Rootkit et backdoor

azer -  
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai un rapport de avg anti rootkitt qui me signale que si je supprime les rootkitt ca peut endommager mon ordi et des causes irréversibles en anglais bien sur que doit-je faire ?

WINDOWS SYSTEM 32 tdss mhxt. syst, tdssnrsr.dll,tdss osvd.dat et bien d'autres !!
A voir également:

162 réponses

Précédent
Réponse 81 / 162
loloetseb Messages postés 5508 Date d'inscription   Statut Membre Dernière intervention   174
 
Faut pas se vexer plopus,j'ai proposé une procedure que tu as vu.Apres recherche,une solution meilleur est apparu.Gen hackman etant plus experimenté que moi,il a plus de chance de venir a bout de ce probleme.Par contre mon intervention etait courtoise et la procedure proposée,me semblait pertinente
0
Réponse 82 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
re

loloetseb tout a fait d'accord la procedure me paraissait aussi pernitente mais j'aurais preferé qu'on galere peut etre a 2 comme sa mais la j'ai etait un peu etonné mais suis pas véxé ya pas de soucis :)

c'est juste pour te le faire remarqué, comme tu le dit GENHACKMAN auras surement + de facilité du fait de son experience et de ces connaissances alors on va suivre cela de prés.

bonne continuation a vous ;)
0
Réponse 83 / 162
loloetseb Messages postés 5508 Date d'inscription   Statut Membre Dernière intervention   174
 
Merci à toi aussi
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1
 
Bon ben j'ai essayé en mode sans echec mais ca ramait grave donc j'ai arrété j'était à 100 000 et 0 objects infecté.

Personnelemnt je préférais finir avec poplus avec qui il m'a beaucoup aider mais les autres ca ne me dérange pas, mais il est vraiment temps de résoudre le problème car je doit donner l'ordi à ma soeur pour q'elle s'occupe aussi du problème comme je l'avais promis.

Suis-je encore beaucoup infecté ?

Puis-je faire mes des paiements sur internet ?
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1 > azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention  
 
Faudrait que je résolve le problème d'ici mercredi pour que j'essaye le cd de linux comme ma soeur m'a dit q'il sera plus résonnable de prendre linux, et pouvoir voir si on peut toujours faire des jeux sur internet...
0
Réponse 84 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
re

aser le vrai reste avec GENHACKMAN tu n'as aucun soucis a avoir en plus si tu veux aller + vite c'est la meilleur solution

fait bien ce qu'il te dit ;)
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1
 
En tous cas merci énormément a toi en tous cas tu as vu mon message en mp ?
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1 > azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention  
 
158 pages là je commence a en avoir marre lol.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 85 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
lol c'est 158 poste sinon c'est 5 pages mais oui sa commence a faire pas mal

et oui j'ai vu ton MP, bizarre ce message si c'est pas toi...

et de rien c'est avec plaisir sa met du temps car tu as chopé un rootkit trés coriace et qui se cache bien au debut on avait eliminer une partie mais il est revenu aussitot.

suit bien les conseils de GEN, tu touche le bout bientot
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1
 
Merci beaucoup.

J'espère que je touche la fins du problème car mercredi ce sera trop tard si le problème est pas résolu je remettrai tout à zéro avec linux.
0
Réponse 86 / 162
Utilisateur anonyme
 
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/flash/index_en.html

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :


C:\WINDOWS\system32\AB.tmp


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1
 
Soit je comprends pas faire soit je sais pas il me marque fichier imtrouvable pourtant j'ai chercher aussi manuellemnt le fichier et décocher les cases comme tu m'a dit !!!!!
0
Réponse 87 / 162
Utilisateur anonyme
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur, il n'est pas transposable sur un autre ordinateur !


Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
C:\WINDOWS\system32\AB.tmp

------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix)

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1
 
Il faut désactiver bidefender c'est ca et spyware terminator c'est ca !!

et le cochache et décochache masquer les extensions je laisse comme le post d'avant ?
0
Réponse 88 / 162
Utilisateur anonyme
 
Il faut désactiver bidefender c'est ca et spyware terminator c'est ca !!

oui

uniquement le temps de la manip
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1
 
Voilà.

ComboFix 09-02-15.01 - Compaq_Propriétaire 2009-02-16 19:33:58.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.446.171 [GMT 1:00]
Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Compaq_Propriétaire\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
AV: BitDefender Antivirus *On-access scanning disabled* (Updated)
FW: Pare-feu BitDefender *enabled*
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\AB.tmp
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.

2009-02-14 17:20 . 2009-02-14 17:20 <REP> d-------- C:\_OTMoveIt
2009-02-13 19:33 . 2009-02-13 19:33 <REP> d-------- C:\rsit
2009-02-13 15:06 . 2009-02-13 15:07 <REP> d-------- C:\ComboFix.exe2
2009-02-13 14:33 . 2009-02-13 15:10 121 --a------ c:\windows\bdagent.INI
2009-02-11 15:10 . 2009-02-11 15:30 <REP> d-------- C:\Backups
2009-02-08 12:02 . 2009-02-08 12:02 <REP> d-------- c:\documents and settings\Administrateur.MELANIEGAETAN.000\Application Data\BitDefender
2009-02-08 09:42 . 2009-02-08 09:42 <REP> d-------- c:\documents and settings\MELANIE\Application Data\BitDefender
2009-02-07 18:15 . 2009-02-07 18:16 <REP> d-------- c:\program files\CCleaner
2009-02-06 14:49 . 2009-02-06 14:49 850 --a------ c:\windows\system32\ProductTweaks.xml
2009-02-06 14:49 . 2009-02-06 14:49 385 --a------ c:\windows\system32\user_gensett.xml
2009-02-06 14:46 . 2009-02-06 14:46 <REP> d-------- c:\documents and settings\Compaq_Propriétaire\Application Data\BitDefender
2009-02-06 14:45 . 2009-02-06 14:45 <REP> d-------- c:\program files\BitDefender
2009-02-06 14:40 . 2009-02-06 14:45 <REP> d-------- c:\program files\Fichiers communs\BitDefender
2009-02-06 14:29 . 2009-02-06 14:33 <REP> d-------- c:\windows\BDOSCAN8
2009-02-04 15:14 . 2009-02-04 15:14 579,584 --a------ c:\windows\system32\dllcache\user32.dll
2009-02-04 15:10 . 2009-02-13 19:28 <REP> d-------- c:\windows\ERUNT
2009-02-02 19:24 . 2009-02-03 21:19 <REP> d-------- c:\documents and settings\Compaq_Propriétaire\Application Data\Desktopicon
2009-02-02 19:22 . 2009-02-02 19:23 <REP> d-------- c:\program files\Unlocker
2009-02-02 16:42 . 2009-02-06 14:49 <REP> d-------- c:\documents and settings\All Users\Application Data\BitDefender
2009-02-02 16:32 . 2009-02-02 16:32 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-02 16:11 . 2009-02-02 16:11 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-02 16:09 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll
2009-02-02 14:44 . 2009-02-02 14:44 <REP> d-------- c:\program files\Kaspersky Lab
2009-02-01 20:12 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-01 20:12 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-27 14:36 . 2009-02-16 19:38 81,984 --a------ c:\windows\system32\bdod.bin
2009-01-27 14:27 . 2009-02-06 14:44 <REP> d-------- c:\program files\Fichiers communs\Softwin
2009-01-27 14:19 . 2009-02-16 14:44 <REP> d-------- c:\program files\Trend Micro
2009-01-21 16:14 . 2009-02-03 21:19 <REP> d-------- c:\program files\Eazel-FR
2009-01-21 16:14 . 2009-01-21 16:14 <REP> d-------- c:\program files\Conduit
2009-01-21 16:05 . 2009-01-21 16:05 <REP> d-------- c:\program files\Sophos
2009-01-21 15:31 . 2007-01-18 13:00 3,968 --a------ c:\windows\system32\drivers\AvgArCln.sys
2009-01-19 14:39 . 2009-02-11 18:32 <REP> d-------- c:\documents and settings\MELANIE\Application Data\Spyware Terminator
2009-01-19 14:15 . 2009-02-07 15:19 <REP> d-------- c:\program files\WinClamAVShield
2009-01-19 14:13 . 2009-02-16 19:29 <REP> d-------- c:\documents and settings\Compaq_Propriétaire\Application Data\Spyware Terminator
2009-01-19 14:13 . 2009-01-19 14:13 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2009-01-19 14:12 . 2009-02-12 19:03 <REP> d-------- c:\program files\Spyware Terminator
2009-01-19 14:12 . 2009-02-12 13:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2009-01-16 17:41 . 2009-01-16 17:41 685,056 --a------ c:\windows\is-OVD8T.exe
2009-01-16 17:41 . 2009-01-16 17:41 13,753 --a------ c:\windows\is-OVD8T.msg
2009-01-16 17:41 . 2009-01-16 17:41 417 --a------ c:\windows\is-OVD8T.lst

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-16 14:08 --------- d-----w c:\program files\Lavasoft
2009-02-13 15:04 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-01-27 20:08 --------- d-----w c:\program files\RogueRemover FREE
2009-01-16 20:15 3,594,752 ----a-w c:\windows\system32\dllcache\mshtml.dll
2009-01-14 17:37 --------- d-----w c:\documents and settings\Compaq_Propriétaire\Application Data\Malwarebytes
2009-01-13 20:07 --------- d-----w c:\documents and settings\MELANIE\Application Data\Malwarebytes
2009-01-13 20:06 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 11:29 --------- d-----w c:\program files\Sonic
2009-01-12 15:30 --------- d-----w c:\program files\Gamenext
2009-01-12 15:28 --------- d-----w c:\program files\Zylom Games
2009-01-02 16:31 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-02 16:30 --------- d-----w c:\program files\Java
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47 671,232 ----a-w c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47 477,696 ----a-w c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47 44,544 ----a-w c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47 233,472 ----a-w c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47 193,024 ----a-w c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47 105,984 ----a-w c:\windows\system32\dllcache\url.dll
2008-12-20 22:47 102,912 ----a-w c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47 1,160,192 ----a-w c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:11 70,656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ----a-w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-12-06 12:51 46,736 -c--a-w c:\documents and settings\Compaq_Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
2008-07-15 13:49 726 -c--a-w c:\documents and settings\Compaq_Propriétaire\Application Data\wklnhst.dat
2007-08-19 09:24 774,144 ----a-w c:\program files\RngInterstitial.dll
2006-01-10 17:39 0 -c--a-w c:\documents and settings\MELANIE\Application Data\wklnhst.dat
2006-01-04 16:40 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-12-16 16:52 61,440 ----a-w c:\program files\mozilla firefox\components\FFComm.dll
2008-11-02 11:00 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008110220081103\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-02 136600]
"SystrayORAHSS"="c:\program files\Orange HSS\Systray\SystrayApp.exe" [2007-07-24 94208]
"ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2007-07-24 102400]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-01-19 1783808]
"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2009-01-09 741376]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2008-10-17 69632]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-02 98304]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2005-06-08 04:05 344064 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--------- 2005-05-17 17:42 933888 c:\program files\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-17 06:11 49152 c:\program files\Hp\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
--a------ 1998-05-07 17:04 52736 c:\windows\system\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2005-05-05 00:21 278528 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
--a--c--- 2005-02-02 15:44 61440 c:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSBWatcher]
--a--c--- 2005-05-11 01:50 253952 c:\hp\drivers\hplsbwatcher\LSBurnWatcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-01-02 07:01 98304 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
--a------ 2004-04-14 21:43 233472 c:\windows\SMINST\Recguard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
--a------ 2004-12-14 01:23 663552 c:\windows\CREATOR\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--------- 2005-01-26 18:02 49152 c:\program files\Brother\Brmfl05a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-03-13 10:10 19543592 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2005-11-10 12:03 36975 c:\program files\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
--a------ 2005-12-20 09:32 100056 c:\progra~1\SYMNET~1\SNDMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-01 10:22 185896 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
--a------ 2005-10-24 14:53 307200 c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 14:49 20480 c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcxMonitor]
--a------ 2004-09-07 21:47 57344 c:\windows\ALCXMNTR.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-01-19 141312]
R2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [2008-10-06 82696]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [2008-09-18 111112]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2008-10-17 104328]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2008-05-29 450560]
S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [2008-07-17 118784]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-02-01 38496]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\AB.tmp --> c:\windows\system32\AB.tmp [?]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-06-20 215040]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6fdde644-f332-11dc-aa63-e0434a648e1a}]
\Shell\AutoRun\command - K:\ie.exe
\Shell\explore\Command - K:\ie.exe
\Shell\open\Command - K:\ie.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-27 c:\windows\Tasks\HPCeeSchedule.job
- c:\progra~1\EASYIN~1\Ceement\HPCEE.exe [2005-06-13 17:41]

2005-01-02 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-24 18:22]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-ccApp - c:\program files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-IndexSearch - c:\program files\ScanSoft\PaperPort\IndexSearch.exe
MSConfigStartUp-msnmsgr - c:\program files\MSN Messenger\msnmsgr.exe
MSConfigStartUp-PaperPort PTD - c:\program files\ScanSoft\PaperPort\pptd40nt.exe
MSConfigStartUp-SSBkgdUpdate - c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
MSConfigStartUp-Transponder - c:\windows\system32\susp.exe
MSConfigStartUp-WOOKIT - c:\progra~1\Wanadoo\Shell.exe
MSConfigStartUp-WOOTASKBARICON - c:\progra~1\Wanadoo\GestMaj.exe


.
------- Examen supplémentaire -------
.
mWindow Title =
IE: &Traduire à partir de l'anglais - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} - hxxp://powersoccer.jeu.fr/applet/PowerLoader.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\afw2sf9v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&tbid=60076&qkw=
FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npgcplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npracplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Real\RealArcade\Plugins\Mozilla\npracplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 19:40:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\AB.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-02-16 19:43:40
ComboFix-quarantined-files.txt 2009-02-16 18:43:35

Avant-CF: 129 280 696 320 octets libres
Après-CF: 129,357,897,728 octets libres

236 --- E O F --- 2009-02-12 19:52:23
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1 > azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention  
 
Faut-il que décoche afficher fichier cachés et cocher les fichiers extensions dont le type est connu et les fichiers protégés du système comme tu a marquer ci-dessus ?
0
Réponse 89 / 162
Utilisateur anonyme
 
ben j'avour que je suis un peu en panne- là :(
0
Réponse 90 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
re ici

si je peut me permettre ce qu'il ya de marqué sur le lien (pour eviter de relancer enocre les infections) car il y a un bug sur CCM qui fait que des fois les scripts sont modif et poste le rapport

http://cjoint.com/data/csuhN2h3Xu.htm


puis reposte un RSIT
0
azer
 
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6fdde644-f332-11dc-aa63-e0434a648e1a}\\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\~DF6852.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\~DFAB9C.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\tmp000032f1\tmp00000000 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_13c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02162009_203231
0
azer > azer
 
Logfile of random's system information tool 1.05 (written by random/random)
Run by Compaq_Propriétaire at 2009-02-16 20:43:45
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 123 GB (84%) free of 146 GB
Total RAM: 446 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:02, on 16/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Program Files\Orange HSS\Launcher\Launcher.exe
C:\Program Files\Orange HSS\connectivity\connectivitymanager.exe
C:\Program Files\Orange HSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange HSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Orange HSS\browser\browser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\RSIT.exe
C:\Program Files\trend micro\Compaq_Propriétaire.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange HSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - https://www.jeu.fr/?utm_source=spildomains&utm_medium=redirect&utm_campaign=powersoccer.jeu.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextfr.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
0
Réponse 91 / 162
azer
 
Me dites pas que j'ai attraper un truc rare ou vachement dure à éradiquer car il me reste 2 jours pour le supprimer; sans vous mettre la pression bien sur; car vous avez des compétences largement au dessus des miennes.
0
Réponse 92 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
GENHACKMAN pourquoi tu dit que tu es en panne qu'est ce que tu as vu car la moi je vois pas grand chose ?

azer en controle

* Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

* /!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

* Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc notes

* Ensuite poste le rapport dans ta prochaine réponse

puis

GENPROC Ouvre ce lien d'aide < < http://www.alt-shift-return.org/Info/GenProc-HowTo.html >

, et le téléchargement est dedans < http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip >. repond oui à la question à la fin et poste le rapport stp
0
azer
 
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : Compaq_Propriétaire ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)
Firewall : Pare-feu BitDefender 12.0 (Activated)

C:\ (Local Disk) - NTFS - Total:143 Go (Free:120 Go)
D:\ (Local Disk) - FAT32 - Total:5 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)

16/02/2009|21:06

----------------------\\ Search..

No infections found !


1 - "C:\Rooter$\Rooter_1.txt" - 16/02/2009|21:08

----------------------\\ Scan completed at 21:08
0
azer > azer
 
Avec genproc , le téléchargement j'suis complètement perdu c'est bien compliqué tout ca j'ai les oreilles qui fume lol.

Je sais plus ou j'en suis.....
0
Réponse 93 / 162
Utilisateur anonyme
 
ben y a ce C:\Combofix.exe2 qui me pose souci

regarde si tu le trouves
0
Réponse 94 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
re

non GENHACKMAN c'est pas un soucis sa, c'est parceque jlui est fait fait telechargé 2fois ou du moins il a du le telechargé 2fois car on la passé 2fois il avait un TDSS qui est revenu par la suite c'est pour sa sinon je vois autre chose szurtout si GENPROC donne aucune infections aussi

jlui ferai faire un scan kaspersky puis si rien pour moi c'est fini
0
Réponse 95 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
azer

c'est simple tu telecharge le ZIP tu decompresse le DOSSIER ENTIER sur ton bureau puis tu l'ouvre et tu lance GENPROC.bat sa prend 3min max et poste le rapport sous forme d'etape

A LA FIN REPOND OUI A LA QUESTION et poste le rapport qui s'ouvre
0
Réponse 96 / 162
Utilisateur anonyme
 
n'aurait-il pas été ecrit de la sorte ? : C:\Combofix(2).exe
0
Réponse 97 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
héhé

bien vu, j'avais pas fait gaffe, tu as raison il est bizarre ce fichier avec le 2 à la FIN il va l'analyser sur VT après
0
azer
 
Rapport GenProc 2.373 [1] - 17/02/2009 à 13:57:38,57 - Windows XP

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

__________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
0
azer > azer
 
Bizarre il ne trouve rien pourquoi cette écriture alors !!!!

BitDefender - Fichier journal

Produit : BitDefender Total Security 2009
Version : BitDefender UIScanner v.12
Tâche d'analyse : Analyse contextuelle
Date du journal : 14:02:52 17/02/2009
Chemin du journal : C:\Documents and Settings\Compaq_Propriétaire\Application Data\BitDefender\Desktop\Profiles\Logs\contextual\1234875772_1_00.xml

Analyse des chemins :Chemin 0000: C:\ComboFix.exe2

Options d’analyse :Détecter les virus : Oui
Détecter les adwares : Oui
Détecter les spywares : Oui
Analyser les applications : Oui
Détecter les dialers : Oui
Détecter les rootkits : Non

Options de sélection de cible :Analyser les clés du registre : Non
Analyser les cookies : Non
Analyser les secteurs de boot : Non
Analyser les processus mémoire : Non
Analyser les archives : Oui
Analyser les fichiers enpaquetés : Oui
Analyser les e-mails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement de la cible :Action par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucune
Action par défaut pour les objets camouflés : Aucune

Résumé de l'analyseNombre de signatures de virus : 2670556
Plugins archives : 45
Plugins e-mail : 6
Plugins d'analyse : 13
Plugins système : 5
Plugins de décompression : 7

Résumé de l'analyse généraleEléments analysés : 155
Eléments infectés : 0
Eléments suspects : 0
Eléments résolus : 0
Éléments non résolus : 0
Eléments protégés par mot de passe : 0
Virus individuels trouvés : 0
Répertoires analysés : 2
Secteur de boot analysés : 0
Archives analysés : 1
Erreurs I/O : 0
Temps d'analyse : 00:00:14
Fichiers par seconde : 11

Résumé des processus analysésAnalysé : 0
Infecté : 0

Résumé des clés de registre analyséesAnalysé : 0
Infecté : 0

Résumé des cookies analysésAnalysé : 0
Infecté : 0
0
Réponse 98 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
clic ici https://www.virustotal.com/gui/ et fait analyser ce fichier et poste le rapport

C:\ComboFix.exe2 ATTENTION prend bien celui avec le 2 a LA FIN

et de mon coté je vais analyser le combofix normal pour voir la difference entre les 2
0
azer
 
C'est bizarre j'ai tout un tas de fichiers à l'intérieur une centaine environ !!!

Jai ai essayer 2 mais je peux pas faire les 100, je pensais q'il y en avait q'un!!!

Déjà dans les 2 premiers sur une liogne c'et marquer suspicious !!
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1 > azer
 
Par exemple celui là cat quickheal


Fichier hidec.exe reçu le 2009.02.15 23:34:24 (CET)
Situation actuelle: terminé

Résultat: 2/39 (5.13%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared - - -
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
Comodo - - ApplicUnsaf.Win32.Hide.~AB
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
McAfee+Artemis - - -
Microsoft - - -
NOD32 - - -
Norman - - -
nProtect - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: abc6379205de2618851c4fcbf72112eb
SHA1: 1ed7b1e965eab56f55efda975f9f7ade95337267
SHA256: 22e7528e56dffaa26cfe722994655686c90824b13eb51184abfe44d4e95d473f
SHA512: 180c7f400dd13092b470e3a91bf02e98ef6247c1193bf349e3710e8d1e9003f3bc9b792bb776eacb746e9c67b3041f2333cc07f28c5f046d59274742230fb7c1
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1 > azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention  
 
ou celui là

Fichier swreg.exe reçu le 2009.02.15 19:20:15 (CET)
Situation actuelle: terminé

Résultat: 1/39 (2.56%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared - - -
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
Comodo - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
McAfee+Artemis - - -
Microsoft - - -
NOD32 - - -
Norman - - -
nProtect - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: 01d95a1f8cf13d07cc564aabb36bcc0b
SHA1: be229bde90b82d21fe94c67e2b096334e93d78c2
SHA256: 1eed7a2498943b7303de1f085820edbabae4a414db6125862c1ba2db269ee3e3
SHA512: 342c92b9e6d6870a43c973dd2b52549f8925eec9b153056db336184243f08eb932aa1e433e7d950bbb0d4e46faa95d04f0283b48d4361653d9b81311ab2b3a48
0
Réponse 99 / 162
Utilisateur anonyme
 
:)
0
Réponse 100 / 162
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
re

poste les rapports que tu as fait avec le nom des fichiers avant de faire quoi que ce soit


esnuite tu te trompe pas de fichier tu as 100 fichier nommé C:\ComboFix.exe2 ?????
car jté pas dit de clic dessus juste de le faire analyser

regarde bien tu as UN seul fichier a ce nom et fait le analyser NE SUPPRIME RIEN MEME SI IL DISE QUE LE FICHIER ET INFECTE poste le rapport deja
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1
 
En fait à l'intérieur du fichier combofix une centaines d'autres fichiers mais combofix.exe2 j'ai ai quand bien sur mais je trouve pas le combofix2 normal !!!!!
0
azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention   1 > azer le vrai Messages postés 298 Date d'inscription   Statut Membre Dernière intervention  
 
Encore un je vais pas tous les faire !!!!!


Fichier NirCmd.cfexe reçu le 2009.02.17 11:04:03 (CET)
Situation actuelle: terminé

Résultat: 3/39 (7.69%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.17 -
AhnLab-V3 5.0.0.2 2009.02.17 -
AntiVir 7.9.0.79 2009.02.17 -
Authentium 5.1.0.4 2009.02.16 -
Avast 4.8.1335.0 2009.02.16 -
AVG 8.0.0.237 2009.02.16 -
BitDefender 7.2 2009.02.17 -
CAT-QuickHeal 10.00 2009.02.17 -
ClamAV 0.94.1 2009.02.16 -
Comodo 982 2009.02.17 -
DrWeb 4.44.0.09170 2009.02.16 -
eSafe 7.0.17.0 2009.02.15 Suspicious File
eTrust-Vet 31.6.6360 2009.02.16 -
F-Prot 4.4.4.56 2009.02.16 -
F-Secure 8.0.14470.0 2009.02.17 -
Fortinet 3.117.0.0 2009.02.17 HackerTool/Nircmd
GData 19 2009.02.17 -
Ikarus T3.1.1.45.0 2009.02.17 -
K7AntiVirus 7.10.630 2009.02.14 -
Kaspersky 7.0.0.125 2009.02.17 -
McAfee 5528 2009.02.16 -
McAfee+Artemis 5528 2009.02.16 -
Microsoft 1.4306 2009.02.17 -
NOD32 3860 2009.02.17 -
Norman 6.00.06 2009.02.16 -
nProtect 2009.1.8.0 2009.02.17 -
Panda 10.0.0.10 2009.02.17 -
PCTools 4.4.2.0 2009.02.16 -
Prevx1 V2 2009.02.17 -
Rising 21.17.12.00 2009.02.17 -
SecureWeb-Gateway 6.7.6 2009.02.17 -
Sophos 4.38.0 2009.02.17 NirCmd
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.17 -
TheHacker 6.3.2.2.259 2009.02.17 -
TrendMicro 8.700.0.1004 2009.02.17 -
VBA32 3.12.8.13 2009.02.17 -
ViRobot 2009.2.17.1611 2009.02.17 -
VirusBuster 4.5.11.0 2009.02.16 -
Information additionnelle
File size: 29696 bytes
MD5...: b8cb05cfce09e64c715175e7d59367e2
SHA1..: c5d9ddbe54956a49ef99260079ab82406fa09586
SHA256: c0957fdf8751072c6134b18003ae8b231ba5a8e18657501ed444c47c83d8561e
SHA512: 39da7500918d262e1a71e1c808b6425e751cc96fbce1bd1ffa91798b0a2efd4c
b5f7b15852eeaee01c7a3c2ccb143ede7ef73f6ce79a7d0f538679cf8ce18ffc

ssdeep: 384:oiQHqsBeh36EhHMnWPeEMaUxxMfnqtAQmTzbwwaqyTjM1aEbJZXyCMpZw142
KGHK:TXHh3rPevwfnwmT/wwaLS1/CCMJGHrF

PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x125b0
timedatestamp.....: 0x495c0db9 (Thu Jan 01 00:26:33 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x7000 0x6800 7.89 f3ad12be4761fc7307d44f6c0e5f57bb
.rsrc 0x13000 0x1000 0x800 3.29 28981f4142e578600834b538ec604fa3

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: BitBlt
> msvcrt.dll: exit
> ole32.dll: CoInitialize
> SHELL32.dll: ShellExecuteA
> USER32.dll: GetDC
> WINMM.dll: mixerOpen

( 0 exports )

Threa
0

Discussions similaires

Comment retirer backdoor.rustock.b et infostealer.snifula.b
Emy.sunderland -
Malekal_morte- -

5 réponses
Doutes sur des Virus Trojan Backdoor.rustock.b et Infostealer.s
veykqt -
Malekal_morte- -

3 réponses
Trojan repéré (Backdoor.Rustock.B ...)
demondu36 -
Phenix9199 -

41 réponses