Sujet Précédent Sujet Suivant

ARRGH ! Win32/Rootkit.Agent.ODG trojan

Fermé
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 - 23 juil. 2009 à 00:28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 30 août 2009 à 17:57
Salut à tous,

J'ai un foutu trojan au joli nom Win32/Rootkit.Agent.ODG trojan qui apparait agit dans la mémoire et l'infecte bien profondément. Je l'ai repéré avec nod 32 qui évidemment ne peut pas le supprimer. J'ai essayé différentes méthodes données sur les forums sans succès et la je suis un peu à court donc je mets mon orgueil de geek de coté pour venir me référer à vous !

Config : XP SP3 sur un vieux laptop tout pourri et rempli de virus que m'a prêté un pote (j'ai désinfecté une grande partie mais le trojan me résiste), nod 32 4, si vous voulez un scan Hijack ou autre dites moi je vous envoie ça dans la seconde.

Merci à vous d'avance !!!
A voir également:

48 réponses

Précédent
Réponse 21 / 48
Utilisateur anonyme
1 août 2009 à 02:39
je me permets d'en placer une :

pourquoi as-tu retiré tes cles usb et disque durs infectés pour la suppression de usbfix ?
0
Réponse 22 / 48
Utilisateur anonyme
1 août 2009 à 03:04
dans l'option recherche d'usbfix :


# C:\ # Disque fixe local # 37,25 Go (3,3 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 29,79 Go (29,55 Go free) [EXCHANGE] # FAT32
# F:\ # Disque fixe local # 435,96 Go (200,46 Go free) [LaCie] # NTFS
# G:\ # Disque amovible # 992,77 Mo (22,66 Mo free) [J¤N-J¤N'S I] # FAT32

et dans l'option nattoyage :

# C:\ # Disque fixe local # 37,25 Go (3,32 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM

maintenant , ske69 etait en train de te faire faire des manips donc je ne voudrais pas destabiliser ses plans ainsi que ceux de V-X et Trying to :

https://forums.commentcamarche.net/forum/affich-13498445-arrgh-win32-rootkit-agent-odg-trojan#28

j'ai juste posé cette question pour leur signaler au passage car tes externes etaient bien infectés :

################## | All Drives ... |

Présent ! E:\._autorun.inf
Présent ! E:\autorun.inf
Présent ! F:\._autorun.inf
Présent ! F:\autorun.inf
Présent ! G:\autorun.inf

alors qu'evidemment au nettoyage ......:

################## | All Drives ... |

ben y'a rien....

##########
0
Jon-Jon
1 août 2009 à 03:09
J'ai nettoyé les externes avec nod32 et malwaresbytes, ca avait l'air d'avoir fonctionné. Tu pense qu'il y ait un risque qu'il reste quelque chose (putain quelle poisse ces pc infectés !)?
0
Réponse 23 / 48
Utilisateur anonyme
1 août 2009 à 03:18
nod32 et malwarebytes ne nettoient pas ce genre d'infections
0
Jon-Jon
1 août 2009 à 03:30
too bad...
0
Réponse 24 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 août 2009 à 08:50
Salut,


il me semble que j'ai demandé quelque chose ici > https://forums.commentcamarche.net/forum/affich-13498445-arrgh-win32-rootkit-agent-odg-trojan#24


j'attends toujours le rapport ...

0
Jon-Jon
1 août 2009 à 10:12
Post 31, sans faute.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 août 2009 à 11:31
re,




j'ai donnée une autre manipe poste 37 > https://forums.commentcamarche.net/forum/affich-13498445-arrgh-win32-rootkit-agent-odg-trojan?page=2#37


NE PAS FAIRE lA MANIPE DU POSTE 24 !!!

0
Jon-Jon
1 août 2009 à 18:19
Ok c'est parti, rapport dans 2 heures. Merci pour ton temps ske69
0
Réponse 26 / 48
Jon-Jon
1 août 2009 à 19:45
Voila la bête

ComboFix 09-07-23.01 - entreprise jung 01/08/2009 19:27.2.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.75 [GMT 2:00]
Running from: c:\documents and settings\entreprise jung\Bureau\topic.exe
Command switches used :: c:\documents and settings\entreprise jung\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -

FILE ::
"c:\documents and settings\entreprise jung\bgipbb.bat"
"c:\documents and settings\entreprise jung\dcnxkn.exe"
"c:\documents and settings\entreprise jung\FEOYMP.exe"
"c:\documents and settings\entreprise jung\fepbmp.exe"
"c:\documents and settings\entreprise jung\FKMSEF.bat"
"c:\documents and settings\entreprise jung\IGRDOR.exe"
"c:\documents and settings\entreprise jung\ihseps.exe"
"c:\documents and settings\entreprise jung\jlwrqn.exe"
"c:\documents and settings\entreprise jung\ouveop.bat"
"c:\documents and settings\entreprise jung\prexwt.exe"
"c:\documents and settings\entreprise jung\QSGBYV.exe"
"c:\documents and settings\entreprise jung\rthbyv.exe"
"c:\documents and settings\entreprise jung\rwygqr.bat"
"c:\documents and settings\entreprise jung\TBCJTU.bat"
"c:\documents and settings\entreprise jung\TVJDCX.exe"
"c:\documents and settings\entreprise jung\utgqdg.exe"
"c:\documents and settings\entreprise jung\uwjedy.exe"
"c:\documents and settings\entreprise jung\vuhreh.exe"
"c:\documents and settings\entreprise jung\xefmwx.bat"
"c:\documents and settings\entreprise jung\XFGNXY.bat"
"c:\windows\system32\UACqjuubgguto.dat"
"c:\windows\system32\UACrdoynowpaw.dll"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\entreprise jung\bgipbb.bat
c:\documents and settings\entreprise jung\dcnxkn.exe
c:\documents and settings\entreprise jung\FEOYMP.exe
c:\documents and settings\entreprise jung\fepbmp.exe
c:\documents and settings\entreprise jung\FKMSEF.bat
c:\documents and settings\entreprise jung\IGRDOR.exe
c:\documents and settings\entreprise jung\ihseps.exe
c:\documents and settings\entreprise jung\jlwrqn.exe
c:\documents and settings\entreprise jung\ouveop.bat
c:\documents and settings\entreprise jung\prexwt.exe
c:\documents and settings\entreprise jung\QSGBYV.exe
c:\documents and settings\entreprise jung\rthbyv.exe
c:\documents and settings\entreprise jung\rwygqr.bat
c:\documents and settings\entreprise jung\TBCJTU.bat
c:\documents and settings\entreprise jung\TVJDCX.exe
c:\documents and settings\entreprise jung\utgqdg.exe
c:\documents and settings\entreprise jung\uwjedy.exe
c:\documents and settings\entreprise jung\vuhreh.exe
c:\documents and settings\entreprise jung\xefmwx.bat
c:\documents and settings\entreprise jung\XFGNXY.bat
C:\Torrent
c:\torrent\http thepiratebay.org .URL
c:\torrent\http www.mininova.org .URL

.
((((((((((((((((((((((((( Files Created from 2009-07-01 to 2009-08-01 )))))))))))))))))))))))))))))))
.

2009-07-23 18:49 . 2009-07-23 18:49 -------- d-sh--w- C:\found.000
2009-07-23 17:56 . 2009-07-23 17:56 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Malwarebytes
2009-07-22 23:04 . 2009-07-22 23:06 -------- d-----w- c:\program files\trend micro
2009-07-22 23:03 . 2009-07-22 23:07 -------- d-----w- C:\rsit
2009-07-22 20:35 . 2009-07-22 21:50 -------- d-----w- C:\UsbFix
2009-07-22 19:46 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 19:46 . 2009-07-22 19:46 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-07-22 19:46 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 19:46 . 2009-07-22 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\NOS
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\program files\NOS
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-07-20 20:10 . 2009-07-20 20:10 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\PrivacIE
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\IECompatCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-----w- C:\Dico traduc
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\documents and settings\entreprise jung\IETldCache
2009-07-20 18:49 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-07-20 18:48 . 2009-07-20 18:49 -------- d-----w- c:\windows\ie8updates
2009-07-20 18:48 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-07-20 18:47 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-20 18:45 . 2009-07-20 18:47 -------- dc-h--w- c:\windows\ie8
2009-07-20 16:40 . 2009-07-20 16:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2009-07-20 16:39 . 2009-07-20 16:39 -------- d-----w- c:\documents and settings\entreprise jung\Local Settings\Application Data\ESET
2009-07-20 15:43 . 2009-07-20 15:43 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-07-20 15:42 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\skypePM
2009-07-20 14:54 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Skype
2009-07-20 14:43 . 2009-07-20 14:43 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-07-20 14:43 . 2009-07-20 14:48 -------- d-----r- c:\program files\Skype
2009-07-20 14:40 . 2009-07-20 14:42 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Skype
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\program files\ESET
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\ESET
2009-07-20 14:24 . 2009-07-20 14:24 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\vlc
2009-07-20 14:18 . 2009-07-20 14:18 86016 ----a-w- c:\documents and settings\entreprise jung\ijvqpm.exe
2009-07-20 13:56 . 2009-07-20 13:56 -------- d-----w- c:\program files\VideoLAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 07:25 . 2003-11-12 15:04 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-24 07:25 . 2005-04-09 22:54 -------- d-----w- c:\program files\Creative
2009-07-24 06:54 . 2009-04-18 11:43 -------- d-----w- c:\program files\CCleaner
2009-07-22 21:52 . 2002-09-25 22:52 56050 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-22 21:52 . 2002-09-25 22:52 428482 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-22 11:43 . 2004-03-20 21:36 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2009-07-21 12:45 . 2009-04-23 17:31 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Microsoft Help
2009-07-20 23:32 . 2004-03-19 22:35 8224 ----a-w- c:\documents and settings\entreprise jung\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-20 19:18 . 2003-04-08 07:32 -------- d-----w- c:\program files\Microsoft Works
2009-06-16 14:40 . 2002-09-25 22:52 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2002-09-25 22:51 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2005-08-30 08:26 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-05-13 05:04 . 2006-06-23 12:28 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2002-09-25 22:51 348672 ----a-w- c:\windows\system32\localspl.dll
2009-07-21 20:02 . 2008-11-07 16:33 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-07-23_17.21.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-07 16:47 . 2009-07-23 17:38 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-11-07 16:47 . 2009-07-21 12:21 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"44197:TCP"= 44197:TCP:Utorrente
"44197:UDP"= 44197:UDP:UtorrentUDP

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06/02/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [06/02/2009 14:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [06/02/2009 14:23 727720]
S0 iwphd;iwphd;c:\windows\system32\drivers\rdeuwu.sys --> c:\windows\system32\drivers\rdeuwu.sys [?]
S2 .EsetTrialReset;Eset Trial Reset;c:\windows\system32\regedt32.exe [26/09/2002 00:52 3584]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\docume~1\ENTREP~1\APPLIC~1\Mozilla\Firefox\Profiles\mjj7ovbs.default\
FF - prefs.js: browser.startup.homepage - google.fr
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-01 19:28
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-08-01 19:33
ComboFix-quarantined-files.txt 2009-08-01 17:33
ComboFix2.txt 2009-07-23 17:26

Pre-Run: 4 058 169 344 octets libres
Post-Run: 4 024 209 408 octets libres

241 --- E O F --- 2009-07-21 12:48
0
Réponse 27 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 août 2009 à 02:39
bon ...

il reste encore pas mal de choses louches ...


analyse ceci sur VirusTotal :

c:\windows\system32\dllcache\xpshims.dll
c:\windows\system32\dllcache\ieproxy.dll
c:\documents and settings\entreprise jung\ijvqpm.exe


poste les 3 rapports obtenus et attends la suite ....
0
Jon-Jon
2 août 2009 à 19:23
Rapport Virus Total ! :


¤ ___________________________________ ¤
¤ c:\windows\system32\dllcache\xpshims.dll ¤
¤ ___________________________________ ¤

Fichier xpshims.dll reçu le 2009.08.02 17:19:35 (UTC)
RESULTAT : 0% (0/41)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.02 -
AhnLab-V3 5.0.0.2 2009.08.01 -
AntiVir 7.9.0.238 2009.08.02 -
Antiy-AVL 2.0.3.7 2009.07.31 -
Authentium 5.1.2.4 2009.08.02 -
Avast 4.8.1335.0 2009.08.01 -
AVG 8.5.0.406 2009.08.02 -
BitDefender 7.2 2009.08.02 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.08.02 -
Comodo 1840 2009.08.02 -
DrWeb 5.0.0.12182 2009.08.02 -
eSafe 7.0.17.0 2009.07.30 -
eTrust-Vet 31.6.6650 2009.08.01 -
F-Prot 4.4.4.56 2009.08.02 -
F-Secure 8.0.14470.0 2009.08.01 -
Fortinet 3.120.0.0 2009.08.02 -
GData 19 2009.08.02 -
Ikarus T3.1.1.64.0 2009.08.02 -
Jiangmin 11.0.800 2009.08.02 -
K7AntiVirus 7.10.808 2009.08.01 -
Kaspersky 7.0.0.125 2009.08.02 -
McAfee 5695 2009.08.01 -
McAfee+Artemis 5695 2009.08.01 -
McAfee-GW-Edition 6.8.5 2009.08.02 -
Microsoft 1.4903 2009.08.02 -
NOD32 4299 2009.08.02 -
Norman 6.01.09 2009.07.31 -
nProtect 2009.1.8.0 2009.08.02 -
Panda 10.0.0.14 2009.08.02 -
PCTools 4.4.2.0 2009.08.02 -
Prevx 3.0 2009.08.02 -
Rising 21.40.62.00 2009.08.02 -
Sophos 4.44.0 2009.08.02 -
Sunbelt 3.2.1858.2 2009.08.02 -
Symantec 1.4.4.12 2009.08.02 -
TheHacker 6.3.4.3.375 2009.08.01 -
TrendMicro 8.950.0.1094 2009.07.31 -
VBA32 3.12.10.9 2009.08.02 -
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.08.02 -
Information additionnelle
File size: 12800 bytes
MD5...: a7ca1fce6b974dda48a7aae053a39318
SHA1..: 2bbff54d8dd9409a999fa49a925fe4768d2caf2c
SHA256: 7ecfe87232afcbb0ff3b6dde9b10413e78cdf13398d6fa5a2a64606f6ab08253
ssdeep: 192:fC8VWM6V7pGDCAa8Y5jC/kAxO3rmviwqDau4tO1VIb/ZW2s8Y:f356V1QCXC
/fO6q5aDFW/
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1fcc
timedatestamp.....: 0x49fa1527 (Thu Apr 30 21:16:23 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1c10 0x1e00 5.97 c19185908b0f0a430b613c691f02c93e
.data 0x3000 0x6ac 0x400 5.94 5da750cdeb597431e75c0fb511a66517
.rsrc 0x4000 0x448 0x600 2.62 418bf5150cac7bd6b558e76b047c5bb5
.reloc 0x5000 0x482 0x600 2.58 79ec72bd02f88e3d1a2e34030f1aa71e

( 6 imports )
> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter
> ntdll.dll: NtQueryObject, RtlUnwind
> KERNEL32.dll: QueryPerformanceCounter, GetCurrentProcessId, GetProcAddress, VirtualProtect, VirtualQuery, GetCurrentThreadId, GetModuleHandleExW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetTickCount, GetModuleHandleA, InterlockedCompareExchange, Sleep, InterlockedExchange, LoadLibraryExW, WaitForSingleObject
> USER32.dll: FindWindowExA, GetClassNameW, GetWindowThreadProcessId, SetWindowsHookExW
> SHLWAPI.dll: -, -, -
> iertutil.dll: -

( 2 exports )
IEShims_Initialize, IEShims_Uninitialize
PDFiD.: -
RDS...: NSRL Reference Data Set



¤ ___________________________________ ¤
¤ c:\windows\system32\dllcache\ieproxy.dll ¤
¤ ___________________________________ ¤

Fichier ieproxy.dll reçu le 2009.08.02 17:24:18 (UTC)
RESULTAT : 0% (0/41)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.02 -
AhnLab-V3 5.0.0.2 2009.08.01 -
AntiVir 7.9.0.238 2009.08.02 -
Antiy-AVL 2.0.3.7 2009.07.31 -
Authentium 5.1.2.4 2009.08.02 -
Avast 4.8.1335.0 2009.08.01 -
AVG 8.5.0.406 2009.08.02 -
BitDefender 7.2 2009.08.02 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.08.02 -
Comodo 1840 2009.08.02 -
DrWeb 5.0.0.12182 2009.08.02 -
eSafe 7.0.17.0 2009.07.30 -
eTrust-Vet 31.6.6650 2009.08.01 -
F-Prot 4.4.4.56 2009.08.02 -
F-Secure 8.0.14470.0 2009.08.01 -
Fortinet 3.120.0.0 2009.08.02 -
GData 19 2009.08.02 -
Ikarus T3.1.1.64.0 2009.08.02 -
Jiangmin 11.0.800 2009.08.02 -
K7AntiVirus 7.10.808 2009.08.01 -
Kaspersky 7.0.0.125 2009.08.02 -
McAfee 5695 2009.08.01 -
McAfee+Artemis 5695 2009.08.01 -
McAfee-GW-Edition 6.8.5 2009.08.02 -
Microsoft 1.4903 2009.08.02 -
NOD32 4299 2009.08.02 -
Norman 6.01.09 2009.07.31 -
nProtect 2009.1.8.0 2009.08.02 -
Panda 10.0.0.14 2009.08.02 -
PCTools 4.4.2.0 2009.08.02 -
Prevx 3.0 2009.08.02 -
Rising 21.40.62.00 2009.08.02 -
Sophos 4.44.0 2009.08.02 -
Sunbelt 3.2.1858.2 2009.08.02 -
Symantec 1.4.4.12 2009.08.02 -
TheHacker 6.3.4.3.375 2009.08.01 -
TrendMicro 8.950.0.1094 2009.07.31 -
VBA32 3.12.10.9 2009.08.02 -
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.08.02 -
Information additionnelle
File size: 246272 bytes
MD5...: 745c68091ac3cfc7dacbe650b108856f
SHA1..: 6d6dc7a65fd770d58826b1248a1ea08c88c72557
SHA256: 339885a46380167716b565e07c1bf2cb07d920041c6bcebfcc2a45a49fbbef44
ssdeep: 3072:gCtNscRy3iBTEbC05wq0tXMR9UlK6cIy0Md:gCtN2CHv
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1279
timedatestamp.....: 0x49fa1518 (Thu Apr 30 21:16:08 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2d47c 0x2d600 5.02 2fb596eb16a47e40646911fa73e08c07
.orpc 0x2f000 0x2565 0x2600 5.47 d4c7ccd0cefdc127a06007f28beab0bc
.data 0x32000 0x63c4 0x6400 3.83 0f289f408286706cbf0f330ffb6dc92d
.rsrc 0x39000 0x440 0x600 2.60 7bbcb5da518257bb0f5a9bd86a9ef8db
.reloc 0x3a000 0x5748 0x5800 6.03 9be8410082668825cefd9c0dc8ea685b

( 6 imports )
> msvcrt.dll: memcpy, _XcptFilter, malloc, free, _initterm, _amsg_exit, _adjust_fdiv
> RPCRT4.dll: CStdStubBuffer_DebugServerRelease, NdrOleAllocate, NdrDllUnregisterProxy, NdrDcomAsyncClientCall, NdrGetUserMarshalInfo, RpcRaiseException, NdrStubForwardingFunction, NdrStubCall2, NdrClientCall2, NdrDllRegisterProxy, NdrOleFree, IUnknown_QueryInterface_Proxy, IUnknown_AddRef_Proxy, IUnknown_Release_Proxy, CStdStubBuffer_QueryInterface, CStdStubBuffer_AddRef, CStdStubBuffer_Connect, CStdStubBuffer_Disconnect, CStdStubBuffer_Invoke, CStdStubBuffer_IsIIDSupported, CStdStubBuffer_CountRefs, NdrDllGetClassObject, NdrDllCanUnloadNow, NdrCStdStubBuffer_Release, NdrCStdStubBuffer2_Release, CStdStubBuffer_DebugServerQueryInterface
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -
> ole32.dll: HBITMAP_UserFree, HBITMAP_UserUnmarshal, HBITMAP_UserMarshal, HBITMAP_UserSize, CoTaskMemRealloc, CoTaskMemFree, HDC_UserFree, HDC_UserUnmarshal, HDC_UserMarshal, HDC_UserSize, HMENU_UserSize, HMENU_UserMarshal, HMENU_UserUnmarshal, HMENU_UserFree, HGLOBAL_UserSize, HGLOBAL_UserMarshal, HGLOBAL_UserUnmarshal, HGLOBAL_UserFree, HACCEL_UserSize, HACCEL_UserMarshal, HACCEL_UserFree, HICON_UserSize, HICON_UserMarshal, HICON_UserUnmarshal, HICON_UserFree, HWND_UserSize, HWND_UserMarshal, HWND_UserUnmarshal, HWND_UserFree, HACCEL_UserUnmarshal
> KERNEL32.dll: InterlockedCompareExchange, InterlockedExchange, Sleep, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, DisableThreadLibraryCalls
> USER32.dll: IsWindowEnabled, EnableWindow

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, GetProxyDllInfo
PDFiD.: -
RDS...: NSRL Reference Data Set

¤ _____________________________________________ ¤
¤ c:\documents and settings\entreprise jung\ijvqpm.exe ¤
¤ _____________________________________________ ¤

Fichier ijvqpm.exe reçu le 2009.08.02 17:27:20 (UTC)
Résultat: 22/41 (53.66%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.02 Trojan.CryptRedol!IK
AhnLab-V3 5.0.0.2 2009.08.01 -
AntiVir 7.9.0.238 2009.08.02 TR/CryptRedol.86016.2.8
Antiy-AVL 2.0.3.7 2009.07.31 -
Authentium 5.1.2.4 2009.08.02 -
Avast 4.8.1335.0 2009.08.01 Win32:Alureon-CH
AVG 8.5.0.406 2009.08.02 Win32/Cryptor
BitDefender 7.2 2009.08.02 Trojan.CryptRedol.Gen.2
CAT-QuickHeal 10.00 2009.07.30 Trojan.Agent.ATV
ClamAV 0.94.1 2009.08.02 -
Comodo 1840 2009.08.02 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.08.02 -
eSafe 7.0.17.0 2009.07.30 Win32.VirToolObfusca
eTrust-Vet 31.6.6650 2009.08.01 -
F-Prot 4.4.4.56 2009.08.02 -
F-Secure 8.0.14470.0 2009.08.01 Trojan.Win32.Tdss.akhy
Fortinet 3.120.0.0 2009.08.02 W32/Tdss.AKHY!tr
GData 19 2009.08.02 Trojan.CryptRedol.Gen.2
Ikarus T3.1.1.64.0 2009.08.02 Trojan.CryptRedol
Jiangmin 11.0.800 2009.08.02 -
K7AntiVirus 7.10.808 2009.08.01 -
Kaspersky 7.0.0.125 2009.08.02 Trojan.Win32.Tdss.akhy
McAfee 5695 2009.08.01 -
McAfee+Artemis 5695 2009.08.01 Artemis!59EA20802084
McAfee-GW-Edition 6.8.5 2009.08.02 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.4903 2009.08.02 VirTool:Win32/Obfuscator.ET
NOD32 4299 2009.08.02 a variant of Win32/Kryptik.ZT
Norman 6.01.09 2009.07.31 -
nProtect 2009.1.8.0 2009.08.02 -
Panda 10.0.0.14 2009.08.02 Generic Trojan
PCTools 4.4.2.0 2009.08.02 -
Prevx 3.0 2009.08.02 Medium Risk Malware
Rising 21.40.62.00 2009.08.02 -
Sophos 4.44.0 2009.08.02 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.02 Bulk Trojan
Symantec 1.4.4.12 2009.08.02 -
TheHacker 6.3.4.3.375 2009.08.01 -
TrendMicro 8.950.0.1094 2009.07.31 TROJ_TDSS.ATZ
VBA32 3.12.10.9 2009.08.02 -
ViRobot 2009.7.31.1863 2009.07.31 -
VirusBuster 4.6.5.0 2009.08.02 -
Information additionnelle
File size: 86016 bytes
MD5...: 59ea2080208490d54c3b13224b711de1
SHA1..: 08308780c881d25c14cc5bfbf220de6a9fc5486b
SHA256: f81c41d2274bc934d258df014cff6ee369bc0c189c7c79416ef23b199eaf221c
ssdeep: 1536:FxgZdS3e1md9yVAyhIFPxRTJIns/lfg4P5bQH6PWN:Fxgqu18yh2PzL/Rya
PWN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1089
timedatestamp.....: 0x4a5dc56c (Wed Jul 15 12:02:52 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd18 0xe00 5.94 cdba9bbbd6996374d12b3aedb8a05cf2
.rdata 0x2000 0x585 0x600 4.92 b954f9aaece6446a2ec6c968472ff245
.data 0x3000 0x12bca 0x12c00 7.99 2c429c6cab198564f15e2c57a124cf3d
.rsrc 0x16000 0x83c 0xa00 5.25 7a7a2bc3f8f858159bba04fc3941b018
.reloc 0x17000 0x24 0x200 0.50 d62454560fd194bd4d4eacebe478d0e8

( 4 imports )
> kernel32.dll: GetEnvironmentVariableA, GetModuleHandleA, CallNamedPipeA, GetWindowsDirectoryA, GetProcAddress, GetCurrentProcess, GetLastError, GetComputerNameA, GetFileAttributesExA, GetTempPathA, DosPathToSessionPathA, FindResourceA, ReadFileEx, CreateDirectoryA, HeapCreate, GetVersionExW, GetFileSize, EraseTape
> msvcrt.dll: memcpy, isxdigit, wcsspn, __9type_info@@QBEHABV0@@Z, log, _lfind, __mb_cur_max, _mbscspn, _CIacos, _swab, __lc_codepage, _utime64, _getch, _clearfp
> winmm.dll: mmioClose, auxGetVolume, waveInGetErrorTextW, sndPlaySoundW, auxGetNumDevs, aux32Message, auxOutMessage, midiInStop, mmsystemGetVersion, midiOutReset, mmTaskBlock, midiInAddBuffer, waveOutRestart, mmTaskCreate, waveOutGetID, midiInMessage
> opengl32.dll: glMap2d, glNormal3iv, glFogiv, wglUseFontBitmapsW, glPushClientAttrib, glNormal3f, wglMakeCurrent, glStencilFunc, glViewport, glDisableClientState, GlmfEndGlsBlock, glDepthFunc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F</a>



Voila apparemment le dernier semble bien nocif, je comptais te poser la même question que gen-hackman quant à mes drives mais il m'a devancé :p.

Bon nouveau combofix avec nouveau script ou bien ?
0
Réponse 28 / 48
Utilisateur anonyme
2 août 2009 à 02:42
bonsoir a tous

bonsoir ske je me demandais si tu avais vu mon precedent post sur ce topic ?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 août 2009 à 02:47
hello Gen ...

t'inquiète .. on va rapasser UsbFix ( avec la new version ) en temps voulu ... ;)


Jon-Jon,

la suite ici :
https://forums.commentcamarche.net/forum/affich-13498445-arrgh-win32-rootkit-agent-odg-trojan?page=2#42

0
Jon-Jon > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
2 août 2009 à 19:26
C'est réellement une bénédiction pour les rapports ces réducteurs de posts quand même, j'imagine la gueule qu'avait les topics avant avec la barre qui défilait sur 3 kilomètres au bout d'une dizaine de rapports.
0
Réponse 29 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 août 2009 à 20:39
Bon ...

un driver suspect n'as pas voulu sauter ...


fais ce qui sui dans l'ordre :




1- Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher :
-->tape ou fais un copier coller de : iwphd

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegarde ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...


Puis recommence avec :

rdeuwu



poste donc les deux rapports obtenus et fait la suite ...

=================


2- Supprime UsbFix correctement ( on va utiliser une version plus récente ) :

# Double clique sur le raccourci UsbFix présent sur ton bureau .

# Choisis l' option 5 ( Désinstaller ) et laisse toi guider ...





3- Re-télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html




0
Jon-Jon
2 août 2009 à 21:17
Voila déjà les rapports OAD de iwphd (1) et celui de rdeuwu (2) :

(1)_______________________
02/08/2009 ---- 20:56:45,64

----------------------------------
§§§§§§ [iwphd] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\iwphd]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\iwphd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iwphd]

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


__________________________________________________________________________________________
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
__________________________________________________________________________________________



(2)____________________
02/08/2009 ---- 21:07:32,19

----------------------------------
§§§§§§ [rdeuwu] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


J'envoie l'usbfix tout de suite.
0
Jon-Jon
2 août 2009 à 21:26
Et voici l'usbfix :


############################## | UsbFix V6.012 |

User : entreprise jung (Administrateurs) # NOM-JFJKK179UWM
Update on 01/08/09 by Chiquitine29 & C_XX
Start at: 21:20:55 | 02/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

mobile AMD Athlon(tm) XP 2600+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET NOD32 Antivirus 4.0 4.0 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 37,25 Go (3,66 Go free) [SYSTEM] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 29,79 Go (29,55 Go free) [EXCHANGE] # FAT32
F:\ -> Disque fixe local # 435,96 Go (200,46 Go free) [LaCie] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe

################## | Fichiers # Dossiers infectieux |

Présent ! E:\._autorun.inf
Présent ! F:\._autorun.inf

################## | Other |

Suspect ! C:\Tiscali\Tiscali Internet Access.exe

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |
0
Réponse 30 / 48
Jon-Jon
2 août 2009 à 22:55
Voici le combofix (je mets le RSIT dans le suivant)

ComboFix 09-07-23.01 - entreprise jung 02/08/2009 22:45.4.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.109 [GMT 2:00]
Running from: c:\documents and settings\entreprise jung\Bureau\topic.exe
Command switches used :: c:\documents and settings\entreprise jung\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -
.

((((((((((((((((((((((((( Files Created from 2009-07-02 to 2009-08-02 )))))))))))))))))))))))))))))))
.

2009-07-23 18:49 . 2009-07-23 18:49 -------- d-sh--w- C:\found.000
2009-07-23 17:56 . 2009-07-23 17:56 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Malwarebytes
2009-07-22 23:04 . 2009-07-22 23:06 -------- d-----w- c:\program files\trend micro
2009-07-22 23:03 . 2009-07-22 23:07 -------- d-----w- C:\rsit
2009-07-22 20:35 . 2009-08-02 20:34 -------- d-----w- C:\UsbFix
2009-07-22 19:46 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 19:46 . 2009-07-22 19:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-22 19:46 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 19:46 . 2009-07-22 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\program files\NOS
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-07-20 20:10 . 2009-07-20 20:10 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\PrivacIE
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\IECompatCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-----w- C:\Dico traduc
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\documents and settings\entreprise jung\IETldCache
2009-07-20 18:49 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-07-20 18:48 . 2009-07-20 18:49 -------- d-----w- c:\windows\ie8updates
2009-07-20 18:48 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-07-20 18:47 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-20 18:45 . 2009-07-20 18:47 -------- dc-h--w- c:\windows\ie8
2009-07-20 16:40 . 2009-07-20 16:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2009-07-20 16:39 . 2009-07-20 16:39 -------- d-----w- c:\documents and settings\entreprise jung\Local Settings\Application Data\ESET
2009-07-20 15:43 . 2009-07-20 15:43 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-07-20 15:42 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\skypePM
2009-07-20 14:54 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Skype
2009-07-20 14:43 . 2009-07-20 14:43 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-07-20 14:43 . 2009-07-20 14:48 -------- d-----r- c:\program files\Skype
2009-07-20 14:40 . 2009-07-20 14:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\program files\ESET
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2009-07-20 14:24 . 2009-07-20 14:24 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\vlc
2009-07-20 13:56 . 2009-07-20 13:56 -------- d-----w- c:\program files\VideoLAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 07:25 . 2003-11-12 15:04 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-24 07:25 . 2005-04-09 22:54 -------- d-----w- c:\program files\Creative
2009-07-24 06:54 . 2009-04-18 11:43 -------- d-----w- c:\program files\CCleaner
2009-07-22 21:52 . 2002-09-25 22:52 56050 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-22 21:52 . 2002-09-25 22:52 428482 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-22 11:43 . 2004-03-20 21:36 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-21 12:45 . 2009-04-23 17:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-07-20 23:32 . 2004-03-19 22:35 8224 ----a-w- c:\documents and settings\entreprise jung\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-20 19:18 . 2003-04-08 07:32 -------- d-----w- c:\program files\Microsoft Works
2009-06-16 14:40 . 2002-09-25 22:52 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2002-09-25 22:51 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2005-08-30 08:26 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-05-13 05:04 . 2006-06-23 12:28 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2002-09-25 22:51 348672 ----a-w- c:\windows\system32\localspl.dll
2009-07-21 20:02 . 2008-11-07 16:33 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-07-23_17.21.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-07 16:47 . 2009-07-23 17:38 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-11-07 16:47 . 2009-07-21 12:21 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"44197:TCP"= 44197:TCP:Utorrente
"44197:UDP"= 44197:UDP:UtorrentUDP

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06/02/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [06/02/2009 14:24 93336]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-07-23 c:\windows\Tasks\WebReg 20070709230153.job
- c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exe [2006-02-19 04:09]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\documents and settings\entreprise jung\Application Data\Mozilla\Firefox\Profiles\mjj7ovbs.default\
FF - prefs.js: browser.startup.homepage - google.fr
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-02 22:47
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(2776)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
Completion time: 2009-08-02 22:52
ComboFix-quarantined-files.txt 2009-08-02 20:52
ComboFix2.txt 2009-08-02 18:05
ComboFix3.txt 2009-08-01 17:33
ComboFix4.txt 2009-07-23 17:26

Pre-Run: 3 982 557 184 octets libres
Post-Run: 3 950 039 040 octets libres

198 --- E O F --- 2009-07-21 12:48
0
Réponse 31 / 48
Jon-Jon
2 août 2009 à 23:00
Et voila :

Logfile of random's system information tool 1.06 (written by random/random)
Run by entreprise jung at 2009-08-02 22:57:29
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 4 GB (10%) free of 38 GB
Total RAM: 255 MB (26% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:58:31, on 02/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\RSIT(2).exe
C:\Program Files\trend micro\entreprise jung.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 32 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 août 2009 à 00:20
Bien ....


dis moi comment va le PC maintenant ... du mieux ?


puis fait cec :


Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .



0
Jon-Jon
4 août 2009 à 00:52
Rapport GenProc 2.611 [1] - 04/08/2009 à 0:47:54
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.5.1) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Fais scanner le(s) fichier(s) suivant(s) sur ce site https://www.virustotal.com/gui/ :


C:\resultat OAD rdeuwu.txt


et poste le(s) rapport(s) obtenu(s) dans ta prochaine réponse.




~~~~ INFORMATION COMPLEMENTAIRE ~~~~


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:49:57, on 04/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\Genproc\outil\entreprise jung_GenProc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 33 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
4 août 2009 à 00:55
Salut,



la suite dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ^^ ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais un scan en ligne avec Kaspersky :

Suis les indications de ce tuto > https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky

Fait un scan du "poste de travail" .
Sauvegarde bien le rapport en ".txt" et poste son contenu dans ta prochaine réponse ...

0
Jon-Jon
5 août 2009 à 18:31
Voici le Tcleaner (je continue)

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\entreprise jung\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\entreprise jung\Local Settings\temp\Genproc.exe: trouvé !
C:\Documents and Settings\entreprise jung\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\entreprise jung\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\Genproc.exe: trouvé !
C:\Genproc\outil\hijackthis.log: trouvé !
C:\Genproc\outil\mbr.exe: trouvé !
C:\Genproc\Page\GenProc[*].html: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\SmitFraudFix.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\entreprise jung\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\entreprise jung\Local Settings\temp\Genproc.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\entreprise jung\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\Genproc.exe: supprimé !
C:\Genproc\outil\hijackthis.log: supprimé !
C:\Genproc\outil\mbr.exe: supprimé !
C:\Genproc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: ERREUR DE SUPPRESSION !!
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\entreprise jung\Menu Démarrer\Programmes\UsbFix: supprimé !
0
Réponse 34 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 août 2009 à 18:41
Salut,


tu supprimeras Combofix manuellement ...

Continue ... =)

0
Réponse 35 / 48
Jon-Jon
5 août 2009 à 19:05
Le scan Kaspersky ne veut pas commencer :(

Patientez. Kaspersky Online Scanner 7.0 analyse la conifguration de votre odrinateur veuillez patientez.


Donc oui d'accord je suis patient mais au bout de 10 minutes...
0
Réponse 36 / 48
Jon-Jon
5 août 2009 à 19:06
J'ai testé firefox et explorer, desactiver nod 32 mais rien n'y fait...
0
Réponse 37 / 48
Utilisateur anonyme
5 août 2009 à 19:16
salut peux-tu remettre un rapport OTL pour plus de precisions s'il te plait .? :

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".
0
Réponse 38 / 48
Jon-Jon
5 août 2009 à 19:21
Bon j'ai deux réponses la :p je choisis laquelle ?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 août 2009 à 19:22
Re,

la 65 ... et si cela ne fonctionne toujours pas , fait ce qui est demandé en 64 ... ^^"


A tout'

0
Réponse 39 / 48
Utilisateur anonyme
5 août 2009 à 19:31
oui fais primordialement et uniquement ce que te demande ske69 Merci ^^
0
Réponse 40 / 48
Jon-Jon
5 août 2009 à 19:43
Bon voila scan Kaspersky lancé (en effet la version de java etait la 6 update 7 -ils se mettent jour trop souvent ces corniauds !-) ! J'attends la fin et je vous dis ca.


Sinon j'avais posé une question sans réponse quelques posts plus hauts. J'ai mon vrai pc portable qui devrait normalement être niquel et clean mais j'aimerais faire un scan en profondeur afin de détecter toutes traces possibles d'infections la plus minimes (en fait quand je vois que des infections peuvent se cacher aussi bien et être aussi résistantes ca me fait un peu peur :p).

Vous avez des conseils sur un outil (cest une bonne bête sous vista, nod32 malware/spybot et tout les tests approfondies à ces derniers on étaient négatifs mais bon on sait jamais :p) ?
0

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses