:26:44
ComboFix-quarantined-files.txt 2009-01-27 21:25:25

Avant-CF: 110,100,340,736 octets libres
Après-CF: 110,026,903,552 octets libres

262 --- E O F --- 2009-01-13 21:13:08
0
Réponse 7 / 52
ketchoupie
 
tu es sur que sdfix fonctionne avec vista?
0
Réponse 8 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

je n'avais pas intégré que tu étais sous Vista.

SDFix est incompatible avec Vista.

Comment as tu fait pour faire fonctionner Combofix ? Tu as attendu un peu plus ?

J'examine le rapport Combofix et je te dis la suite des opérations.
0
Réponse 9 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

rien d'évident dans le rapport Combofix (sauf ce qu'il a supprimé).

Comment se porte l'ordi depuis ?
0
ketchoupie
 
ben la je fais un scan et je te dis ca apres mais j ai l impression que combo a fait son petit effet.sinon (admettons que ca fonctionne) tu me conseillerais quoi comme combinaison pour nettoyer mon ordi de long en large regulierement? la j utilise kaspersky internet security 2009, ccleaner , malware antimalware,et recemment avg anti spyware mais le truc c est qu il ne veut pas faire de mise a jour :s j ignore pourquoi...
0
ketchoupie > ketchoupie
 
kaspersky n a pas fini son analyse mais il vient de me trouver un virus dans un dossier nomme C:/ qoobox ...tu connais?
0
Réponse 10 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

kaspersky est une version payante ou une version d'évaluation à durée limitée ?

Je te donnerai tout ça (et même plus) en fin de désinfection.
0
Réponse 11 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

C'est la quarantaine de combofix.

Ca aussi il est prévu de la supprimer.

Donc pas de souci.
0
Réponse 12 / 52
ketchoupie
 
c est la version payante>pour qoobox je viens de voir sur internet que c est le dossier ou combo place en quarantaire, et je viens d y retrouver le virus du depart celui que j avais le fameux boot.com , cependant comment je supprime? car kaspersky n a pu le faire encore une fois?
0
Réponse 13 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

je te la ferai désinstaller.

kaspersky, ça règle la question, AV + parefeu, c'est un très bon choix.

Si un jour tu reviens au gratuit, Antivir en AV et On line Armor en parefeu.
0
ketchoupie
 
merci pour la combinaison :D, par contre je crois qu en faisant le scan kaspersky m a encore deplace le virus pour le mettre en quarantaire,seulement quand il le mettait en quarantaine auparavant ca ne durait pas il revenait apres quelques temps(en minutes) dans son emplacement initial,je crois que je suis bon pour un redemarrage en mode sans echec et pour recommencer :s
0
Réponse 14 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

kaspersky te le décèle dans quel fichier et sous quel nom ?
0
ketchoupie
 
ben il me l a decele dans la quarantaine de combofix, c est le dossier resycled/boot.com qui au depart etait dans ma deuxieme partition ou je stock mes documents,mais maintenant il reste que resycled dans la quarantaine de combo et son contenu (boot.com) je ne sais pas ou il est passe.
0
ketchoupie > ketchoupie
 
ca y est l analyse est finie,tu penses qu il faut que je refasse combo pour remettre boot.com dans la quarantaine de combo?
0
Réponse 15 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

as tu réessayé de faire une mise à jour de AVG AS ?

Si j'ai bien compris, tu as MBAM ( Malwarebytes' Anti-Malware). Fais un scan rapide et poste le rapport.
0
ketchoupie
 
oui j ai essaye de faire la mise a jour mais il arrive pas a se connecter au serveur.pour malware je suis en train de faire l analyse
0
ketchoupie > ketchoupie
 
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1702
Windows 6.0.6001 Service Pack 1

28/01/2009 19:56:49
mbam-log-2009-01-28 (19-56-49).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 114634
Temps écoulé: 4 hour(s), 29 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 16 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

tu désinstalles AVG AS :

panneau de configuration, Ajout/suppression de programmes

et tu le réinstalles :

http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware
0
ketchoupie
 
quand j essaye de l installer il dit que c est pas une application win32 valide
0
Réponse 17 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

mets à jour Kaspersky et scanne ton disque dur.

Poste le rapport.
0
ketchoupie
 
voila l analyse est finie,il a trouve uniquement le boot.com dans la quarantaine de combofix, je lui ai dit d ignorer pour ne pas qu il le deplace encore.je dois faire quoi maintenant? :) (en tout cas merci de ce que tu fais pour m aider!! :D)
0
Réponse 18 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

toujours impossible de réinstaller AVG AS ?
0
ketchoupie
 
oui toujours :s , mais c est bizarre car il me semble que c est la meme version que j avais et ca avait marche quand je l ai dl sur clubic
0
Réponse 19 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

au cas où :


Telecharge FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
0
ketchoupie
 
###################### [ FindyKill V4.714 ]

# User : laurent - PC-DE-LAURENT
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 23:55:29 le 28/01/2009
# Windows Vista - Internet Explorer 7.0.6001.18000

# [ FindyKill V4.714 - Scan ] ##############

\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////


C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\STacSV.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\Hpservice.exe
C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
C:\Windows\system32\vfsFPService.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe
C:\Windows\system32\agrsmsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 1\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
c:\program files\windows defender\MpCmdRun.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conime.exe

\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////


################## [ C:\ ]


################## [ C:\Windows ]


################## [ C:\Windows\Prefetch ]


################## [ C:\Windows\system32 ]


################## [ C:\Windows\system32\drivers ]


################## [ C:\Users\laurent\AppData\Roaming ]


################## [ C:\Users\laurent\AppData\Local\Temp ]


\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ehTray.exe=C:\Windows\ehome\ehTray.exe
WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
NeroCheck=C:\Windows\system32\NeroCheck.exe
OnScreenDisplay=C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
QlbCtrl.exe=C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HP Software Update=C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Kernel and Hardware Abstraction Layer=KHALMNPR.EXE
MSConfig="C:\Windows\system32\MSconfig.exe" /auto
SysTrayApp=%ProgramFiles%\IDT\WDM\sttray.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
OODefragTray=C:\Windows\system32\oodtray.exe
StartCCC="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=


\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////




\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////


# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - # Type de démarrage = 3

EapHost - # Type de démarrage = 3

Wlansvc - # Type de démarrage = 2

SharedAccess - # Type de démarrage = 2

wuauserv - # Type de démarrage = 2

wscsvc - # Type de démarrage = 2

WinDefend - # Type de démarrage = 2

-> UAC is Enable

\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////


# Informations :

C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur amovible

# presence des fichiers :



\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////


-> Not found !


################## [ ! Fin du rapport # FindyKill V4.714 ! ]
0
Réponse 20 / 52
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)

Fais un clic droit et Exécuter en tant qu'administrateur.sur mbr.exe

Un rapport sera généré : mbr.log

poste le dans ta réponse après avoir réactivé tes protections.
0
ketchoupie2
 
desole pour le retard je n ai pu me connecter plus tot
voici le rapport :) :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
0
ketchoupie2 > ketchoupie2
 
quelqu un peut m aider?? comment je fais pour supprimer le virus dans la quarantaine de combofix?? il me suffit de le supprimer manuellement en l envoyant dans la corbeille??
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses