Sujet Précédent Sujet Suivant

Besoin daide, spyware, backdoors.

Fermé
s0ju4ever Messages postés 2 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 29 janvier 2009 - 29 janv. 2009 à 12:46
Gizmeu Messages postés 1 Date d'inscription jeudi 7 mai 2009 Statut Membre Dernière intervention 7 mai 2009 - 7 mai 2009 à 03:43
Bonjour,

mon ordinateur est infecté par différents spywares, backdoors. Par exemple, je ne peux plus allez dans les disques durs, quand je double clique sur l'icône C:/, il m'affiche un message d'erreur.
"Windows ne trouve pas'RECYCLER S-7-7-61-100021395-100032719-100028874-9540.com. Vérifiez que vous avez entré le nom correctement et essayer à nouveau. Pour rechercher un fichier, cliquez sur Démarrer, puis Rechercher." Voilà ce qui est écrit. Et donc je souhaiterais beaucoup qu'un internaute puisse m'aider à supprimer toutes ces infections.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 오후 12:37:07, on 2009-01-29
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Nexon\NexonPlug\NexonPlug.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Object Rec] sorhost.exe
O4 - HKLM\..\RunServices: [Object Rec] sorhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NexonPlug] C:\Nexon\NexonPlug\NexonPlug.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{484733A1-4C11-4990-96DA-2C5746BECF8F}: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB04A5DD-B4D5-4732-BC31-BB312AC17835}: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CS1\Services\Tcpip\..\{484733A1-4C11-4990-96DA-2C5746BECF8F}: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CS2\Services\Tcpip\..\{484733A1-4C11-4990-96DA-2C5746BECF8F}: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CS3\Services\Tcpip\..\{484733A1-4C11-4990-96DA-2C5746BECF8F}: NameServer = 85.255.113.125,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.125,85.255.112.92
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe


Merci beaucoup.
A voir également:

8 réponses

Réponse 1 / 8
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
29 janv. 2009 à 12:50
Salut,

--> Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) sur ton Bureau.
--> Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée.
--> Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] Process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.

/!\ Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix. /!\
0
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
29 janv. 2009 à 12:56
Salut

Oups ! je t'avais pas vu ! ;-)

Smit ne traite qu'en partie l'infection, un passage par combo ( par exemple ) pour supprimer la partie rootkit serait plus efficace !

Une mise à jour de la faq correspondante sera faite dans ce sens d'ailleurs,@+
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297 > green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019
29 janv. 2009 à 13:00
"Une mise à jour de la faq correspondante sera faite dans ce sens d'ailleurs,@+"

---> Partout ComboFix je suppose ?
0
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162 > Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023
29 janv. 2009 à 13:01
un passage par combo ( par exemple )


Non, MBAM fait l'affaire aussi.
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297 > green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019
29 janv. 2009 à 13:02
Je passe MBAM à chaque fois donc pas de soucis.
0
Réponse 2 / 8
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
29 janv. 2009 à 12:51
Salut

Infection wareout entre autre ...

# Téléchargez ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactivez vos logiciels de protection avant de lancer Combofix.
# Double-cliquez ComboFix.exe
# A l'apparition du message d'alerte, acceptez les conditions d'utilisation puis suivez les instructions.
# Il est vivement recommandé d'installer la Console de récupération ! (Sous XP)
# Le rapport sera créé dans : C:/Combofix.txt.

==> poste le stp

@+
0
Réponse 3 / 8
s0ju4ever Messages postés 2 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 29 janvier 2009
29 janv. 2009 à 13:35
Green Day, je te remercie énormement, plusieurs fichiers ont été supprimés.


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\docume~1\ADMINI~1\LOCALS~1\Temp\tmp1.tmp
c:\docume~1\ADMINI~1\LOCALS~1\Temp\tmp2.tmp
c:\program files\Mozilla Firefox\components\iamfamous.dll
c:\recycler\S-0-8-71-100006286-100016014-100015293-1131.com
c:\windows\system32\drivers\gaopdxirprtete.sys
c:\windows\system32\drivers\gaopdxkmjixett.sys
c:\windows\system32\drivers\gaopdxlrcnqjkv.sys
c:\windows\system32\drivers\gaopdxrveaojuo.sys
c:\windows\system32\drivers\gaopdxserv.sys
c:\windows\system32\drivers\gaopdxudpqjxvi.sys
c:\windows\system32\drivers\gaopdxwsrfvitu.sys
c:\windows\system32\drivers\gaopdxwuwmrftl.sys
c:\windows\system32\drivers\gaopdxwxymrgsk.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\gaopdxxfmqppph.dll
c:\windows\system32\packet.dll
c:\windows\system32\wpcap.dll
D:\Autorun.inf
d:\recycler\S-0-8-71-100006286-100016014-100015293-1131.com
d:\recycler\S-1-5-73-100001999-100005627-100011245-4150.com
d:\recycler\S-2-2-88-100004741-100003663-100013585-6407.com
d:\recycler\S-2-9-73-100016588-100008635-100003434-3641.com
d:\recycler\S-3-4-43-100015629-100000571-100008891-3334.com
d:\recycler\S-3-5-93-100017997-100003425-100020237-6222.com
d:\recycler\S-5-7-54-100007349-100017263-100023797-7949.com
d:\recycler\S-6-6-37-100016973-100019510-100009503-3642.com
d:\recycler\S-7-0-40-100006321-100018252-100017936-6945.com
d:\recycler\S-7-7-61-100021395-100032719-100028874-9540.com
d:\recycler\S-9-0-78-100003223-100018936-100015982-4640.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys
-------\Service_NPF


((((((((((((((((((((((((( Files Created from 2008-12-28 to 2009-01-29 )))))))))))))))))))))))))))))))
.

2009-01-29 12:56 . 2009-01-29 12:56 <REP> d-------- c:\program files\thriXXX
2009-01-29 12:18 . 2009-01-29 12:18 <REP> d-------- c:\program files\CCleaner
2009-01-29 11:58 . 2009-01-29 11:58 <REP> d-------- c:\program files\Soft4Ever
2009-01-29 11:58 . 2009-01-29 11:58 79,232 --a------ c:\windows\system32\drivers\lnsfw1.sys
2009-01-29 11:58 . 2009-01-29 11:58 58,232 --a------ c:\windows\system32\drivers\lnsfw.sys
2009-01-29 11:58 . 2009-01-29 11:58 36,864 --a------ c:\windows\system32\fwapi.dll
2009-01-29 01:49 . 2009-01-29 01:49 <REP> d-------- c:\program files\uTorrent
2009-01-28 16:50 . 2009-01-28 17:21 <REP> d--h----- C:\$AVG8.VAULT$
2009-01-28 16:47 . 2009-01-28 20:58 <REP> d-------- c:\documents and settings\All Users\Application Data\avg8
2009-01-28 16:27 . 2009-01-29 12:52 4 --a------ c:\windows\system32\gaopdxcounter
2009-01-27 17:38 . 2009-01-28 10:44 251,904 --ahs---- C:\radial.cdb
2009-01-26 02:01 . 2009-01-29 11:36 <REP> d-------- C:\vghd
2009-01-26 01:37 . 2009-01-28 17:22 <REP> d-------- c:\program files\PowerISO
2009-01-26 01:11 . 2009-01-26 01:11 <REP> d-------- c:\program files\vghd
2009-01-24 15:57 . 2009-01-24 15:57 <REP> d-------- c:\documents and settings\Administrateur\Application Data\SEGA
2009-01-23 13:37 . 1998-09-02 09:02 194,320 --a------ c:\windows\system32\qcut.dll
2009-01-23 13:37 . 1998-08-27 05:51 182,032 --a------ c:\windows\system32\dxtmsft3.dll
2009-01-23 13:37 . 1998-08-20 12:02 140,800 --a------ c:\windows\system32\tm20dec.ax
2009-01-23 13:37 . 1998-09-02 09:28 63,488 --a------ c:\windows\system32\unam4ie.exe
2009-01-23 13:37 . 1998-09-02 09:28 38,160 --a------ c:\windows\system32\LMRTREND.dll
2009-01-23 13:37 . 1998-08-17 10:21 11,776 --a------ c:\windows\system32\mciqtz.drv
2009-01-23 13:37 . 1998-08-17 10:21 10,240 --a------ c:\windows\system32\vidx16.dll
2009-01-23 13:37 . 1998-08-17 10:21 5,672 --a------ c:\windows\system32\quartz.vxd
2009-01-23 13:37 . 2009-01-23 13:37 4,608 --a------ c:\windows\system32\w95inf32.dll
2009-01-23 13:37 . 2009-01-23 13:37 2,272 --a------ c:\windows\system32\w95inf16.dll
2009-01-23 13:37 . 2009-01-23 13:37 285 --a------ c:\windows\EReg072.dat
2009-01-21 19:45 . 2009-01-21 19:45 0 --ah----- c:\windows\SwSys2.bmp
2009-01-21 19:45 . 2009-01-21 19:45 0 --ah----- c:\windows\SwSys1.bmp
2009-01-21 17:20 . 2009-01-29 13:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\uTorrent
2009-01-20 10:16 . 2009-01-20 10:16 <REP> d-------- c:\documents and settings\Administrateur\Application Data\DAEMON Tools Pro
2009-01-20 10:15 . 2009-01-20 10:15 <REP> d-------- c:\program files\DAEMON Tools Lite
2009-01-20 10:15 . 2009-01-20 10:15 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-01-20 10:15 . 2009-01-20 10:16 <REP> d-------- c:\documents and settings\Administrateur\Application Data\DAEMON Tools Lite
2009-01-19 14:26 . 2009-01-22 18:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\skypePM
2009-01-19 14:26 . 2009-01-19 14:26 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-01-19 14:17 . 2009-01-29 00:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Skype
2009-01-17 23:49 . 2009-01-17 23:49 <REP> d-------- c:\documents and settings\All Users\Application Data\2DBoy
2009-01-17 23:48 . 2009-01-17 23:49 <REP> d-------- c:\program files\WorldOfGoo
2009-01-10 20:20 . 2009-01-10 20:20 <REP> d-------- c:\program files\MSXML 4.0
2009-01-10 20:03 . 2009-01-10 20:03 <REP> d-------- c:\program files\Ubisoft
2009-01-10 13:57 . 2009-01-10 13:58 632 --a------ c:\windows\CoD.INI
2009-01-04 19:36 . 2009-01-04 19:36 <REP> d-------- c:\documents and settings\Administrateur\Application Data\GlarySoft
2009-01-04 19:31 . 2009-01-04 19:31 <REP> d-------- c:\program files\Glary Utilities
2009-01-04 17:02 . 2009-01-04 17:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-01-04 01:37 . 2009-01-04 01:37 <REP> d-------- c:\program files\Messenger Plus! Live
2008-12-30 11:13 . 2009-01-10 14:06 140,216 --a------ c:\windows\system32\drivers\PnkBstrK.sys
2008-12-30 11:09 . 2009-01-29 12:52 <REP> d-------- c:\windows\system32\LogFiles
2008-12-30 11:09 . 2009-01-10 14:05 201,352 --a------ c:\windows\system32\PnkBstrB.exe
2008-12-30 11:09 . 2008-12-30 11:09 66,872 --a------ c:\windows\system32\PnkBstrA.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 12:30 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-01-28 23:48 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-28 23:48 --------- d-----w c:\program files\WarRock
2009-01-28 23:45 --------- d-----w c:\program files\eMule
2009-01-28 23:45 --------- d-----w c:\program files\DAEMON Tools Toolbar
2009-01-20 09:16 --------- d-----w c:\documents and settings\Administrateur\Application Data\DAEMON Tools
2009-01-04 20:01 --------- d-----w c:\program files\Java
2008-12-28 18:12 --------- d-----w c:\program files\Monkey3
2008-12-28 18:12 --------- d-----w c:\documents and settings\Administrateur\Application Data\Monkey3
2008-12-25 09:20 --------- dc----w c:\program files\Fichiers communs\WindowsLiveInstaller
2008-12-16 18:07 --------- d-----w c:\documents and settings\All Users\Application Data\NVIDIA
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-11-12 01:04 2,560 ----a-w c:\windows\_MSRSTRT.EXE
2008-04-14 02:34 933,888 --sh--r c:\windows\system32\sorhost.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"NexonPlug"="c:\nexon\NexonPlug\NexonPlug.exe" [2009-01-21 1831632]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-08 7561216]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"Look 'n' Stop"="c:\program files\Soft4Ever\looknstop\looknstop.exe" [2009-01-29 557056]
"Object Rec"="sorhost.exe" [2008-04-14 c:\windows\system32\sorhost.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Object Rec"="sorhost.exe" [2008-04-14 c:\windows\system32\sorhost.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\Nexon\\NGM\\NGM.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\Nexon\\Common\\NMService.exe"=
"c:\\Nexon\\NexonPlug\\NMService.exe"=
"c:\\Nexon\\Counter-Strike Online\\Bin\\cstrike-online.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53444:TCP"= 53444:TCP:Monkey3Saver
"5435:TCP"= 5435:TCP:Monkey3
"5435:UDP"= 5435:UDP:Monkey3

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [2005-12-06 35328]
R1 lnsfw1;lnsfw1;c:\windows\system32\drivers\lnsfw1.sys [2009-01-29 79232]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [2008-10-28 226304]
S3 NPF;Netgroup Packet Filter;c:\windows\system32\drivers\npf.sys --> c:\windows\system32\drivers\npf.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1effaaa6-adef-11dd-8457-0013a94a1df7}]
\Shell\AutoRun\command - G:\Launch.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcee4df9-ac2d-11dd-8451-0013a94a1df7}]
\Shell\AutoRun\command - S:\Launch.exe
.
Contents of the 'Scheduled Tasks' folder

2009-01-29 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2008-12-01 09:38]
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.nexon.com
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jvy4uwbe.default\
FF - plugin: c:\documents and settings\All Users\Application Data\Nexon\NGM\npNxGame.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npWebLaunch.dll
FF - plugin: c:\program files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 13:30:23
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\ehome\ehRecvr.exe
c:\windows\ehome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\conime.exe
c:\windows\system32\wscntfy.exe
c:\windows\ehome\ehmsas.exe
0
Réponse 4 / 8
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
29 janv. 2009 à 13:38
Tu veux t'en occuper green day ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
29 janv. 2009 à 13:44
Ok, je prends la suite !

Passons MBAM, avant de scripter ! :)

Télécharge ceci : http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
* Installez le programme sur le bureau :
* Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour)
* Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs
* Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !)
* Un rapport sera généré, enregistrez le de manière à le retrouver

==> poste le stp !

J'aurais due préciser qu'il fallait accepter d'installer la console de récupération ... on verra ça plus tard.


@+
0
Réponse 6 / 8
peon
18 févr. 2009 à 17:01
jai exactement le meme probleme voici mon Malware rreports
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 2

18/02/2009 14:49:54
mbam-log-2009-02-18 (14-49-54).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 94052
Temps écoulé: 20 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 14
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36335b7f-b977-4343-bbd5-ddd014d6d217}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36335b7f-b977-4343-bbd5-ddd014d6d217}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f200d5de-33dc-4f6b-9f50-b94cc2725e45}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{36335b7f-b977-4343-bbd5-ddd014d6d217}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{36335b7f-b977-4343-bbd5-ddd014d6d217}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{f200d5de-33dc-4f6b-9f50-b94cc2725e45}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{36335b7f-b977-4343-bbd5-ddd014d6d217}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{f200d5de-33dc-4f6b-9f50-b94cc2725e45}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{36335b7f-b977-4343-bbd5-ddd014d6d217}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{f200d5de-33dc-4f6b-9f50-b94cc2725e45}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 7 / 8
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 févr. 2009 à 04:54
Utilise ComboFix également.
0
Réponse 8 / 8
Gizmeu Messages postés 1 Date d'inscription jeudi 7 mai 2009 Statut Membre Dernière intervention 7 mai 2009
7 mai 2009 à 03:43
Super,

ComboFix a réparé le tout en un clin d'oeil. :)
0

Discussions similaires

Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Problème Virus Trojan
jmpower -
bazfile -

4 réponses
Windows defender: avertissement de sécurité
surfinia -
Tchoumi -

20 réponses