Win32trojandropper delf et autorun GD - Page 2

Précédent
  • 1
  • 2
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    oki ... nous y voilà ...

    la suite dans l'ordre :

    1-! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    une fois ce rapport posté , enchaine .

    =====================

    2- Télécharge MalwareByte's :
    ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
    ou ici : http://www.malwarebytes.org/mbam.php

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's .

    Fais un examen dit "Rapide" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
    accompagné d'un nouveau rapport RSIT ( log.txt ) pour analyse ...

    0
  2. aurillac
     
    ############################## [ UsbFix V3.029 | Cleaning ]

    # User : Administrateur (Administrateurs) # CFAS15-2007PC01
    # Update on 05/06/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 14:26:06 | 11/06/2009

    # Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 8.0.6001.18702
    # Windows Firewall Status : Enabled
    # AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

    # C:\ # Disque fixe local # 139,03 Go (125,86 Go free) # NTFS
    # D:\ # Disque fixe local # 10 Go (8,24 Go free) [HP_RECOVERY] # NTFS
    # E:\ # Disque CD-ROM
    # F:\ # Disque fixe local # 465,65 Go (25,02 Go free) [My Book] # FAT32
    # G:\ # Disque amovible # 491,73 Mo (153,05 Mo free) [CFAS] # FAT

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
    C:\Program Files\PDF Complete\pdfsvc.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Deleted ! F:\Setup.exe
    Deleted ! F:\msvcr71.dll

    ################## [ Registre # Clés Run infectieuses ]

    ################## [ Registre # Mountpoints2 ]

    ################## [ Listing des fichiers présent ]

    [05/12/2007 11:33|-rahs----|212] - C:\boot.ini
    [05/08/2004 04:00|-rahs----|4952] - C:\Bootfont.bin
    [?|?|?] - C:\hiberfil.sys
    [24/03/2009 11:13|-rahs----|0] - C:\IO.SYS
    [24/03/2009 11:13|-rahs----|0] - C:\MSDOS.SYS
    [05/08/2004 04:00|--ahs----|47564] - C:\ntdetect.com
    [11/05/2009 11:08|--ahs----|252240] - C:\ntldr
    [?|?|?] - C:\pagefile.sys
    [11/06/2009 13:45|--a------|1636] - C:\TCleaner.txt
    [11/06/2009 14:27|--a------|2286] - C:\UsbFix.txt
    [01/07/2005 17:16|--ahs----|102] - D:\Desktop.ini
    [03/11/2005 13:29|--ahs----|0] - D:\HP_RECOVERY
    [30/11/2004 17:01|--ahs----|73728] - D:\Info.exe
    [22/11/2007 22:20|--ahs----|1142] - D:\MASTER.LOG
    [12/05/2006 18:07|--ahs----|0] - D:\NTFS
    [29/08/2002 09:00|--ahs----|245920] - D:\NTLDR
    [10/09/2002 14:58|--ahs----|181616] - D:\protect.ed
    [29/08/2002 09:00|--ahs----|245920] - D:\STLDR
    [08/02/2002 21:44|--ahs----|88038] - D:\Warning.bmp
    [25/03/2005 18:00|--ahs----|10] - D:\WIN51
    [22/01/2001 23:00|--ahs----|11] - D:\WIN51.B2
    [25/07/2001 23:00|--ahs----|11] - D:\WIN51.RC1
    [26/07/2001 04:47|--ahs----|11] - D:\WIN51.RC2
    [25/03/2005 18:00|--ahs----|10] - D:\WIN51IA
    [25/03/2005 18:00|--ahs----|10] - D:\WIN51IA.SP1
    [18/08/2001 23:00|--ahs----|10] - D:\WIN51IC
    [20/03/2001 23:00|--ahs----|11] - D:\WIN51IC.B2
    [25/07/2001 23:00|--ahs----|11] - D:\WIN51IC.RC1
    [25/07/2001 23:00|--ahs----|11] - D:\WIN51IC.RC2
    [17/08/2001 23:00|--ahs----|10] - D:\WIN51IP
    [22/01/2001 23:00|--ahs----|11] - D:\WIN51IP.B2
    [26/07/2001 04:47|--ahs----|11] - D:\WIN51IP.RC2
    [17/08/2001 23:00|--ahs----|10] - D:\WIN51IP.SP1
    [17/08/2001 23:00|--ahs----|10] - D:\WIN51IP2
    [25/03/2005 18:00|--ahs----|167] - D:\WINBOM.INI
    [12/05/2006 18:07|--ahs----|0] - D:\XGA
    [31/03/2008 12:57|--a------|87] - F:\Install.ini
    [26/02/2009 15:23|--ahs----|5120] - F:\Thumbs.db
    [13/04/2009 20:06|--ah-----|4096] - F:\._.Trashes
    [07/09/2008 18:30|--a------|78] - F:\Install.log
    [01/10/2008 15:04|--a------|38912] - G:\MATHEMATIQUES eval op‚rations.doc
    [16/10/2008 09:01|--a------|31232] - G:\Eval le bruit.doc
    [15/02/2002 14:20|--a------|1506304] - G:\Creaduction.xls
    [25/09/2008 11:37|--a------|41472] - G:\M‚diatrices.doc
    [15/10/2008 11:19|--a------|41984] - G:\Eval formation initiale.doc
    [29/05/2009 11:18|--a------|71168] - G:\Nicolas.doc
    [13/02/2009 09:50|--a------|117760] - G:\CANTALgraph.xls
    [23/02/2009 10:57|---------|21504] - G:\Guide visite entreprise.xls
    [27/05/2009 14:57|--a------|20249088] - G:\3 documents dossier g‚o.doc

    ################## [ Vaccination ]

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ ! Fin du rapport # UsbFix V3.029 ! ]
    0
  3. aurillac
     
    Bon c'est en cours!
    Je post d'un autre ordi; d'ailleurs j'ai peur qu'il soit infecté de la même manière: dois-je tout refaire ou bien est ce que je peux sauter des étapes? En tout cas merci de ton aide!
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. aurillac
     
    Malwarebytes' Anti-Malware 1.37
    Version de la base de données: 2261
    Windows 5.1.2600 Service Pack 3

    11/06/2009 14:36:21
    mbam-log-2009-06-11 (14-36-21).txt

    Type de recherche: Examen rapide
    Eléments examinés: 78499
    Temps écoulé: 2 minute(s), 16 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  6. aurillac
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-06-11 14:39:33
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 129 GB (91%) free of 142 GB
    Total RAM: 1014 MB (61% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:39:35, on 11/06/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
    C:\Program Files\PDF Complete\pdfsvc.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Yahoo!\Companion\Installs\cpn\ytbb.exe
    C:\Documents and Settings\Administrateur\Bureau\fred\essai du 1106\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
    O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
    O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
    O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
    O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
    O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{46F6B316-FF86-4CAE-B00A-C31CCC020758}: NameServer = 213.203.124.147,213.203.124.146
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
    O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
    O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
    0
  7. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    Je post d'un autre ordi; d'ailleurs j'ai peur qu'il soit infecté de la même manière: dois-je tout refaire ou bien est ce que je peux sauter des étapes? En tout cas merci de ton aide!

    --> tu ne fais rien sur l'autre ordi ! ... ce n'est pas une methode standard que l'on fait ... chaque infection à sa spécifcité , et même si il y a la même infection sur 2 PC , celle si se traite pas forcement de la même manière ...
    Donc on finit d'abors avec ce PC et on s'occupera de l'autre ensuite ... :)

    Par contre j'ai plus Nod32...

    --> pour moi il est bien présent dans le dernier rapport ... ? ... tu peux préciser ?...

    puis fait ceci :

    Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------
    !! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
    --------------------------------------------------------------------------------------------

    Ensuite :
    double-clique sur l'icône "combofix.exe" pour lancer l'outil .

    Appuie sur la touche Y (Yes) pour démarrer le scan .

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .

    Poste le rapport Combofix pour analyse et attends la suite ...

    0
  8. aurillac
     
    ComboFix 09-06-10.02 - Administrateur 11/06/2009 15:06.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.742 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\Desktop.ini

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-11 au 2009-06-11 ))))))))))))))))))))))))))))))))))))
    .

    2009-06-11 12:30 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-06-11 12:30 . 2009-06-11 12:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-06-11 12:30 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-06-11 12:12 . 2009-06-11 12:27 -------- d-----w- C:\UsbFix
    2009-06-11 12:06 . 2009-06-11 12:06 -------- d-----w- c:\program files\CCleaner
    2009-06-11 12:05 . 2009-06-11 12:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
    2009-06-11 12:05 . 2009-06-11 12:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
    2009-06-11 12:05 . 2009-06-11 12:05 -------- d-----w- c:\program files\Yahoo!
    2009-06-11 11:58 . 2009-06-11 11:58 -------- d-----w- C:\rsit
    2009-06-11 11:49 . 2009-06-11 11:49 -------- d-----w- C:\_OTM
    2009-06-11 08:33 . 2009-06-11 08:33 -------- d-sh--w- c:\documents and settings\Administrateur\IECompatCache
    2009-06-11 08:33 . 2009-06-11 08:33 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
    2009-06-11 07:24 . 2009-06-11 07:24 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
    2009-06-11 07:20 . 2009-06-11 07:20 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\ESET
    2009-06-11 07:19 . 2009-06-11 10:06 -------- d-----w- c:\program files\ESET
    2009-06-11 07:19 . 2009-06-11 07:19 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
    2009-06-11 07:15 . 2009-06-11 07:15 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
    2009-06-11 07:10 . 2009-04-30 21:16 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
    2009-06-11 07:10 . 2009-04-30 21:16 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
    2009-06-11 07:10 . 2009-06-11 07:10 -------- d-----w- c:\windows\ie8updates
    2009-06-11 07:10 . 2009-05-12 05:11 102912 ------w- c:\windows\system32\dllcache\iecompat.dll
    2009-06-11 07:09 . 2009-06-11 07:10 -------- dc-h--w- c:\windows\ie8

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-06-11 12:39 . 2009-05-04 15:17 -------- d-----w- c:\program files\trend micro
    2009-06-11 07:12 . 2007-12-05 16:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-06-03 12:32 . 2009-04-06 12:59 2962 ----a-w- c:\windows\mozver.dat
    2009-05-13 05:04 . 2004-08-05 02:00 915456 ----a-w- c:\windows\system32\wininet.dll
    2009-05-12 06:49 . 2008-01-24 13:14 26448 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-05-11 12:49 . 2009-05-11 12:49 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2009-05-11 12:49 . 2009-05-11 12:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-05-11 09:26 . 2004-08-16 03:35 76384 ----a-w- c:\windows\system32\perfc00C.dat
    2009-05-11 09:26 . 2004-08-16 03:35 471246 ----a-w- c:\windows\system32\perfh00C.dat
    2009-05-11 09:13 . 2004-08-16 03:24 88211 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2009-05-07 15:33 . 2004-08-05 02:00 348672 ----a-w- c:\windows\system32\localspl.dll
    2009-05-06 09:49 . 2009-05-06 09:49 -------- d-----w- c:\documents and settings\Administrateur\Application Data\pdfforge
    2009-05-06 09:42 . 2009-05-06 09:42 -------- d-----w- c:\program files\pdfforge Toolbar
    2009-05-04 13:35 . 2009-05-04 13:35 -------- d-----w- c:\documents and settings\LocalService\Application Data\TeamViewer
    2009-05-04 12:42 . 2009-04-28 12:38 -------- d-----w- c:\program files\QuickTime
    2009-05-04 12:37 . 2009-03-09 08:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2009-04-28 12:59 . 2009-04-28 12:57 -------- d-----w- c:\documents and settings\Administrateur\Application Data\gtk-2.0
    2009-04-28 12:38 . 2009-04-28 12:38 -------- d-----w- c:\program files\Apple Software Update
    2009-04-28 12:38 . 2009-04-28 12:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2009-04-19 19:50 . 2004-08-05 02:00 1847296 ----a-w- c:\windows\system32\win32k.sys
    2009-04-15 14:53 . 2004-08-05 02:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
    2009-04-06 12:59 . 2009-04-06 12:59 0 ----a-w- c:\windows\nsreg.dat
    2009-04-06 12:59 . 2009-04-06 12:59 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
    2009-04-06 12:59 . 2009-04-06 12:59 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
    2009-04-06 12:59 . 2009-04-06 12:59 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
    2009-01-30 13:12 650752 ----a-w- c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-09-25 98304]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-09-25 114688]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2006-09-25 94208]
    "PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2007-08-07 331288]
    "SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
    "Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]
    "Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856]
    "Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-04 98304]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\WINDOWS\\SMINST\\Scheduler.exe"=
    "c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

    R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [22/11/2007 22:18 540184]

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
    .
    Contenu du dossier 'Tâches planifiées'

    2009-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    TCP: {46F6B316-FF86-4CAE-B00A-C31CCC020758} = 213.203.124.147,213.203.124.146
    DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
    FF - ProfilePath -

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-06-11 15:07
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
    "ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-4042562451-3503266614-3884784049-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,92,85,8c,3d,c2,72,c2,49,a8,e5,73,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,92,85,8c,3d,c2,72,c2,49,a8,e5,73,\
    .
    Heure de fin: 2009-06-11 15:08
    ComboFix-quarantined-files.txt 2009-06-11 13:08

    Avant-CF: 135 089 205 248 octets libres
    Après-CF: 135 088 234 496 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    144 --- E O F --- 2009-06-11 07:12
    0
  9. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    dis moi comment va le PC maintenant ... encore des soucis ?

    puis fais ceci dans l'ordre :

    1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
    http://www.genproc.com/GenProc.exe

    !!Déconnecte toi et ferme tes applications en cours !!

    * double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

    * A la question "faites vous aidez sur un forum..." > clique sur " oui " .

    -> poste le contenu du rapport qui s'ouvre ...

    Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

    IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

    ==========================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    • Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

    0
  10. aurillac
     
    Ben honnetement ça fait un moment que je ne vois plus de probleme!
    Apres tu me dis que ce n'est pas une procédure standard: tu te bases sur quoi pour me guider? Qu'est-ce qui est important dans les rapports que je poste?
    Merci en tout cas de ton aide
    0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    tu te bases sur quoi pour me guider? Qu'est-ce qui est important dans les rapports que je poste?

    -> sur ce que me dise ces rapports ... ^^ ce qui tourne sur le systeme , les différents parametres , les navigateurs , les plugings , les drivers , pilotes , fichiers et dossiers , ect ... certain sont légitimes et d'autres pas . Il faut alors les dénicher , les identifier et addapter le traitement approprié ...

    bref,

    j'attends les rapports demandés car on n'a pas pour autant terminé ! ... :)

    0
  12. aurillac
     
    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.5_H | UNIQUEMENT XP/VISTA/SEVEN =======
    .
    Mit à jour par C_XX le 11/06/2009 à 3:50 PM
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 16:35:08, 11/06/2009 | Mode Normal | Option: SCAN
    Exécuté de: C:\Program Files\Ad-remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: CFAS15-2007PC01 | Utilisateur actuel: Administrateur
    .
    Administrateur: Administrateur
    N'est pas administrateur: ASPNET
    N'est pas administrateur: HelpAssistant *Desactive*
    N'est pas administrateur: Invité
    N'est pas administrateur: SUPPORT_388945a0 *Desactive*
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    .
    C:\WINDOWS\Installer\924472b.msi
    .
    ============== Scan additionnel ==============
    .

    * Mozilla FireFox Version 1.5 *

    Nom du profil: vs6qdr21.default (Administrateur)
    .
    (Prefs.js) user_pref("browser.search.selectedEngine", "Google");
    (Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.0.2");
    .
    .

    * Internet Explorer Version 8.0.6001.18702 *

    [HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://www.google.fr/

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://fr.msn.com/

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    Tabs: res://ieframe.dll/tabswelcome.htm

    ============== Suspect (Cracks, Serials ... ) ==============

    .

    +---------------------------------------------------------------------------+

    1826 Octet(s) - C:\Ad-Report-SCAN.log

    0 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
    0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE

    Fin à: 16:39:01 | 11/06/2009
    .
    ============== E.O.F ==============
    .
    0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    il me manque le rapport de GenProc ! ... ( l'etape 1 de la manipe ) ^^

    0
Précédent
  • 1
  • 2