Rootkit TDSS (Skynet) Fermé

Question

Bonjour,

Désolé de vous déranger, mais j'ai depuis quelques temps de gros ralentissement avec ma navigation, et même des ralentissement sur l'ordinateur tout court.

J'ai donc fait quelques scans avec différents antivirus (Antivir, avast ...) mais ceux-ci ne trouvent rien du tout pour le moment.

J'ai beaucoup parcourus le web pour trouver une solution a mon problème (enfin j'ai fais comme j'ai pu avec une navigation aussi lente, je ne fais que ca depuis 2 jours ^^), mais celle-ci me parait fort complexe, et, ne préférant pas faire de bêtises, je me tourne vers vous.

Voici les logs de Hijackthis : Log Hijackthis
Et ceux de Random's System Information Tool : info.txt et log.txt

J'avais commencer un scan de Gmer (qui m'a montrer en rouge 2 choses dont le fameux SKYNET), mais j'ai planté et je ne l'ai pas en entier je crois, enfin je ne suis pas sur : Gmer.log

Je suis en train de refaire le scan, je le reposterais si besoin est.

Merci d'avance.

afideg · Accepted Answer

Re,

OK,

Relance-le avec l'option 2 (suppression)
Poste le rapport
Ensuite relance-le avec l'option 3 (vaccination) mais en branchant ton dd externe.

Qu'est-ce que ceci:
C:\WINDOWS\.jagex_cache_32 
C:\AHCache 
C:\cmbfxit 
C:\WINDOWS\system32\CF20190.exe

Il semble que tu aies déjà lancé ComboFix; quand ? 
Donne-moi le rapport en C:\Combofix.txt 

Bizarre que UsbFix ait laissé ceci: 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RavAV] 
C:\WINDOWS\AdobeR.exe [] 

Al.

jlpjlp · Answer

slt,

Logfile of random's system information tool 1.06 (written by random/random)
Run by Remylenain at 2009-08-12 11:39:33
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 3 GB (8%) free of 34 GB
Total RAM: 2046 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:35, on 12/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Documents and Settings\Remylenain\Bureau\x049u6cx.exe (gmer)
C:\Documents and Settings\Remylenain\Bureau\A trier\pb pc\mbam-setup.exe
C:\DOCUME~1\REMYLE~1\LOCALS~1\Temp\is-DFORL.tmp\mbam-setup.tmp
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Remylenain\Bureau\A trier\pb pc\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Remylenain.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: CD Guard Drivers Auto Removal (v2) (psrem02) - Protection Technology - C:\WINDOWS\system32\psrem02.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - C:\Documents and Settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece16.gif
O24 - Desktop Component 1: (no name) - C:\Documents and Settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece13.gif

jlpjlp · Answer

Télécharge et install UsbFix de C_XX & Chiquitine29
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

afideg · Answer

Bonjour

Tente ceci, SVP
Et poste le rapport


Télécharger DrWeb en cliquant sur ce lien: 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe 
La version est automatiquement à jour. 
Un tutoriel d'aide ici  https://www.malekal.com/tutorial-et-guidedr-web-cureit/ 
•
L'installer. 
(Installer quoi ? ==> Installer l'outil DrWeb). 
(Installer comment ? ==> Lire d'abord le tutoriel d'aide délivré ci-dessus) 
ATTENTION ==> les USB et Disque dur externes doivent être branchés au PC! 
•
Ensuite cliquer sur cette icône présente sur le bureau « cureit.exe », comme illustrer ci-joint http://img210.imageshack.us/img210/3301/screenshot137xp7.png  pour commencer le scan. 
•
• Clique [Ok] à l'invite (Express Start Scan Now) de l'analyse rapide . 
Il s'agit d'une brève analyse qui balayera les fichiers en cours d'exécution en mémoire 
... et si quelque chose est trouvé, cliquer sur "Oui" quand il demande si vous voulez "guérir/désinfecter" (if you want to cure it). 
**Note: une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" (généralement dans le coin supérieur droit de la page DrWeb) pour fermer la fenêtre 
•
• Lorsque le scan rapide est terminé, cliquer sur le menu "Options" >> "Modifier les paramètres" (Change settings); 
• Choisir l'onglet "Scanner", et décocher "Analyse heuristique" (UNcheck " Heuristic analysis "). 
Clique sur "Ok" 
De retour à la fenêtre principale : cliquer sur "Sélectionner les disques" (" Select drives ") 
(un point rouge indique quels lecteurs ont été choisis) ==> (choisir les lettres des disques C:\ et "USB amovibles")
Puis cliquer sur le bouton "Start / Stop de numérisation" ("Start/Stop Scanning") 
(la flèche verte sur la droite) et la recherche débutera. 
**Note: si on ne voit pas cette étape; alors cliquer sur le bouton radio "Analyse complète". 
Une fois fait, un message sera affiché en bas pour aviser le cas échéant si des virus ont été trouvés. 
Cliquer sur "Oui à tout", si on demande si vous voulez guérir/désinfecter; et ensuite cliquer sur "Désinfecter" ("Cure"). 
•
• Lorsque le scan sera complété, regarder s'il est possible de cliquer sur cette icône, dans le panneau de gauche, et adjacente aux fichiers détectés : http://img230.imageshack.us/img230/8729/screenshot138yh4.png 
Si c'est le cas, cliquer dessus; puis cliquer sur l'icône "Suivant" au dessous, et choisir "Déplacer en quarantaine l'objet indésirable" ==> "Déplacer incurables" (select "Move incurable"). 
•
• Du menu principal de l'outil, au haut à gauche, cliquer sur le menu "Fichier" et choisir "Enregistrer le rapport sous .." (save report list) 
• Sauvegarde le rapport sur le Bureau. 
Ce dernier se nommera DrWeb.csv 
•
• Ferme (Exit) Dr.Web Cureit 
• 
** IMPORTANT: Redémarrer le PC impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage. 
Après le redémarrage, afficher (via Copier/Coller) le contenu du journal de Dr.Web dans votre prochaine réponse.
Un tutoriel d'aide ici https://www.malekal.com/tutorial-et-guidedr-web-cureit/

Remylenain · Answer

Wahou ! Ca c'est de la réponse super rapide ^^

Je ne suis actuellement pas chez moi (désolé :s), je n'ai donc pas mon disque dur externe.

Je fais ca dès que je rentre (vers 18h)

Merci de m'aider aussi rapidement, et encore désolé de vous faire attendre :(

Remylenain · Answer

Voila je suis rentré, les scans sont en route ^^

Voici le résultat d'UsbFix : 


############################## | UsbFix V6.016 |

User : Remylenain (Administrateurs) # RÉMYLENAIN
Update on 11/08/09 by Chiquitine29 & C_XX
Start at: 17:59:24 | 12/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU           T2300  @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

C:\ -> Disque fixe local # 33,66 Go (2,65 Go free) # NTFS
D:\ -> Disque fixe local # 49,82 Go (4,59 Go free) [BACKUP] # NTFS
E:\ -> Disque fixe local # 8,77 Go (463,52 Mo free) [RECOVER] # FAT32
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 465,75 Go (15,23 Go free) [Elements] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\shared tools\msconfig\startupreg\RavAV  
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0212eeb9-8e0b-11dd-bb0d-0013024acf05}
Shell\AutoRun\command =.\Encryption Tool\MaxtorEncryption.exe

HKCU\..\..\Explorer\MountPoints2\{219b9150-905b-11dd-bb12-0013024acf05}
Shell\AutoRun\command =setupSNK.exe 

HKCU\..\..\Explorer\MountPoints2\{6400c6ad-c190-11dd-bb59-0013024acf05}
shell\autorun\command =G:\setup.exe 

HKCU\..\..\Explorer\MountPoints2\{a2c15cb9-3bc2-11de-bbcf-0013024acf05}
Shell\AutoRun\command =K:\lc.exe 
Shell\open\Command =K:\lc.exe 

HKCU\..\..\Explorer\MountPoints2\{b8af605e-e4c8-11dd-bb75-0013024acf05}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe

HKCU\..\..\Explorer\MountPoints2\{e17ee914-09ae-11de-bba5-0013024acf05}
Shell\AutoRun\command =I:\Info.exe folder.htt 480 480

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.016 ! |

Remylenain · Answer

Désolé pour le double post ;(

afideg · Answer

Bien,

1°- Relance UsbFix  avec l'option 2 (suppression) 
Poste le rapport 
Ensuite relance UsbFix avec l'option 3 (vaccination) mais en branchant ton dd externe. 


2°- Ma question: "Qu'est-ce que ceci: 
C:\WINDOWS\.jagex_cache_32 
C:\AHCache 
C:\cmbfxit 
C:\WINDOWS\system32\CF20190.exe " »
Réponse: Alors là, je ne sais pas du tout. ==> bien, nous y reviendrons plus tard.


3°- Ma question: « " Il semble que tu aies déjà lancé ComboFix; quand ? 
Donne-moi le rapport en C:\Combofix.txt " » 
Ta réponse: « Oui j'ai déja lancé Combofix car un topic en parlait, et je voulais voir a quoi il ressemblé, mais je n'ai encore rien fait avec ... »
Donc:
Soit tu l'as lancé, et il a produit un rapport qui se trouve en C:\Combofix.txt ; donne-le.
Soit tu ne l'as pas lancé; auquel cas, je ne sais pas ce que tu as fait avec ==> sauf courir un risque énorme !

4°- Qui jusqu'ici t'a demandé de lancer ComboFix ?
Ne touche pas à cela maintenant sans qu'un helper te le réclame. 

5°- Après les deux procédures UsbFix demandées, tu lanceras DrWeb et posteras son rapport.


Merci
Al.

afideg · Answer

Allo?
Je passe bientôt au lit.
As-tu des nouvelles ?
Merci.
Al.

Remylenain · Answer

Vraiment désolé, des amis sont arrivés à l'improviste chez moi.

Je lance tout ca maintenant.

Ok pour combofix, je n'y toucherais plus tout seul c'est promis ^^.

Ne t'embête plus avec moi pour aujourd'hui (bien que tu n'as pas besoin de mon autorisation ^^ (Merci encore pour l'aide que tu m'apporte)). Je serais là demain.

Je poste les résultats dès que je les ai.

Merci encore.

afideg · Answer

Vu,
À demain soir.
Al.

Remylenain · Answer

Le rapport d'UsbFix avec l'option 2 :


############################## | UsbFix V6.016 |

User : Remylenain (Administrateurs) # RÉMYLENAIN
Update on 11/08/09 by Chiquitine29 & C_XX
Start at: 22:49:15 | 12/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU           T2300  @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

C:\ -> Disque fixe local # 33,66 Go (2,53 Go free) # NTFS
D:\ -> Disque fixe local # 49,82 Go (4,59 Go free) [BACKUP] # NTFS
E:\ -> Disque fixe local # 8,77 Go (463,52 Mo free) [RECOVER] # FAT32
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 465,75 Go (15,23 Go free) [Elements] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\SYSTEM32\Userinit.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\software\microsoft\shared tools\msconfig\startupreg\RavAV  
# HKLM\software\microsoft\security center "FirewallOverride" # -> Reset sucessfully !  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{0212eeb9-8e0b-11dd-bb0d-0013024acf05}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{219b9150-905b-11dd-bb12-0013024acf05}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{6400c6ad-c190-11dd-bb59-0013024acf05}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{a2c15cb9-3bc2-11de-bbcf-0013024acf05}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b8af605e-e4c8-11dd-bb75-0013024acf05}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e17ee914-09ae-11de-bba5-0013024acf05}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[26/05/2009 09:57|--a------|1024] -> C:\.rnd 
[25/09/2008 15:20|--a------|0] -> C:\AUTOEXEC.BAT 
[30/06/2009 14:52|---hs----|216] -> C:\boot.ini 
[05/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin 
[23/07/2009 11:17|--a------|923] -> C:\cleannavi.txt 
[08/10/2008 09:51|-r-hs----|0] -> C:\config.sys 
[11/10/2008 13:16|--a------|117] -> C:\finfos.txt 
[?|?|?] -> C:\hiberfil.sys 
[25/09/2008 15:20|-rahs----|0] -> C:\IO.SYS 
[11/04/2009 23:29|--a------|441] -> C:\mpeg.txt 
[25/09/2008 15:20|-rahs----|0] -> C:\MSDOS.SYS 
[05/08/2004 14:00|-rahs----|47564] -> C:\NTDETECT.COM 
[02/12/2008 14:54|-rahs----|252240] -> C:
tldr 
[?|?|?] -> C:\pagefile.sys 
[26/09/2008 10:43|--ah-----|268] -> C:\sqmdata00.sqm 
[26/09/2008 18:47|--ah-----|268] -> C:\sqmdata01.sqm 
[27/09/2008 21:54|--ah-----|268] -> C:\sqmdata02.sqm 
[27/09/2008 23:00|--ah-----|268] -> C:\sqmdata03.sqm 
[28/09/2008 05:38|--ah-----|268] -> C:\sqmdata04.sqm 
[28/09/2008 20:35|--ah-----|268] -> C:\sqmdata05.sqm 
[28/09/2008 21:28|--ah-----|268] -> C:\sqmdata06.sqm 
[29/09/2008 05:17|--ah-----|268] -> C:\sqmdata07.sqm 
[13/10/2008 19:55|--ah-----|268] -> C:\sqmdata08.sqm 
[11/04/2009 12:34|--ah-----|268] -> C:\sqmdata09.sqm 
[29/05/2009 22:34|--ah-----|268] -> C:\sqmdata10.sqm 
[27/06/2009 14:13|--ah-----|268] -> C:\sqmdata11.sqm 
[12/07/2009 21:38|--ah-----|268] -> C:\sqmdata12.sqm 
[13/07/2009 11:25|--ah-----|268] -> C:\sqmdata13.sqm 
[13/07/2009 11:29|--ah-----|268] -> C:\sqmdata14.sqm 
[26/09/2008 10:43|--ah-----|244] -> C:\sqmnoopt00.sqm 
[26/09/2008 18:47|--ah-----|244] -> C:\sqmnoopt01.sqm 
[27/09/2008 21:54|--ah-----|244] -> C:\sqmnoopt02.sqm 
[27/09/2008 23:00|--ah-----|244] -> C:\sqmnoopt03.sqm 
[28/09/2008 05:38|--ah-----|244] -> C:\sqmnoopt04.sqm 
[28/09/2008 20:35|--ah-----|244] -> C:\sqmnoopt05.sqm 
[28/09/2008 21:28|--ah-----|244] -> C:\sqmnoopt06.sqm 
[29/09/2008 05:17|--ah-----|244] -> C:\sqmnoopt07.sqm 
[13/10/2008 19:55|--ah-----|244] -> C:\sqmnoopt08.sqm 
[11/04/2009 12:34|--ah-----|244] -> C:\sqmnoopt09.sqm 
[29/05/2009 22:34|--ah-----|244] -> C:\sqmnoopt10.sqm 
[27/06/2009 14:13|--ah-----|244] -> C:\sqmnoopt11.sqm 
[12/07/2009 21:38|--ah-----|244] -> C:\sqmnoopt12.sqm 
[13/07/2009 11:25|--ah-----|244] -> C:\sqmnoopt13.sqm 
[13/07/2009 11:29|--ah-----|244] -> C:\sqmnoopt14.sqm 
[12/08/2009 22:53|--a------|5545] -> C:\UsbFix.txt 
[03/03/2008 14:34|--ah-----|6148] -> D:\.DS_Store 
[02/03/2008 20:32|--ahs----|356] -> D:\desktop.ini 
[20/05/2008 19:45|--a------|111631] -> D:\DSCN31326.jpg 
[19/05/2008 14:58|--a------|752058] -> D:\DSCN3136.jpg 
[17/04/2008 13:41|--a------|38610] -> D:\Evaluation cours multimedia 2007-2008.odt 
[03/04/2008 11:08|--a------|43380] -> D:\Evaluation_cours_multimedia_2007-2008 v1.1.pdf 
[19/07/2009 04:57|--a------|14653866] -> D:\geo carte.cmpgn 
[04/01/2009 13:28|--a------|1067468] -> D:\Laurent Gerra - Le doigt dans l'cul.mp3 
[28/12/2008 22:20|--a------|11] -> D:\Nouveau Document texte.txt 
[07/02/2008 10:59|--a------|1926798] -> D:\Photoshop - page web.pdf 
[20/11/2008 13:03|--a------|73904782] -> D:\Sauvegarde registre.reg 
[23/06/2009 16:04|--ahs----|37888] -> D:\Thumbs.db 
[15/07/2009 14:03|--a------|17828326] -> D:\vlc-1.0.0-win32.exe 
[21/04/2008 17:22|--a------|84358575] -> E:\montage[1].flv 
[20/07/2009 23:43|--a------|159] -> K:\frase.txt 
[08/11/2008 03:41|--a------|18202752] -> K:\Realtek_HDA_5391.exe 

################## | Cracks / Keygens / Serials |

Remylenain · Answer

Je refais également un scan avec Gmer (celui qui me trouve skynet) en entier cette fois : Log Gmer

Remylenain · Answer

Bonjour !

Voila, j'ai fais la vaccination avec UsbFix, il n'a rien fait de spécial je pense : 


############################## | UsbFix V6.016 |

User : Remylenain (Administrateurs) # RÉMYLENAIN
Update on 11/08/09 by Chiquitine29 & C_XX
Start at: 23:11:20 | 12/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU           T2300  @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

C:\ -> Disque fixe local # 33,66 Go (2,63 Go free) # NTFS
D:\ -> Disque fixe local # 49,82 Go (4,74 Go free) [BACKUP] # NTFS
E:\ -> Disque fixe local # 8,77 Go (463,71 Mo free) [RECOVER] # FAT32
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 465,75 Go (19,56 Go free) [Elements] # NTFS

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# K:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## | ! Fin du rapport # UsbFix V6.016 ! |




Je viens de lancer Dr.Web avec les options que vous m'avez dit. Je colle le rapport dès que j'ai celui-ci.

Merci encore de m'aider :)

afideg · Answer

Bonjour,

A)- J'écrivais: « Ensuite relance UsbFix avec l'option 3 (vaccination) mais en branchant ton dd externe. »

Questions: 
- As-tu branché ton DD externe pour le vacciner ?
- À quelle lettre se rapporte-t-il parmi celles-ci ?
C:\ -> Disque fixe local # 33,66 Go (2,63 Go free) # NTFS 
D:\ -> Disque fixe local # 49,82 Go (4,74 Go free) [BACKUP] # NTFS 
E:\ -> Disque fixe local # 8,77 Go (463,71 Mo free) [RECOVER] # FAT32 
F:\ -> Disque CD-ROM 
G:\ -> Disque CD-ROM 
K:\ -> Disque fixe local # 465,75 Go (19,56 Go free) [Elements] # NTFS 



B)- Pourquoi avoir lancer Gmer ?
Gmer propose-t-il une fonction "suppression" de ce qu'il trouve comme éléments infectés/infectieux ?
Si oui, l'as-tu activée ?

Merci.

Remylenain · Answer

1°- Vous m'avez demandé : 
- As-tu branché ton DD externe pour le vacciner ? ==> oui 
- À quelle lettre se rapporte-t-il parmi celles-ci ? ==> K:\ -> Disque fixe local # 465,75 Go (19,56 Go free) [Elements] # NTFS 

2°- Pour Gmer, j'ai lu beaucoup de post où les helpeur demandaient un rapport Gmer, j'ai cru que cela vous aiderez a régler mon problème.
Je n'ai activé aucune function sur Gmer, je n'ai fais qu'un scan.

Désolé si je fais des choses qu'il ne faut pas faire, je suis assez curieux, je sais que c'est un vilain défaut.

3°- Voici le rapport du Dr.Web : 
UsbFix.exe\data026;C:\Documents and Settings\Remylenain\Bureau\A trier\pb pc\UsbFix.exe;Tool.Prockill;;
UsbFix.exe;C:\Documents and Settings\Remylenain\Bureau\A trier\pb pc;Conteneur comporte des objets infectés;;
Kill_P.exe;C:\UsbFix\Tools;Tool.Prockill;;

afideg · Answer

Re,

Merci pour les infos.

Dr Web n'a trouvé qu'un faux positif (UsbFix) --> pas de problème.

Je suppose que tu n'as pas retrouvé le dernier rapport de ComboFix.

Commence par ceci:
---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort. 
---> Télécharge OTMoveIt3 = OTM (OldTimer) sur ton Bureau, à partir de ce lien:  http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 
---> Copie (Ctrl+C) tout le texte en gras ci-dessous : 

:processes 
explorer.exe 

:services
328dbfd3
SKYNETfvumgexi

:files
C:\WINDOWS\System32\drivers\328dbfd3.sys 
C:\WINDOWS\system32\drivers\SKYNETxmnmmiji.sys  

:commands 
[emptytemp] 

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre "Paste Instructions for Items to be Moved". 
---> Clique maintenant sur le bouton MoveIt! . 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 
(Puis ferme OTMoveIt3)
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Merci
Al.

Remylenain · Answer

Voici le rapport d'OTMovit3 : 

Error: Unable to interpret <Begin copying here:> in the current context!
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service 328dbfd3 .
Unable to stop service SKYNETfvumgexi .
========== FILES ==========
File move failed. C:\WINDOWS\System32\drivers\328dbfd3.sys scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\drivers\SKYNETxmnmmiji.sys not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\REMYLE~1\LOCALS~1\Temp\etilqs_NddCZmQlZHhfJzfEwB3S scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\REMYLE~1\LOCALS~1\Temp\~DFCD0E.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\CLML_AGENT_LOG1.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_1e4.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\sqlite_EvPXyfI0nbmJscn scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
 
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 08132009_124727

Files moved on Reboot...
File move failed. C:\WINDOWS\System32\drivers\328dbfd3.sys scheduled to be moved on reboot.
File C:\DOCUME~1\REMYLE~1\LOCALS~1\Temp\etilqs_NddCZmQlZHhfJzfEwB3S not found!
File C:\DOCUME~1\REMYLE~1\LOCALS~1\Temp\~DFCD0E.tmp not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\WINDOWS	emp\CLML_AGENT_LOG1.txt scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_1e4.dat not found!
File C:\WINDOWS	emp\sqlite_EvPXyfI0nbmJscn not found!
C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Remylenain\Local Settings\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\urlclassifier3.sqlite moved successfully.




Je n'avais même pas fais attention au Begin copying here .... je l'avais copié aussi :s

afideg · Answer

Hmm!

A)- Avertissement
  http://www.developpez.be/images/kitinfo.gif   
À propos de Combofix.
Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles. ComboFix est un outil dangereux s'il est mal utilisé, et est réservé exclusivement aux helpers formés à son utilisation.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version qui va être téléchargée  sera obsolète dans quelques jours.
Chaque script est spécifique à la machine traitée ici !

Si ComboFix est déjà dans le PC, cliquer sur [Démarrer]  >  Exécuter -> faire un copier/coller de combofix.exe /u  dans la zone de saisie; valider par [OK]
ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur [OK].

B)- Par précaution, télécharger cet outil de récupération d’accès au Net sur ton bureau.
http://www.windowsfacile.com/winsock_xp_fix.html ; mais ne s’en servir qu’à la demande du helper (ou si la connexion Internet à l’issue de ComboFix ne s’établit plus).

C)- Préalable: 

Télécharger combofix.exe   http://download.bleepingcomputer.com/sUBs/ComboFix.exe   de sUBs et le sauvegarder (enregistrer sous …) sur le bureau (et pas ailleurs).

a)- lire ce guide/procédure en intégralité avant de te lancer.
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
Au cours de la procédure, après la fin de la sauvegarde du Registre Windows, ComboFix va essayer de savoir si la Console de récupération est installée.

b)- La console de Récupération 
  http://www.developpez.be/images/kitinfo.gif 
La Console de récupération Windows permettra de démarrer dans un “mode spécial de récupération”.
Cela permettra de réparer le système au cas où le pc ne redémarrerait plus suite à la désinfection.
Elle peut être nécessaire si l’ordinateur rencontre un problème après une tentative de nettoyage.
C'est une procédure simple, qui ne prendra que peu de temps et pourra peut-être un jour sauver la mise.
Certaines infections (Rootkit en MBR) ne peuvent être traitées qu'en utilisant la Console de Récupération, 
D'importantes procédures, que Combofix est susceptible de lancer, ne fonctionnant qu'à la condition que la console de récupération (Sous Xp) soit installée, il est instamment conseillé d’installer préalablement la “Console de Récupération” sur le PC.

Pour Windows XP Professionnel SP2, here's an easier method: Go to Microsoft's website => https://support.microsoft.com/en-us/help/310994
•	Après avoir cliqué sur le lien correspondant à la version de Windows installée sur le PC, une page s’affiche ; cliquer sur le bouton [Télécharger] afin de récupérer le package d'installation sur le Bureau: 
Ne pas modifier le nom du fichier 
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
* Faire un glisser/déposer (drag/drop) de ce fichier sur le fichier ComboFix.exe 
•	http://apu.mabul.org/up/apu/2008/08/12/img-2109566p6k6.gif 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le “Contrat de Licence d'Utilisateur Final” pour installer la Console de Récupération Microsoft.
* Après installation, on doit voir ce message: « The Recovery Console was successfully installed. » ; puis un rapport nommé CF_RC.txt va s'afficher ==> en poster le contenu .
Please don’t reboot your machine until we have reviewed the log.
S'il vous plaît ne pas redémarrer votre machine jusqu'à ce que nous ayons passé en revue le rapport.

c)- Faire supprimer les derniers cracks éventuellement téléchargés par l’internaute

D)- Procédure :

S’assurer que tous les programmes sont fermés avant de commencer.
==> Déconnecter le PC d'Internet et refermer les fenêtres de tous les programmes en cours.
==> Désactiver provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de Antivirus et  Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). 

Éventuellement, pour éviter leur réactivation après un redémarrage, les décocher dans la liste sous l’onglet “Démarrage”, via  -> [Démarrer] > Exécuter > coller Msconfig  et valider par [OK]
( il faudra faire l’inverse immédiatement à l’issue de la procédure ; soit avant de se reconnecter au Net ) 

==> Connecter tous les disques amovibles (disque dur externe, clé USB…).

• Double-cliquer combofix.exe afin de l'exécuter.
Cliquer sur "Oui" au message de Limitation de Garantie qui s'affiche. 
Il est possible que le pare-feu (firewall) demande d’accepter ou non l'accès de “nircmd.cfexe” à la zone sûre ; ==> [Accepter]. 
Ou bien --> Répondre oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne pas fermer la fenêtre qui vient de s'ouvrir, ce qui donnerait un bureau vide. 
Laisser se dérouler le scan.
/!\ Pendant la durée de cette étape, ne pas se servir du PC et n'ouvrir aucun programme. Rester patient (même si l’on pense que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copier/coller ce rapport dans la prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).


Merci
Al.

Remylenain · Answer

Désolé je ne pourrais faire cela que ce soir en rentrant chez moi, j'ai pour le moment besoin du pc.

Merci encore.

Remylenain · Answer

Voici le log obtenu après l'installation de la console de récupération : CF_RC.txt : 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect


Puis-je maintenant faire la dernière étape de votre post précédent ?

gen-hackman · Answer

bonsoir a tous

Afideg :

C:\WINDOWS\system32\CF20190.exe

ceci montre apparement que Combofix a deja ete utilisé sur ce pc

Remylenain · Answer

oui je l'avais déjà télécharger et lancé (mais je n'ai fais aucune manip avec) car ils en parlaient sur d'autres post, et je ne pensais pas que c'était aussi dangereux de l'utiliser.

Cela change-t-il quelque chose ?

Puis-je maintenant faire le D qu'Al m'a dit de faire ? 

D)- Procédure :

S’assurer que tous les programmes sont fermés avant de commencer.
==> Déconnecter le PC d'Internet et refermer les fenêtres de tous les programmes en cours.
==> Désactiver provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de Antivirus et Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

Éventuellement, pour éviter leur réactivation après un redémarrage, les décocher dans la liste sous l’onglet “Démarrage”, via -> [Démarrer] > Exécuter > coller Msconfig et valider par [OK]
( il faudra faire l’inverse immédiatement à l’issue de la procédure ; soit avant de se reconnecter au Net )

==> Connecter tous les disques amovibles (disque dur externe, clé USB…).

• Double-cliquer combofix.exe afin de l'exécuter.
Cliquer sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que le pare-feu (firewall) demande d’accepter ou non l'accès de “nircmd.cfexe” à la zone sûre ; ==> [Accepter].
Ou bien --> Répondre oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne pas fermer la fenêtre qui vient de s'ouvrir, ce qui donnerait un bureau vide.
Laisser se dérouler le scan.
/!\ Pendant la durée de cette étape, ne pas se servir du PC et n'ouvrir aucun programme. Rester patient (même si l’on pense que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copier/coller ce rapport dans la prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

gen-hackman · Answer

ce n'etait qu'une remarque en passant ^^

Remylenain · Answer

Ah d'accord ^^

J'ai eu peur d'avoir fait une grosse erreur et que je ne pouvais plus réparé cette infection ... ouf ^^

afideg · Answer

Re,

Cit. « Puis-je maintenant faire la dernière étape de votre post précédent ? »
OK  --> Fonce.
Merci

Salut P..    ;)
Al.

Remylenain · Answer

Voila, ComboFix s'est terminé , voici le log : 

ComboFix 09-08-10.06 - Remylenain 13/08/2009 21:16.1.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.44.1036.18.2046.1469 [GMT 2:00]
Running from: c:\documents and settings\Remylenain\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Remylenain\Application Data\wiaserva.log
c:\windows\Installer\372eb.msp
c:\windows\system32\drivers\328dbfd3.sys
c:\windows\system32\SKYNETqlmyugvl.da_


.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_skynetfvumgexi
-------\Service_SKYNETfvumgexi
-------\Service_328dbfd3


(((((((((((((((((((((((((   Files Created from 2009-07-13 to 2009-08-13  )))))))))))))))))))))))))))))))
.

2009-08-13 11:21 . 2009-08-13 11:22	--------	d-s---w-	C:\cmbfxit
2009-08-12 16:01 . 2009-08-12 20:05	--------	d-----w-	c:\documents and settings\Remylenain\DoctorWeb
2009-08-12 11:27 . 2009-08-12 21:11	--------	d-----w-	C:\UsbFix
2009-08-12 10:51 . 2009-08-12 10:51	--------	d-----w-	c:\program files\GameTop.com
2009-08-12 09:39 . 2009-08-12 09:39	--------	d-----w-	C:sit
2009-08-12 09:35 . 2009-08-12 09:35	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\Malwarebytes
2009-08-12 09:35 . 2009-08-12 09:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-12 08:54 . 2009-08-12 08:54	--------	dc----w-	c:\documents and settings\All Users\Application Data\{C4C0E335-EDDF-46A0-A57D-F3802AE44275}
2009-08-12 08:40 . 2009-08-12 08:40	--------	d--h--r-	C:\AHCache
2009-08-06 11:48 . 2005-01-01 09:43	4682	----a-w-	c:\windows\system32
pptNT2.sys
2009-08-05 08:20 . 2009-08-05 08:20	167376	----a-w-	c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\FlashGot.exe
2009-08-03 13:01 . 2009-08-03 13:02	34	----a-w-	c:\documents and settings\Remylenain\jagex_runescape_preferences.dat
2009-08-03 13:01 . 2009-08-03 13:01	--------	d-----w-	c:\windows\.jagex_cache_32
2009-08-03 09:28 . 2009-08-03 09:28	--------	d-----w-	c:\documents and settings\Remylenain\Local Settings\Application Data\assembly
2009-08-03 09:28 . 2009-08-03 09:28	--------	d-----w-	c:\program files\NCSoft
2009-08-03 09:24 . 2009-08-03 09:27	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\GetRightToGo
2009-07-27 07:15 . 2009-07-27 07:15	--------	d-----w-	c:\program files\Trend Micro
2009-07-23 09:03 . 2009-07-23 09:17	--------	d-----w-	c:\program files\Navilog1
2009-07-22 09:59 . 2008-02-17 15:16	90112	----a-w-	c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
2009-07-22 09:59 . 2007-12-28 09:15	172032	----a-w-	c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe
2009-07-22 09:59 . 2007-10-07 23:57	307200	----a-w-	c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe
2009-07-21 18:37 . 2009-07-21 18:37	--------	d-----w-	c:\program files\QuickTime
2009-07-20 14:48 . 2008-12-03 23:25	120832	----a-w-	c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\plugins
pietab.dll
2009-07-20 14:24 . 2001-10-28 15:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2009-07-20 14:24 . 1998-07-13 00:08	119568	----a-w-	c:\windows\system32\VB6FR.DLL
2009-07-20 14:24 . 1998-07-13 00:08	59904	----a-w-	c:\windows\system32\MSCC2FR.DLL
2009-07-20 14:24 . 1998-07-13 00:08	141312	----a-w-	c:\windows\system32\MSCMCFR.DLL
2009-07-20 14:23 . 2009-07-20 14:25	--------	d-----w-	c:\program files\PDFCreator
2009-07-20 14:23 . 1998-07-05 23:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2009-07-20 13:08 . 2009-07-20 14:11	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\Magic Set Editor
2009-07-17 13:10 . 2009-07-17 13:17	--------	d-----w-	c:\documents and settings\Remylenain\.maptool
2009-07-16 10:08 . 2009-07-16 10:10	4082	----a-w-	c:\windows\BricoPackFoldersDelete.cmd
2009-07-15 20:35 . 2009-07-15 20:35	65536	----a-w-	c:\windows\ICE_JNIRegistry.dll
2009-07-15 12:23 . 2009-08-13 11:05	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\vlc

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 19:21 . 2008-10-01 10:06	--------	d-----w-	c:\program files\SuperCopier2
2009-08-13 16:43 . 2008-09-30 09:29	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\uTorrent
2009-08-12 15:49 . 2008-10-05 16:03	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\dvdcss
2009-08-10 19:00 . 2008-09-25 20:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\DVD Shrink
2009-08-10 15:45 . 2008-10-30 20:43	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\CyberLink
2009-08-07 10:56 . 2008-09-30 09:29	--------	d-----w-	c:\program files\uTorrent
2009-08-06 11:48 . 2008-10-30 20:39	--------	d-----w-	c:\program files\Common Files
2009-08-06 09:30 . 2008-12-19 20:24	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\Skype
2009-08-06 08:59 . 2008-12-19 20:25	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\skypePM
2009-08-06 08:48 . 2008-09-25 13:27	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-08-05 09:13 . 2009-07-04 19:58	--------	d-----w-	c:\program files\LG Electronics
2009-08-04 07:31 . 2008-09-25 17:36	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-07-22 12:28 . 2008-09-27 21:43	--------	d-----w-	c:\program files\eMule
2009-07-21 18:44 . 2009-02-23 10:11	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\Apple Computer
2009-07-21 08:36 . 2008-09-25 17:24	229984	----a-w-	c:\documents and settings\Remylenain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-21 08:05 . 2004-08-05 12:00	92550	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-21 08:05 . 2004-08-05 12:00	504400	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-16 18:07 . 2008-11-09 20:42	--------	d-----w-	c:\program files\CDBurnerXP
2009-07-16 10:10 . 2008-09-25 14:10	56179	----a-w-	c:\windows\BricoPackUninst.cmd
2009-07-16 10:10 . 2004-08-05 12:00	219648	----a-w-	c:\windows\system32\uxtheme.dll
2009-07-15 12:21 . 2009-05-26 07:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\VMware
2009-07-13 09:28 . 2009-05-26 07:59	--------	d-----w-	c:\documents and settings\LocalService\Application Data\VMware
2009-07-04 20:06 . 2009-07-04 19:58	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\LG Electronics
2009-07-04 20:01 . 2008-12-29 02:18	--------	d-----w-	c:\program files\DivX
2009-07-04 13:42 . 2008-10-11 11:05	--------	d-----w-	c:\program files\AviSynth 2.5
2009-07-04 13:39 . 2009-07-04 13:39	--------	d-----w-	c:\program files\Magicbit
2009-07-03 14:53 . 2009-07-03 14:51	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\codeblocks
2009-06-29 16:07 . 2009-06-29 16:07	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\LaCie
2009-06-29 16:07 . 2009-06-29 16:07	133	----a-w-	c:\documents and settings\Remylenain\Local Settings\Application Data\fusioncache.dat
2009-06-24 14:58 . 2009-03-17 10:18	--------	d-----w-	c:\documents and settings\Remylenain\Application Data\OpenOffice.org2
2009-06-24 08:11 . 2008-10-02 19:12	--------	d-----w-	c:\program files\Ahead
2009-06-24 08:11 . 2008-10-02 19:12	--------	d-----w-	c:\program files\Fichiers communs\Ahead
2009-06-17 13:20 . 2009-06-17 13:20	--------	d-----w-	c:\program files\Sophos
2009-05-29 20:41 . 2009-05-08 17:41	1	----a-w-	c:\documents and settings\Remylenain\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-05-29 15:26 . 2009-05-29 15:26	10134	----a-r-	c:\documents and settings\Remylenain\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-05-22 09:09 . 2009-05-22 09:09	125636	---ha-w-	c:\windows\system32\mlfcache.dat
.

------- Sigcheck -------

[7] 2008-08-26 09:10	827904	4B0E70D44297877A313045BD059770E1	c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
[-] 2004-08-05 12:00	1138176	9A803A6E5354FC4B6BBB032CAD5E294C	c:\windows\ie7\wininet.dll
[7] 2007-08-13 17:54	818688	A4A0FC92358F39538A6494C42EF99FE9	c:\windows\ie7updates\KB956390-IE7\wininet.dll
[-] 2008-08-26 08:11	1260544	3C0F0A411C9C30E6EBA24E24EDB0096F	c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2008-08-26 08:11	1260544	3C0F0A411C9C30E6EBA24E24EDB0096F	c:\windows\system32\wininet.dll
[7] 2008-08-26 08:11	826368	E30CACD98479B36A3DBFA3267BF62DD0	c:\windows\system32\dllcache\wininet.dll

[-] 2008-04-13 18:34	3200000	5158A1C542A355B3A67E59538BBD894D	c:\windows\explorer.exe
[-] 2004-08-05 12:00	3198464	CDC990FBECEFF120D114C94CF07AF248	c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2008-04-13 18:34	3200000	5158A1C542A355B3A67E59538BBD894D	c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2008-04-13 18:34	1037824	F2317622D29F9FF0F88AEECD5F60F0DD	c:\windows\SoftwareDistribution\Download\d43a20c40794c502928d4b7d8ff0ea20\explorer.exe

[-] 2008-10-16 13:09	69144	2BD9953CEFE840CAF31C2D6D1F9AD179	c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2008-10-16 13:09	69144	2BD9953CEFE840CAF31C2D6D1F9AD179	c:\windows\system32\wuauclt.exe
[7] 2008-10-16 13:09	51224	E654B78D2F1D791B30D0ED9A8195EC22	c:\windows\system32\dllcache\wuauclt.exe


[7] 2008-08-26 09:10	3594752	0F345A2FE55C3DC9693AAAF2E983F4AD	c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\mshtml.dll
[-] 2004-08-05 12:00	4606976	786652CCCEF7A32953BF426BB366063E	c:\windows\ie7\mshtml.dll
[7] 2007-08-13 17:54	3578368	C6EC2493346ED8888A549F59210A8ED3	c:\windows\ie7updates\KB956390-IE7\mshtml.dll
[-] 2008-08-27 13:41	5028864	077F70E62A9DDDAAF13C05636D5DA005	c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2008-08-27 13:41	5028864	077F70E62A9DDDAAF13C05636D5DA005	c:\windows\system32\mshtml.dll
[7] 2008-08-27 13:41	3593216	3CCDB836BBAB800FDED3181AF7EED38F	c:\windows\system32\dllcache\mshtml.dll

c:\windows\system32\appmgmts.dll ... is missing !!
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-07 737370]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-02 7557120]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-13 172544]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2005-12-19 15797248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= c:\documents and settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece16.gif
FriendlyName= 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= c:\documents and settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece13.gif
FriendlyName= 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\WB]
2001-12-20 22:34	24576	----a-w-	c:\program files\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\wbsys.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Documents and Settings^Remylenain^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\Remylenain\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Home Cinema\PowerCinema\PowerCinema.exe"=
"c:\Program Files\Home Cinema\PowerCinema\PCMService.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12497:TCP"= 12497:TCP:NortonAV

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\icmpsettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 psdrv02;CD Guard Environment Driver (v2);c:\windows\system32\drivers\psdrv02.sys [11/09/2006 14:01 67960]
R0 pssync05;CD Guard Synchronization Driver (v5);c:\windows\system32\drivers\pssync05.sys [03/11/2006 10:24 61312]
R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05/10/2003 10:41 123520]
R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28/09/2003 10:57 5504]
R3 acfva;acfva;c:\windows\system32\drivers\ACFVA32.sys [26/01/2009 20:12 86784]
R3 dgcfltr;DGC Filter Driver;c:\windows\system32\drivers\ACFDCP32.sys [26/01/2009 20:12 29056]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [31/12/2008 14:30 7040]
S2 psrem02;CD Guard Drivers Auto Removal (v2);c:\windows\system32\psrem02.exe svc --> c:\windows\system32\psrem02.exe svc [?]
S3 lgbttport;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 lgvmodem;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
S3 memsweep2;MEMSWEEP2;\??\c:\windows\system32\10B.tmp --> c:\windows\system32\10B.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 NTProcDrv;Process creation detector for NT.;\??\c:\windows\TEMP\drv1.tmp --> c:\windows\TEMP\drv1.tmp [?]
S4 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/05/2009 20:15 108289]
S4 HdThemeEnabler;Hyperdesk Theme Enabler;c:\program files\The Skins Factory\Hyperdesk\Common\HdThemeEnabler.exe [24/07/2008 21:23 102400]

--- Other Services/Drivers In Memory ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc
.
Contents of the 'Scheduled Tasks' folder
.
.
------- Supplementary Scan -------
.
TCP: {73DE8D07-C097-40C2-A6FC-E35772CB6F09} = 80.10.246.5 80.10.246.136
FF - ProfilePath - c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 8800
FF - prefs.js: network.proxy.gopher - localhost
FF - prefs.js: network.proxy.gopher_port - 8800
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 8800
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 8800
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 8800
FF - prefs.js: network.proxy.type - 4
FF - component: c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pwmsdrm.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 21:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\REMYLE~1\LOCALS~1\Temp\mc21.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\memsweep2]
"ImagePath"="\??\c:\windows\system32\10B.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NTProcDrv]
"ImagePath"="\??\c:\windows\TEMP\drv1.tmp"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)

[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e3,48,85,b0,aa,ea,42,a1,51,74,59,d4,79,1c,24,06,a7,f1,e0,69,f5,1c,33,
   bd,d0,5b,52,7a,cb,73,48,a7,c6,e8,e2,08,ec,c7,c0,03,95,1d,29,0c,9d,7f,6e,f3,\
"??"=hex:72,11,da,bf,c1,55,ba,58,8b,7d,f0,ec,6a,4d,80,80

[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:5d,b3,ee,d3,e3,43,b5,cc,42,f3,22,1b,b0,65,90,e1,02,07,2d,0d,ea,
   35,7c,90,b4,d1,a2,90,6f,bb,f6,74,06,2e,fc,cc,59,1a,ee,96,6d,41,86,af,f0,81,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\program files\AlienGUIse\fastload.dll

- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\scecli.dll

- - - - - - - > 'explorer.exe'(3156)
c:\windows\system32\SHDOCVW.dll
c:\program files\SuperCopier2\SC2Hook.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32
tshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32
vsvc32.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Common Files\X10\Common\X10nets.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-13 21:26 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-13 19:26

Pre-Run: 5 038 292 992 octets libres
Post-Run: 4 915 707 904 octets libres

329	--- E O F ---	2008-12-02 14:49





Merci beaucoup de votre aide afideg, j'espère que mon pc est maintenant désinfecté, il reste encore des chose à faire ?

afideg · Answer

Re,

Bien.

A)- J'ai un doute sur ceci (il faut que je demande de l'aide; et nous pourrons y revenir)

[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] 
"??"=hex:e3,48,85,b0,aa,ea,42,a1,51,74,59,d4,79,1c,24,06,a7,f1,e0,69,f5,1c,33, 
bd,d0,5b,52,7a,cb,73,48,a7,c6,e8,e2,08,ec,c7,c0,03,95,1d,29,0c,9d,7f,6e,f3,\ 
"??"=hex:72,11,da,bf,c1,55,ba,58,8b,7d,f0,ec,6a,4d,80,80 

[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\License information*] 
"datasecu"=hex:5d,b3,ee,d3,e3,43,b5,cc,42,f3,22,1b,b0,65,90,e1,02,07,2d,0d,ea, 
35,7c,90,b4,d1,a2,90,6f,bb,f6,74,06,2e,fc,cc,59,1a,ee,96,6d,41,86,af,f0,81,\ 
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] 
"OODEFRAG08.00.00.01WORKSTATION"="852BCB265112F642F5D9A91B6240BE2BD8B0215E4A76D1D796D61736500C2A550A32FDD1D69168D3F8EECA6B663C8B7228D4F148BEA43CE2F76700FB02D02BDA11DB3903E790734EA364C929072D1D07 .......... DA3A52326DEDD69BD8A302083C0FD3F8E605A678A04DA45F1EBA33969C78EDBA390CE5E470EA3C8067B0BFEB5E54AD4FF5E04DE22F17DE" 


B)- Je voudrais que tu puisses faire un petit cotrôle pour moi.
Il s'agit de vérifier si ces sous-clés (ou valeurs)  sont encore présentes dans la base de registres:

-->  [HKLM\SYSTEM\ControlSet001\Services]
"328dbfd3@F96ZK6nPB"=-
--> [HKLM\SYSTEM\CurrentControlSet\Services]
SKYNETfvumgexi@imagepath  

Sais-tu comment faire ? Ne touche à rien si tu ne sais pas.


C)- Peux-tu maintenant lancer une analyse complète du PC avec ton AntiVir ?


Merci
Al.

noctambule28 · Answer

Salut Al.

Tu es sur de ton alerte, car c'est 60 minutes normalement ( et sans que quelqu'un est fait "répondre à...")

N'aurai-tu pas été déconnecté, ça expliquerait l'absence d'outils?

afideg · Answer

Salut F.
Content de te lire.   ;)

Non, rien de cela.
Et mon post # 31 en question date de jeudi 13 août 2009 à 22:03:48
Il n'y a pas encore 1 heure.
Aucune déconnexion du Net non plus.

Mystère.  ==> c'est correct maintenant (mais perdu pour le post # 31).

Bonne soirée à toi et aux amis modérateurs.
Albert

Remylenain · Answer

B)- Je voudrais que tu puisses faire un petit cotrôle pour moi.
Il s'agit de vérifier si ces sous-clés (ou valeurs) sont encore présentes dans la base de registres:

--> [HKLM\SYSTEM\ControlSet001\Services]
"328dbfd3@F96ZK6nPB"=-
--> [HKLM\SYSTEM\CurrentControlSet\Services]
SKYNETfvumgexi@imagepath

Sais-tu comment faire ? Ne touche à rien si tu ne sais pas.


Désolé je ne sais pas exactement comment faire, et je ne préfère pas le faire approximativement, c'est trop "dangereux" je pense.

Le scan est en train de se faire.

merci encore :)

afideg · Answer

Re, Bien, merci de l'avouer. Attendre la fin de l'analyse par AntiVir !! 1°- Comment faire une sauvegarde l'intégralité du registre Mais très important avant de se lancer, il faut que tu fasses une sauvegarde de cette base de registre. - Comme ceci: • Cliquez sur Démarrer / Exécuter • Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ». • Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail » de la page qui s'affiche. ( Explication: Ici, dans la suite logique, le "Poste de travail" , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres ) • Dans le menu « Fichier » cliquez sur « Exporter.... » • Dans le menu de gauche, choisissez de sauvegarder dans le BUREAU. • Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1) • Dans le champ déroulant "Type" , choisissez "Fichiers d’enregistrement (*.reg)". < http://img252.imageshack.us/img252/8522/screenshot258es5.gif > • Cochez la case (= le bouton ratio ) « Tout ». • Cliquez sur [Enregistrer]… et patiente Puis Quitter le registre. L'icône du fichier de sauvegarde du Registre est maintenant sur le bureau Si tu n’as pas compris suis le tuto en image : < https://www.generation-nt.com/sauvegardez-restaurez-la-base-de-registre-astuce-24586-1.html > 2°- Donc, pour accéder à la Base de registres, il faut cliquer sur "Démarrer" > "Exécuter" > saisir (= copier/coller REGEDIT dans la zone de saisie) REGEDIT puis [OK] et naviguer dans la plage de gauche en cliquant sur le + devant HKEY_LOCAL_MACHINE (en abrégé = HKLM) Ensuite descendre jusque SYSTEM et cliquer sur +, puis descendre jusque ControlSet001 et cliquer sur +, puis descendre jusque Services là, cliquer sur le petit dossier jaune pour l'ouvrir Dis-moi maintenant si tu vois, notamment cette ligne 328dbfd3@F96ZK6nPB dans la colonne de droite. Merci Al

Remylenain · Answer

D'accord, merci, j'attends la fin du scan, il va y en avoir pour encore un bon moment.

Je vais me couché en laissant tourné le pc.

@ demain.

Bonne nuit et merci encore et toujours ^^

Remylenain · Answer

Finalement le scan s'est terminer plus tôt que prévu. Voici une partie du rapport, dite moi s'il faut que je colle tout : La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip [0] Type d'archive: ZIP --> 328dbfd3.sys [RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq --> 328dbfd3.sys.1 [RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys [RESULTAT] Contient le cheval de Troie TR/Trash.Gen Recherche débutant dans 'D:\' D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe [0] Type d'archive: RSRC [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. --> Object [1] Type d'archive: CAB (Microsoft) --> inoweb.exe [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. Recherche débutant dans 'E:\' Recherche débutant dans 'K:\' Début de la désinfection : C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69694.qua' ! C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69691.qua' ! Fin de la recherche : vendredi 14 août 2009 00:40 Temps nécessaire: 1:24:55 Heure(s) La recherche a été effectuée intégralement 15731 Les répertoires ont été contrôlés 896361 Des fichiers ont été contrôlés 3 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 896356 Fichiers non infectés 6479 Les archives ont été contrôlées 4 Avertissements 4 Consignes 64888 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés Je ferais les manipulations sur la base de registre demain, il est grand temps pour moi d'aller dormir ^^ Bonne nuit et @ demain !

gen-hackman · Answer

oui bonsoir à tous

mais je voudrais bien voir l'entête , en fait juste l'autre moitié  :)

kiki · Answer

je te conseille d'instaler     not32 sur ton pc , sé un entivirus gratuit ! et il est très éficase, sé lec meilleur en se moment .

Remylenain · Answer

Ah ok ^^' Dommage, je pensais que c'était celle là qui serait intéressante lol. Voici le scan en entier : Avira AntiVir Personal Date de création du fichier de rapport : jeudi 13 août 2009 22:56 La recherche porte sur 1633098 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : RÉMYLENAIN Informations de version : BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 21:57:39 ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10/08/2009 07:54:29 ANTIVIR3.VDF : 7.1.5.101 208384 Bytes 12/08/2009 07:54:39 Version du moteur : 8.2.1.0 AEVDF.DLL : 8.1.1.1 106868 Bytes 05/05/2009 18:56:45 AESCRIPT.DLL : 8.1.2.24 459131 Bytes 12/08/2009 07:55:50 AESCN.DLL : 8.1.2.4 127348 Bytes 23/07/2009 07:09:24 AERDL.DLL : 8.1.2.4 430452 Bytes 15/07/2009 12:30:10 AEPACK.DLL : 8.1.3.18 401783 Bytes 03/06/2009 19:45:48 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 19/06/2009 11:03:13 AEHEUR.DLL : 8.1.0.154 1917302 Bytes 12/08/2009 07:55:22 AEHELP.DLL : 8.1.5.3 233846 Bytes 23/07/2009 07:09:24 AEGEN.DLL : 8.1.1.56 356725 Bytes 12/08/2009 07:54:46 AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 23/07/2009 07:09:22 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26 AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 09:26:02 RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, E:, K:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Recherche optimisée...........................: marche Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : jeudi 13 août 2009 22:56 La recherche d'objets cachés commence. '64888' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés Processus de recherche 'X10nets.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'SuperCopier2.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '36' processus ont été contrôlés avec '36' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'K:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '52' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip [0] Type d'archive: ZIP --> 328dbfd3.sys [RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq --> 328dbfd3.sys.1 [RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys [RESULTAT] Contient le cheval de Troie TR/Trash.Gen Recherche débutant dans 'D:\' D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe [0] Type d'archive: RSRC [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. --> Object [1] Type d'archive: CAB (Microsoft) --> inoweb.exe [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. Recherche débutant dans 'E:\' Recherche débutant dans 'K:\' Début de la désinfection : C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69694.qua' ! C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69691.qua' ! Fin de la recherche : vendredi 14 août 2009 00:40 Temps nécessaire: 1:24:55 Heure(s) La recherche a été effectuée intégralement 15731 Les répertoires ont été contrôlés 896361 Des fichiers ont été contrôlés 3 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 896356 Fichiers non infectés 6479 Les archives ont été contrôlées 4 Avertissements 4 Consignes 64888 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés Kiki : Je te conseille d'instaler not32 sur ton pc , sé un entivirus gratuit ! et il est très éficase, sé lec meilleur en se moment . Euh désolé mais je suis très satisfait d'Antivir d'Avira, il est gratuit également, et a part ce root-kit, je n'avais encore jamais eu de problème avec (surtout que niveau téléchargement et site un peu bizarre, je suis plutôt sérieux et assez parano donc ^^) De plus, ce n'est pas pour être méchant mais ton orthographe ne donne pas envie de te faire confiance, je ne dis pas que je suis très bon (bien au contraire ^^) mais les "sé" etc font trop sms désolé. Enfin quand on fait quelques recherches sur google, Not32 n'a pas l'air si génial, il y a bien noD32 qui est dit comme le meilleur anti-virus 2007 mais bon. Merci quand même de vouloir aidé. Pour afideg : 2°- Donc, pour accéder à la Base de registres, il faut cliquer sur "Démarrer" > "Exécuter" > saisir (= copier/coller REGEDIT dans la zone de saisie) REGEDIT puis [OK] et naviguer dans la plage de gauche en cliquant sur le + devant HKEY_LOCAL_MACHINE (en abrégé = HKLM) Ensuite descendre jusque SYSTEM et cliquer sur +, puis descendre jusque ControlSet001 et cliquer sur +, puis descendre jusque Services là, cliquer sur le petit dossier jaune pour l'ouvrir Dis-moi maintenant si tu vois, notamment cette ligne 328dbfd3@F96ZK6nPB dans la colonne de droite. Non c'est bon je ne vois ni 328dbfd3@F96ZK6nPB ni un Skynet@xxxxxx nul part dans service (il n'y a que "par défaut" dedans) Et merci encore à gen-hackman, et afideg de m'aider, c'est très gentil de votre part.

gen-hackman · Answer

et en nom de dossiers en sous-clé de "service" ? aucun des deux non plus ?

Remylenain · Answer

Non plus non :)

Merci beaucoup :)

Remylenain · Answer

Suis-je totalement guérie ? Je peux mettre "Résolu" ?

Edit : j'avais oublié de préciser pour : 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="852BCB265112F642F5D9A91B6240BE2BD8B0215E4A76D1D796D61736500C2A550A32FDD1D69168D3F8EECA6B663C8B7228D4F148BEA43CE2F76700FB02D02BDA11DB3903E790734EA364C929072D1D07 .......... DA3A52326DEDD69BD8A302083C0FD3F8E605A678A04DA45F1EBA33969C78EDBA390CE5E470EA3C8067B0BFEB5E54AD4FF5E04DE22F17DE" 

OODEFRAG est un defragmenteur de disque que j'ai depuis un bon moment maintenant mais qui me satisfait toujours.

Dois-je le désinstallé ?

afideg · Answer

Re, Bonjour Désolé, mais je ne suis pas toujours devant mon PC De surcroît, j'ai des obligations relationnelles qui m'en ont écarté jusqu'à cet instant. A)- Cit. « OODEFRAG est un defragmenteur de disque » Bien, garde-le s'il te satisfait. J'ai PerfectDisk10. B)- Merci pour avoir visité ta base de registres; et content qu'elle ne révèle plus les éléments infectés. Tu as donc ainsi acquis un peu davantage de connaissances (de la base de registres). Eventuellement, tu peux jeter le fichier .reg affiché sur ton bureau (si tu ne vois pas de disfonctionnement de ton PC d'ici une semaine). C)- Clique sur "Démarrer", puis sur "Exécuter" et fais un copier/coller de la commande suivante dans la zone de saisie ; puis valide par [OK] "%userprofile%\Bureau\combofix.exe" /u <-- toute le ligne en gras Ca désinstallera ComboFix, supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut. Supprime ensuite manuellement les dossiers suivants: - Qoobox. (il est à la racine de ton disque dur) C:\QooBox - L’application téléchargée sur le bureau (ComboFix.exe) D)- Je me demande si ta version AntiVir est à jour. Je me demande s'il ne serait pas profitable de la remplacer par celle-ci: http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe Tuto sur la version française : http://www.libellules.ch/tuto_antivir.php En tout cas, vide la quarantine de ta version actuelle. E)- je n'ai pas de bons avis sur C:\Program Files\SuperCopier2\SuperCopier2.exe Je le supprimerais. F)- O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader Grosse faille de sécurité. -> désinstalle préalablement l'ancienne version via le “panneau de config.”/"Ajout et suppression de programmes" (pour XP) . -> Note : si tu as une imprimante, éteins-la et débranche-la du PC avant de faire la mise à jour. -> télécharge et installe la dernière version ici : https://get2.adobe.com/fr/reader/otherversions/ G)- Supprime C:\Program Files\Navilog1 <-- le dossier H)- Supprime D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe <-- le dossier eTrust Antivirus7.1 (doù sort-il celui-là ?) I)- Termine SVP par cette analyse en ligne (en désactivant ton Antivir le temps de cette analyse), en branchant tous les disques externes par USB: "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". https://www.kaspersky.fr/downloads Branche ton Disque Externe (clé USB) éventuellement Lance le scan. - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : http://www.infos-du-net.com/forum/267224-11-scan-ligne-kaspersky Merci J'espère trouver un rapport selon nos espérances. Al. Salut P. ;)

afideg · Answer

Hello.
Où en est cette affaire ?
Al.

Remylenain · Answer

Bonjour. Vraiment désolé de ne répondre qu'aussi tard, je suis rentré chez moi (enfin chez mes parents) et je n'ai donc plus accès à l'adsl. J'ai mis un peu de temps a récupéré un vieux modem 56k ^^' (petit village ...) D)- Je me demande si ta version AntiVir est à jour. La dernière mise à jour date du 14/08/09 (date où j'avais encore l'adsl disponible) E)- je n'ai pas de bons avis sur C:\Program Files\SuperCopier2\SuperCopier2.exe Je le supprimerais. C'est fait, avec un peu de regret, car j'affectionnais assez bien ce logiciel. F)- O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader Grosse faille de sécurité. -> désinstalle préalablement l'ancienne version via le “panneau de config.”/"Ajout et suppression de programmes" (pour XP) . -> Note : si tu as une imprimante, éteins-la et débranche-la du PC avant de faire la mise à jour. -> télécharge et installe la dernière version ici : https://get2.adobe.com/fr/reader/otherversions/ Je l'ai désinstallé, je le retéléchargerais plus tard (car en 56k ca met plus de temps que je ne puisse resté connecté) G)- Supprime C:\Program Files\Navilog1 <-- le dossier Ok, c'est fait :) H)- Supprime D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe <-- le dossier eTrust Antivirus7.1 (doù sort-il celui-là ?) C'est l'anti-virus qui étais fournis avec l'ordinateur (vite fait remplacé par avast puis antivir par la suite) Il est supprimé :) I)- Termine SVP par cette analyse en ligne (en désactivant ton Antivir le temps de cette analyse), en branchant tous les disques externes par USB: "Scan en ligne de Kaspersky" Je ferais cela dès que j'aurais l'adsl. Je n'ai plus eu en tout cas de ralentissement de navigation ni de pc. Merci beaucoup. Puis-je mettre résolu même si je n'ai pas encore fais le scan de Kapersky ?

afideg · Answer

Re,
Merci.
Si tu es amoureuse de "super copier 2"; c'est ton choix. Pas de problème.
Un topic est terminé quand toutes les données le permettent.
Donc, et si tu as le temps, termine le scan en ligne avec Kaspersky comme indiqué dans la procédure supra.
Bonne soirée.
à+..

Rootkit TDSS (Skynet)

44 réponses

Discussions similaires