Sujet Précédent Sujet Suivant

Win32Ba\.\r.VarBot

Th44 -  
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,
a la suite de problème concernant internet, impossible de rentrer sur des pages en passant par google ou en tapant directement l' addresse ( accès interdit, liens corrompus, impossible d' afficher la page ), j' ai lancé une analyse ad-aware. Cette analyse a trouvé deux malware "win32Ba\.\r.VarBot" j' ai suivis l' action recommandé et redémaré mon pc, au démarrage ad-aware signale à nouveau un problème, lance un scan et retrouve la même chose et ça plusieurs fois de suite.
Que dois-je faire ?
Merci

35 réponses

Précédent
  • 1
  • 2
Réponse 21 / 35
Th44
 
je ne sais pas si c' est important j' ai des rapport d' erreur de windows portant sur:
"Generic host process for Win32 services"
0
Réponse 22 / 35
totobetourne Messages postés 5677 Statut Membre 65
 
1)tu utilises d autres programmes comme sd fix et combo fix se serait bien de prevenir et de coller les rapports . merci.

2)passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
COLLE LE RAPPORT APRES SUPPRESSION MERCI.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

0
Réponse 23 / 35
Th44
 
Désolé pour le rapport posté avant suppression.
Je dois partir je reviendrais demain(si je dois?).
MERCI BEAUCOUP pour ton aide et ton temps Ced_King, et merci à totobetourne aussi.
0
Réponse 24 / 35
totobetourne Messages postés 5677 Statut Membre 65
 
message 22 , une erreur, pardon.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 35
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Oh, je peux savoir ce que tu fais tototebourne ?
0
Réponse 26 / 35
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Re, Th44

Télécharges Findykill de Chiquitine29 :

->Enregistres le sur ton bureau et pas ailleurs !

!! Déconnectes toi et fermes toute applications en cours !!

->double Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
--------------------------

- Ensuite branches tes disques amovibles ( clé usb, disque dur externe, ipod etc...) sans les ouvrir

- Relances findykill comme la 1ere fois, mais choisis l'option 4

- patientes le temps du scan et postes le rapport généré
...;
0
Réponse 27 / 35
totobetourne Messages postés 5677 Statut Membre 65
 
c est ce topic dont tu me parlais en MP :je fais des betises.

au moin je serai present si tu ne revenais pas, si tu partais en week end ou autres.
calme toi c est TON topic.l effet de possession sur ce qui est immateriel.

je vous laisse donc.
0
Réponse 28 / 35
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
au moin je serai present si tu ne revenais pas, si tu partais en week end ou autres.

- Pourquoi tu trouves qu'il n'y a pas assez de demande d'aide sur le forum virus/sécurité

- et puis ne t'inquiètes pas pour moi, toujours un portable dispo et au cas ou je sais à qui demandé !

calme toi c est TON topic.l effet de possession sur ce qui est immateriel

Si c'est pour demander ça : http://www.commentcamarche.net/forum/affich 11931186 win32ba r varbot?page=2#22

- Meme pas capable de voir que Malwarebytes a déjà été passé et repassé :

http://www.commentcamarche.net/forum/affich 11931186 win32ba r varbot#13

- Donc, crois moi c'est sur que je ne viendrais pas te voir

- et puis le forum virus/sécurité, ce n'est pas le forum café des membres ou autres... On ne joue pas avec le pc des gens...

- De là a me dire que tu ne le savais pas, expliques moi ceci :

http://www.commentcamarche.net/forum/affich 11931186 win32ba r varbot#10

- Si c'est ça suivre, alors oui, je te demanderais d'eviter d'intervenir...

- Sur ce, je vais te demander d'arreter de pourrir le topic, il y a une charte sur CCm et tu ferais bien de la respecter ( si au moins ton intervention aurait pu servir...)

...
0
Réponse 29 / 35
totobetourne Messages postés 5677 Statut Membre 65
 
1)tu dois pas etre ici depuis longtewmps , car les pour suivre , c est lorqu un topic est interessant.tu connais pas peut etre.

2)tu t enerves mais as tu lu le message 24.MESSAGE 24 tu lis et ton premier devient inutil et tout le reste.

met les mp sur le topic , tu es vraiment inutil.je crois que la personne que tu aides ca va la faire avancer.

pathetique, vas y continue , amuse toi au bout d un moment on va etre 2.

si tu veux que l on commence a s amuser ici. je suis pas le dernier des cretins.
0
Réponse 30 / 35
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
?):

0
Réponse 31 / 35
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Re, Th44

Télécharges Findykill de Chiquitine29 :

->Enregistres le sur ton bureau et pas ailleurs !

!! Déconnectes toi et fermes toute applications en cours !!

->double Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
--------------------------

- Ensuite branches tes disques amovibles ( clé usb, disque dur externe, ipod etc...) sans les ouvrir

- Relances findykill comme la 1ere fois, mais choisis l'option 4

- patientes le temps du scan et postes le rapport généré
0
Th44
 
Salut,
voila le rapport de findy:


############################## [ FindyKill V4.722 ]

# User : Thomas (Administrateurs) # PC-THOMAS
# Update on 04/04/09 by Chiquitine29
# Start at: 18:54:08 | 11/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 27,95 Go (6,65 Go free) # NTFS
# D:\ # Disque fixe local # 48,74 Go (12,02 Go free) [VAIO] # NTFS
# E:\ # Disque CD-ROM # 654,87 Mo (0 Mo free) [TheFrozenThrone] # CDFS
# F:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Razer\razerofa.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]


################## [ C:\WINDOWS\System32... ]


################## [ C:\Documents and Settings\Thomas\Application Data ]


################## [ C:\Documents and Settings\Thomas...\Temp Files... ]


################## [ Registre / Clés infectieuses ]



################## [ Recherche dans supports amovibles]


# Contenu de l'autorun : E:\autorun.inf

[autorun]
open=autoplay.exe
icon=appicon.ico


# Recherche fichiers connus :

Found ! "E:\autorun.inf"

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.722 ! ]
0
Réponse 32 / 35
Th44
 
et le rapport disques amovibles:

################################### [ FindyKill V4.722 ]

# User : Thomas (Administrateurs) # PC-THOMAS
# Update on 04/04/09 by Chiquitine29
# Start at: 18:58:20 | 11/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 27,95 Go (6,65 Go free) # NTFS
# D:\ # Disque fixe local # 48,74 Go (12,02 Go free) [VAIO] # NTFS
# E:\ # Disque CD-ROM # 654,87 Mo (0 Mo free) [TheFrozenThrone] # CDFS
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 3,68 Go (21,2 Mo free) [IPOD (THOMA] # FAT32

################################### [ Cracks / Keygens ... ]

D:\Windows_XP_SP1_Keygen
D:\Windows_XP_SP1_Keygen.zip
D:\Windows_XP_SP1_Keygen\Crack_XP_for_SP1\Key Gen For XP.exe

################## [ ! Fin du rapport # FindyKill V4.722 ! ]
0
Réponse 33 / 35
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Re,

- Avant de continuer,

1) vas à la racine du disque dur et supprimes C:\qobox

2)Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK.
- ( il y a un espace entre combofix et /u)

---------------
3) Telecharges Combofix et enregistres le sur ton bureau

/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\

- Deconnectes toi et fermes toutes les applications en cours
- Double clic sur Combofix.exe >> un message apparait > réponds " oui "
- ( Il est conseillé d'installer la console de recuperations)
- Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan

/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\

- A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire
- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt
---------------------------
0
Réponse 34 / 35
Th44
 
Re,

rapport combo:

ComboFix 09-04-04.01 - Thomas 2009-04-12 13:09:23.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.512.272 [GMT 2:00]
Lancé depuis: c:\documents and settings\Thomas\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-12 au 2009-04-12 ))))))))))))))))))))))))))))))))))))
.

2009-04-11 18:53 . 2009-04-11 18:58 <REP> d----c--- C:\FindyKill
2009-04-10 14:49 . 2009-04-10 14:49 <REP> d-------- c:\program files\Avira
2009-04-10 14:49 . 2009-04-10 14:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-04-10 14:23 . 2009-04-10 14:23 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-10 14:23 . 2009-04-10 14:23 <REP> d-------- c:\documents and settings\Thomas\Application Data\Malwarebytes
2009-04-10 14:23 . 2009-04-10 14:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-10 14:23 . 2009-04-06 15:32 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-10 14:23 . 2009-04-06 15:32 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-10 12:54 . 2009-04-10 12:54 <REP> d-------- c:\windows\ERUNT
2009-04-10 12:43 . 2009-04-10 12:43 <REP> d-------- c:\program files\CCleaner
2009-04-10 12:08 . 2009-04-10 12:10 <REP> d----c--- C:\rsit
2009-04-10 12:08 . 2009-04-10 17:56 <REP> d-------- c:\program files\trend micro
2009-04-10 11:41 . 2009-04-10 11:41 <REP> d---s---- c:\documents and settings\LocalService\Mes documents
2009-04-02 22:02 . 2009-04-02 22:02 <REP> d-------- c:\documents and settings\LocalService\Bureau
2009-04-02 21:53 . 2009-04-10 12:32 <REP> d-------- c:\program files\Lavasoft
2009-03-14 17:07 . 2009-03-14 17:07 <REP> d-------- c:\program files\iPod
2009-03-14 17:06 . 2009-03-14 17:07 <REP> d-------- c:\documents and settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-03-14 17:05 . 2009-03-14 17:05 <REP> d-------- c:\program files\Bonjour
2009-03-14 17:03 . 2009-03-14 17:04 <REP> d-------- c:\program files\QuickTime

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-12 11:13 --------- d-----w c:\program files\Wanadoo
2009-04-12 10:54 --------- d-----w c:\program files\Icone
2009-04-10 22:25 --------- d-----w c:\documents and settings\Thomas\Application Data\OpenOffice.org2
2009-04-10 10:32 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2009-03-14 15:07 --------- d-----w c:\program files\iTunes
2009-03-14 15:06 --------- d-----w c:\program files\Fichiers communs\Apple
2009-02-25 03:30 --------- d-----w c:\program files\Google
2007-01-06 18:56 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2004-11-18 21:09 710 ----a-w c:\program files\Raccourci vers 001.lnk
2004-07-22 08:51 3,432,656 -c--a-w c:\program files\ManagedDX.CAB
2004-07-19 20:58 1,156,363 -c--a-w c:\program files\BDANT.cab
2004-07-19 20:53 976,020 -c--a-w c:\program files\BDAXP.cab
2004-07-09 12:17 13,265,040 -c--a-w c:\program files\dxnt.cab
2004-07-09 07:13 703,080 -c--a-w c:\program files\BDA.cab
2004-07-09 07:13 15,493,481 -c--a-w c:\program files\DirectX.cab
2004-07-09 02:08 472,576 ----a-w c:\program files\dxsetup.exe
2004-07-09 02:08 2,242,560 -c--a-w c:\program files\dsetup32.dll
2004-07-09 01:03 62,976 ----a-w c:\program files\DSETUP.dll
.

------- Sigcheck -------

2004-08-20 01:09 1884672 2fb4f2728b5011fb7b1d62c2a23bc8b0 c:\windows\explorer.exe
2002-08-29 11:45 1008128 82fe0d400cb1ac937234467b927b867a c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-20 01:09 1884672 2fb4f2728b5011fb7b1d62c2a23bc8b0 c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 68856]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"razer"="c:\program files\Razer\razerhid.exe" [2005-04-27 155648]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-11-30 32768]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-05-12 180269]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2007-06-23 77824]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^M Lab MPEG-2 Decoder Setting.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\M Lab MPEG-2 Decoder Setting.lnk
backup=c:\windows\pss\M Lab MPEG-2 Decoder Setting.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2009-03-12 21:56 342312 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2004-07-15 11:42 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2009-01-05 17:18 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-05-12 19:53 180269 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"iPodService"=3 (0x3)
"Fswsclds"=2 (0x2)
"ERSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\Valve\\Steam\\SteamApps\\night_fr@hotmail.com\\counter-strike source\\hl2.exe"=
"c:\\Program Files\\Valve\\Steam\\SteamApps\\shutt9344\\counter-strike source\\hl2.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"d:\\eMule\\emule.exe"=
"c:\\StubInstaller.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Inventel\\Gateway\\RGWRepair.exe"=
"c:\\Program Files\\Ocean Technology\\GG-Esports Platform\\GGclient.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [2005-09-07 13225]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2007-01-06 217088]
S4 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;c:\program files\F-Secure Anti-Virus\fswsclds.exe [2005-03-19 40960]
.
Contenu du dossier 'Tâches planifiées'

2009-04-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-01-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 13:34]
.
.
------- Examen supplémentaire -------
.
uLocal Page = \blank.htm
uStart Page = hxxp://www.google.fr/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: { - c:\program files\Messenger\msmsgs.exe
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-12 13:13:51
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-329068152-1801674531-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-329068152-1801674531-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CEBEDC8F-7255-1336-0D95-3F66C7B74947}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"bbohfnpgpegjfebhllopdimpckgecindenhi"=hex:66,61,6d,6d,63,62,67,6c,64,64,61,62,
00,0a
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\FTRTSVC.exe
c:\windows\system32\WgaTray.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\progra~1\Wanadoo\GestionnaireInternet.exe
c:\progra~1\Wanadoo\ComComp.exe
c:\program files\iPod\bin\iPodService.exe
c:\progra~1\Wanadoo\Toaster.exe
c:\progra~1\Wanadoo\Inactivity.exe
c:\progra~1\Wanadoo\PollingModule.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-04-12 13:17:16 - La machine a redémarré [Thomas]
ComboFix-quarantined-files.txt 2009-04-12 11:17:06
ComboFix2.txt 2009-04-10 11:47:18

Avant-CF: 7,972,646,912 octets libres
Après-CF: 8,102,658,048 octets libres

190
0
Réponse 35 / 35
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

Regnull::
[HKEY_USERS\S-1-5-21-329068152-1801674531-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CEBEDC8F-7255-1336-0D95-3F66C7B74947}*]
"bbohfnpgpegjfebhllopdimpckgecindenhi"=-

registry::
[HKEY_USERS\S-1-5-21-329068152-1801674531-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CEBEDC8F-7255-1336-0D95-3F66C7B74947}*]
"bbohfnpgpegjfebhllopdimpckgecindenhi"=-


- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur le lien :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

( Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. - Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.

......
0