Z-connect , virus insuprimable
cherouss
-
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour,
Voilà, depuis quelque jours il y a plusieurs fichiers quii se créent automatiquement du genre a25b156.exe et a chaque fois que je fais une recherche, l'antivirus ne détécte rien et il y a aussi une connexion z-connect qui se crée automatiquement et m'empéche de me connecter !! voila le rapport de Rooter , Malawarebytes et RSIT, au cas où ça pourrait vous aidez..
Merci d'avance
**********************************************
rapport rooter
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 2
[32_bits] - x86 Family 15 Model 2 Stepping 9, GenuineIntel
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Disabled !
.
Internet Explorer 7.0.5730.11
.
A:\ [Removable]
C:\ [Fixed-NTFS] .. ( Total:31 Go - Free:4 Go )
D:\ [CD_Rom]
E:\ [CD_Rom]
.
Scan : 22:13.27
Path : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera\temporary_downloads\Rooter.exe
User : Administrateur ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (488)
______ \??\C:\WINDOWS\system32\csrss.exe (544)
______ \??\C:\WINDOWS\system32\winlogon.exe (568)
______ C:\WINDOWS\system32\services.exe (612)
______ C:\WINDOWS\system32\lsass.exe (632)
______ C:\WINDOWS\system32\svchost.exe (784)
______ C:\WINDOWS\system32\svchost.exe (832)
______ C:\WINDOWS\System32\svchost.exe (876)
______ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1048)
______ C:\Program Files\Alwil Software\Avast4\ashServ.exe (1092)
______ C:\WINDOWS\Explorer.EXE (1316)
______ C:\WINDOWS\system32\spoolsv.exe (1504)
______ C:\WINDOWS\System32\svchost.exe (1588)
______ C:\WINDOWS\system32\nvsvc32.exe (1640)
______ C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (1736)
______ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (168)
______ C:\Program Files\Analog Devices\SoundMAX\SMTray.exe (188)
______ C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe (208)
______ C:\WINDOWS\system32\drivers\zLBT.exe (396)
______ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (448)
______ C:\Program Files\SuperCopier2\SuperCopier2.exe (1108)
______ C:\Program Files\Menara\dslmon.exe (1152)
______ C:\WINDOWS\system32\svchost.exe (1216)
______ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (1788)
______ C:\Program Files\Opera\opera.exe (2816)
______ C:\Program Files\Windows Live\Messenger\usnsvc.exe (3820)
______ C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera\temporary_downloads\Rooter.exe (3100)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:33805868544)
.
----------------------\\ Scheduled Tasks
.
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\Tasks\SA.DAT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 22:13.43
.
C:\Rooter$\Rooter_1.txt - (29/09/2009 | 22:13.43)
********************************************************
Rapport Malawarebytes
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2
29/09/2009 22:45:15
mbam-log-2009-09-29 (22-45-15).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 130520
Temps écoulé: 29 minute(s), 55 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\zLBT.exe (Worm.Palevo) -> Delete on reboot.
*******************************************************************
Rapport RSIT (log.txt)
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-09-29 22:52:46
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 4 GB (13%) free of 32 GB
Total RAM: 255 MB (8% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:11, on 29/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera\temporary_downloads\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate1ca3bac696603ec) (gupdate1ca3bac696603ec) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Voilà, depuis quelque jours il y a plusieurs fichiers quii se créent automatiquement du genre a25b156.exe et a chaque fois que je fais une recherche, l'antivirus ne détécte rien et il y a aussi une connexion z-connect qui se crée automatiquement et m'empéche de me connecter !! voila le rapport de Rooter , Malawarebytes et RSIT, au cas où ça pourrait vous aidez..
Merci d'avance
**********************************************
rapport rooter
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 2
[32_bits] - x86 Family 15 Model 2 Stepping 9, GenuineIntel
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Disabled !
.
Internet Explorer 7.0.5730.11
.
A:\ [Removable]
C:\ [Fixed-NTFS] .. ( Total:31 Go - Free:4 Go )
D:\ [CD_Rom]
E:\ [CD_Rom]
.
Scan : 22:13.27
Path : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera\temporary_downloads\Rooter.exe
User : Administrateur ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (488)
______ \??\C:\WINDOWS\system32\csrss.exe (544)
______ \??\C:\WINDOWS\system32\winlogon.exe (568)
______ C:\WINDOWS\system32\services.exe (612)
______ C:\WINDOWS\system32\lsass.exe (632)
______ C:\WINDOWS\system32\svchost.exe (784)
______ C:\WINDOWS\system32\svchost.exe (832)
______ C:\WINDOWS\System32\svchost.exe (876)
______ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1048)
______ C:\Program Files\Alwil Software\Avast4\ashServ.exe (1092)
______ C:\WINDOWS\Explorer.EXE (1316)
______ C:\WINDOWS\system32\spoolsv.exe (1504)
______ C:\WINDOWS\System32\svchost.exe (1588)
______ C:\WINDOWS\system32\nvsvc32.exe (1640)
______ C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (1736)
______ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (168)
______ C:\Program Files\Analog Devices\SoundMAX\SMTray.exe (188)
______ C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe (208)
______ C:\WINDOWS\system32\drivers\zLBT.exe (396)
______ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (448)
______ C:\Program Files\SuperCopier2\SuperCopier2.exe (1108)
______ C:\Program Files\Menara\dslmon.exe (1152)
______ C:\WINDOWS\system32\svchost.exe (1216)
______ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (1788)
______ C:\Program Files\Opera\opera.exe (2816)
______ C:\Program Files\Windows Live\Messenger\usnsvc.exe (3820)
______ C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera\temporary_downloads\Rooter.exe (3100)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:33805868544)
.
----------------------\\ Scheduled Tasks
.
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\Tasks\SA.DAT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 22:13.43
.
C:\Rooter$\Rooter_1.txt - (29/09/2009 | 22:13.43)
********************************************************
Rapport Malawarebytes
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2
29/09/2009 22:45:15
mbam-log-2009-09-29 (22-45-15).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 130520
Temps écoulé: 29 minute(s), 55 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\zLBT.exe (Worm.Palevo) -> Delete on reboot.
*******************************************************************
Rapport RSIT (log.txt)
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-09-29 22:52:46
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 4 GB (13%) free of 32 GB
Total RAM: 255 MB (8% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:11, on 29/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera\temporary_downloads\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate1ca3bac696603ec) (gupdate1ca3bac696603ec) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
A voir également:
- Z-connect , virus insuprimable
- Code ascii de a à z - Guide
- Gpu z - Télécharger - Informations & Diagnostic
- Virus mcafee - Accueil - Piratage
- Cpu z - Télécharger - Informations & Diagnostic
- France connect - Guide
25 réponses
Bonjour,
Tu peux vider la quarantaine de malware et ensuite as tu redémarré, comme demandé par malware?
De plus le rapport info.txt n'est pas complet essaye de faire comme ceci :
( C:\RSIT\log.txt et C:\RSIT\info.txt )
CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller
Petite chose à faire pour les rapports générés par RSIT avant de continuer
▶ Vous devez fusionner les deux rapports.
▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt dans un bloc note pour ne faire qu'un seul rapport.
▶ Ensuite enregistrer le rapport log.txt.
Ensuite :
▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
▶ Cliquez sur parcourir, puis sur cliquez ici pour déposer le fichier
▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
Tu peux vider la quarantaine de malware et ensuite as tu redémarré, comme demandé par malware?
De plus le rapport info.txt n'est pas complet essaye de faire comme ceci :
( C:\RSIT\log.txt et C:\RSIT\info.txt )
CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller
Petite chose à faire pour les rapports générés par RSIT avant de continuer
▶ Vous devez fusionner les deux rapports.
▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt dans un bloc note pour ne faire qu'un seul rapport.
▶ Ensuite enregistrer le rapport log.txt.
Ensuite :
▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
▶ Cliquez sur parcourir, puis sur cliquez ici pour déposer le fichier
▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
Oui, j'ai suivi des étapes qu'avait expliqué un technicien a une une personne qui avait le méme dysfonctionnement que moi... et parmis ces étapes, il y avait l'utilisation de Combofix, j'aurais pas dû ?!
p.s: apparemment le dysfonctionnement est résolu c'est a dire qu'il n'y a plus de perte de connexion mais en même temps, il y a toujours une connexion nommé z-connect dans le panneau de config , et des programes du genre B12D101.exe sur C:/
p.s: apparemment le dysfonctionnement est résolu c'est a dire qu'il n'y a plus de perte de connexion mais en même temps, il y a toujours une connexion nommé z-connect dans le panneau de config , et des programes du genre B12D101.exe sur C:/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pour demain :
Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.
! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !
! Déconnecte toi ferme toutes tes applications en cours !
▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").
▶ Choisis la langue souhaitée et valide par "entrée".
▶ Au second menu choisis l'option 1 : Mode Recherche
▶ Laisse travailler l'outil.
▶ Une fois le scan Terminé ,un rapport s'ouvre .
Ensuite héberger le rapport :
▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
▶ Cliquez sur parcourir, puis sur cliquez ici pour déposer le fichier
▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.
! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !
! Déconnecte toi ferme toutes tes applications en cours !
▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").
▶ Choisis la langue souhaitée et valide par "entrée".
▶ Au second menu choisis l'option 1 : Mode Recherche
▶ Laisse travailler l'outil.
▶ Une fois le scan Terminé ,un rapport s'ouvre .
Ensuite héberger le rapport :
▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
▶ Cliquez sur parcourir, puis sur cliquez ici pour déposer le fichier
▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
Re,
j'ai éssayé de faire ce que tu m'a dis, mais apparement le lien pour List&Kill'em ne fonctionne pas.
j'ai éssayé de faire ce que tu m'a dis, mais apparement le lien pour List&Kill'em ne fonctionne pas.
ça marche, voici le lien pour le rapport :
http://www.cijoint.fr/cjlink.php?file=cj200910/cij0JhXyPX.txt
Merci
http://www.cijoint.fr/cjlink.php?file=cj200910/cij0JhXyPX.txt
Merci
▶ Télécharge OTM (de Old_Timer) sur ton Bureau
▶ Double-clique sur OTM.exe pour le lancer.
▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".
-----------------------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
:Commands
[purity]
[emptytemp]
[Reboot]
-----------------------------------------------------------------------------
▶ clique sur MoveIt! pour lancer la suppression.
▶ Le résultat apparaitra dans le cadre "Results".
▶ Clique sur Exit pour fermer.
▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
ensuite :
! Déconnecte toi ferme toutes tes applications en cours !
▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").
▶ Choisis la langue souhaitée et valide par "entrée".
▶ Choisis cette fois ci l'option 2 : Mode Destruction
▶ Laisse travailler l'outil.
▶ Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.
Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt
▶ Double-clique sur OTM.exe pour le lancer.
▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".
-----------------------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
:Commands
[purity]
[emptytemp]
[Reboot]
-----------------------------------------------------------------------------
▶ clique sur MoveIt! pour lancer la suppression.
▶ Le résultat apparaitra dans le cadre "Results".
▶ Clique sur Exit pour fermer.
▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
ensuite :
! Déconnecte toi ferme toutes tes applications en cours !
▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").
▶ Choisis la langue souhaitée et valide par "entrée".
▶ Choisis cette fois ci l'option 2 : Mode Destruction
▶ Laisse travailler l'outil.
▶ Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.
Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt
1er rapport :
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\ deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 2861135 bytes
->Temporary Internet Files folder emptied: 12087679 bytes
->FireFox cache emptied: 5102525 bytes
->Google Chrome cache emptied: 594288 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: hadj
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: user
->Temp folder emptied: 189037 bytes
->Temporary Internet Files folder emptied: 3727110 bytes
->FireFox cache emptied: 20368033 bytes
->Google Chrome cache emptied: 594288 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114937 bytes
%systemroot%\System32 .tmp files removed: 3600896 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_450.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 16347254 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 64,52 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10012009_172307
Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_450.dat moved successfully.
Registry entries deleted on Reboot...
2ème rapport :
Kill'em by g3n-h@ckm@n 1.0.3.2
updated on 25.09.2009 ::::: 23.54
Microsoft Windows XP [version 5.1.2600]
01/10/2009 17:33:56,09
Fichiers analysés :
=================
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\WINDOWS\system32\404Fix.exe"
"C:\WINDOWS\system32\dumphive.exe"
"C:\WINDOWS\system32\IEDFix.exe"
"C:\WINDOWS\system32\Process.exe"
"C:\WINDOWS\system32\SrchSTS.exe"
"C:\WINDOWS\system32\tmp.reg"
"C:\WINDOWS\system32\VACFix.exe"
"C:\WINDOWS\system32\VCCLSID.exe"
"C:\WINDOWS\system32\WS2Fix.exe"
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :
Quarantaine :
404Fix.exe.Kill'em
dumphive.exe.Kill'em
IEDFix.exe.Kill'em
Process.exe.Kill'em
SrchSTS.exe.Kill'em
tmp.reg.Kill'em
VACFix.exe.Kill'em
VCCLSID.exe.Kill'em
WS2Fix.exe.Kill'em
¤¤¤¤¤¤¤¤¤¤ Verification :
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\ deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 2861135 bytes
->Temporary Internet Files folder emptied: 12087679 bytes
->FireFox cache emptied: 5102525 bytes
->Google Chrome cache emptied: 594288 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: hadj
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: user
->Temp folder emptied: 189037 bytes
->Temporary Internet Files folder emptied: 3727110 bytes
->FireFox cache emptied: 20368033 bytes
->Google Chrome cache emptied: 594288 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114937 bytes
%systemroot%\System32 .tmp files removed: 3600896 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_450.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 16347254 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 64,52 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10012009_172307
Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_450.dat moved successfully.
Registry entries deleted on Reboot...
2ème rapport :
Kill'em by g3n-h@ckm@n 1.0.3.2
updated on 25.09.2009 ::::: 23.54
Microsoft Windows XP [version 5.1.2600]
01/10/2009 17:33:56,09
Fichiers analysés :
=================
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\WINDOWS\system32\404Fix.exe"
"C:\WINDOWS\system32\dumphive.exe"
"C:\WINDOWS\system32\IEDFix.exe"
"C:\WINDOWS\system32\Process.exe"
"C:\WINDOWS\system32\SrchSTS.exe"
"C:\WINDOWS\system32\tmp.reg"
"C:\WINDOWS\system32\VACFix.exe"
"C:\WINDOWS\system32\VCCLSID.exe"
"C:\WINDOWS\system32\WS2Fix.exe"
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :
Quarantaine :
404Fix.exe.Kill'em
dumphive.exe.Kill'em
IEDFix.exe.Kill'em
Process.exe.Kill'em
SrchSTS.exe.Kill'em
tmp.reg.Kill'em
VACFix.exe.Kill'em
VCCLSID.exe.Kill'em
WS2Fix.exe.Kill'em
¤¤¤¤¤¤¤¤¤¤ Verification :
C'est parfais, maintenant ceci :
Télécharge GenProc sur ton bureau afin de voir ce qu'il à ton pc.
Double-clique sur GenProc.exe
et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.
Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.
Voir comment utiliser GenProc
IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )
Télécharge GenProc sur ton bureau afin de voir ce qu'il à ton pc.
Double-clique sur GenProc.exe
et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.
Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.
Voir comment utiliser GenProc
IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )
voilà :
Rapport GenProc 2.633 [1] - 01/10/2009 à 23:57:58
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (7.0.5730.11) [Navigateur par défaut]
~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- MBR.exe http://www2.gmer.net/mbr/mbr.exe (Gmer) sur le Bureau.
Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Administrateur *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).
# Etape 2/
Double-clique sur le fichier MBR_GenProc.bat situé sur ton Bureau et patiente.
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport mbr.log situé sur le Bureau ;
- Un nouveau rapport HijackThis ;
- Un nouveau rapport GenProc ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
~~ Arguments de la procédure ~~
# Détections [1] GenProc 2.633 01/10/2009 à 23:58:18
MBR:le 01/10/2009 à 23:58:57 sector 0x4a98cc5 size 0x1ac
----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------
~~ Fin à 23:59:40 ~~
Rapport GenProc 2.633 [1] - 01/10/2009 à 23:57:58
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (7.0.5730.11) [Navigateur par défaut]
~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- MBR.exe http://www2.gmer.net/mbr/mbr.exe (Gmer) sur le Bureau.
Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Administrateur *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).
# Etape 2/
Double-clique sur le fichier MBR_GenProc.bat situé sur ton Bureau et patiente.
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport mbr.log situé sur le Bureau ;
- Un nouveau rapport HijackThis ;
- Un nouveau rapport GenProc ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
~~ Arguments de la procédure ~~
# Détections [1] GenProc 2.633 01/10/2009 à 23:58:18
MBR:le 01/10/2009 à 23:58:57 sector 0x4a98cc5 size 0x1ac
----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------
~~ Fin à 23:59:40 ~~
tu peux faire la procédure genproc et me poster tout les rapports demandé.
Re,
c'est fait et voilà les 3 rapports :
mbr.log :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a98cc5 size 0x1ac !
Hijackthis.log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:26:52, on 02/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21073)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.237 62.251.229.223
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate1ca3bac696603ec) (gupdate1ca3bac696603ec) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
c'est fait et voilà les 3 rapports :
mbr.log :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a98cc5 size 0x1ac !
Hijackthis.log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:26:52, on 02/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21073)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.237 62.251.229.223
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate1ca3bac696603ec) (gupdate1ca3bac696603ec) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Fait moi ceci :
Gmer est un détecteur de rootkits puissant.
Utilisation :
* Télécharger Gmer
* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaitre en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Gmer est un détecteur de rootkits puissant.
Utilisation :
* Télécharger Gmer
* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaitre en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
C'est fait aussi :
il y a plusieurs lignes qui apparaissent mais pas en rouge :
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit quick scan 2009-10-02 12:34:02
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\agxyrkoc.sys
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a98cc5 size 0x1ac
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
---- EOF - GMER 1.0.15 ----
il y a plusieurs lignes qui apparaissent mais pas en rouge :
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit quick scan 2009-10-02 12:34:02
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\agxyrkoc.sys
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a98cc5 size 0x1ac
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
---- EOF - GMER 1.0.15 ----
je me renseigne pour ça, c'est pas nette du tout : Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a98cc5 size 0x1ac
Bonjour,
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau. et renomme le en cherouss
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau. et renomme le en cherouss
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
oui tu ne t'occupe pas de ça :
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
Merci beaucoup pour votre réponse, j'ai fais ce que vous avez demandé : vider la quarantaine de malawarbytes + fusion des 2 rapports et voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj200909/cijFIzsIFb.txt