Firefox bloqué par rootkit?

saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention   -  
 gen-hackman -
Bonjour,
voila je vous expose mon problème je n'arrive pas a ouvrir firefox et quand je regarde les processus il s'ouvre monte jusqu'a 15000 et se ferme je suis donc obligé d'utilier Iexplorer. j'ai fait une analyse mbam et il m'a trouvé un rootkit qu'il a supprimé normalement. seulement firefox ne s'ouvre toujours.
pour info j'ai esayé de récupérer les musiques supprimées sur le ipod d'un ami donc dimanche soir ca marchait nickel et j'ai installé itune. lundi soir j'ai branché le ipod qui a tenté de se connecter et tout ca et après je me suis servi de copytrans doctor mais depuis hier soir (mardi) firefox refuse de s'ouvrir. j'ai supprimé itunes et les autres applications apple ainsi quecopytrans doctor avec revo uninstaller.
merci de m'aider
Configuration: Windows XP Internet Explorer 7.0

24 réponses

  • 1
  • 2
  1. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    qqun peut-il m'aider?
    0
  2. gen-hackman
     
    salut quel est le nom du rootkit que t'a viré MBAM ?
    0
  3. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    merci de m'avoir répondu
    voici le rapport
    Malwarebytes' Anti-Malware 1.42
    Version de la base de données: 3368
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    16/12/2009 10:46:52
    mbam-log-2009-12-16 (10-46-52).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 147925
    Temps écoulé: 3 hour(s), 4 minute(s), 16 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{E4FD8C5B-AC95-4F66-AB9C-3028A54974AC}\RP101\A0014314.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
    0
  4. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    bonsoir, j'ai réinstallé firefox et ca marche
    merci gen de m'avoir répondu et d'avoir regarder, si jamais t'as qqchose sur le rootkit je suis preneur
    merci A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    on va quand meme voir si tu n es pas plus infecté :

    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant scan all users

    ▶ règle-le sur "60 Days"

    ▶ dans la colonne de gauche , mets tout sur all

    ne modifie pas ceci :

    "files created whithin" et "files modified whithin"


    ▶Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt".
    0
  7. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    'soir

    http://www.cijoint.fr/cjlink.php?file=cj200912/cijY4mXiF6.txt

    http://www.cijoint.fr/cjlink.php?file=cj200912/cijktdATn5.txt
    0
  8. gen-hackman
     
    ▶ Double clic sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous Customs Scans/Fixes :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - No CLSID value found.

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    "LVCOMSX"=-
    "QuickTime Task"=-

    :files
    C:\WINDOWS\_delis32.ini

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur RunFix pour lancer la suppression.

    ▶ Poste le rapport.
    0
  9. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    Process msnmsgr.exe killed successfully!
    No active process named Teatimer.exe was found!
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}\ not found.
    File EY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] not found.
    ========== FILES ==========
    C:\WINDOWS\_delis32.ini moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Sento
    ->Temp folder emptied: 3120899 bytes
    ->Temporary Internet Files folder emptied: 743589742 bytes
    ->Java cache emptied: 13689480 bytes
    ->FireFox cache emptied: 56333419 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    Windows Temp folder emptied: 114688 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23972038 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 82372475 bytes

    Total Files Cleaned = 882,86 mb

    OTL by OldTimer - Version 3.1.18.0 log created on 12192009_015139

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    0
  10. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    voici le rapport

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    Process msnmsgr.exe killed successfully!
    No active process named Teatimer.exe was found!
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}\ not found.
    File EY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] not found.
    ========== FILES ==========
    C:\WINDOWS\_delis32.ini moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Sento
    ->Temp folder emptied: 3120899 bytes
    ->Temporary Internet Files folder emptied: 743589742 bytes
    ->Java cache emptied: 13689480 bytes
    ->FireFox cache emptied: 56333419 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    Windows Temp folder emptied: 114688 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23972038 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 82372475 bytes

    Total Files Cleaned = 882,86 mb

    OTL by OldTimer - Version 3.1.18.0 log created on 12192009_015139

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    0
  11. gen-hackman
     
    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    ▶ Télécharge et installe List&Kill'em et enregistre le sur ton bureau

    double clique ( clic droit "executer en tant qu'administrateur pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    une fois terminée , laisse le programme se lancer seul

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.

    0
  12. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    salut

    List'em by g3n-h@ckm@n 1.1.6.0

    Thx to Chiquitine29.....& CCM team

    User : Sento (Administrateurs) # SENTO-390575693
    Update on 18/12/2009 by g3n-h@ckm@n ::::: 20:30
    Start at: 02:18:05 | 19/12/2009
    Contact : g3n-h@ckm@n sur CCM

    Intel(R) Celeron(TM) CPU 1200MHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Disabled
    AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local | 232,88 Go (166,92 Go free) | NTFS
    D:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\WINDOWS\System32\smss.exe 336
    C:\WINDOWS\system32\csrss.exe 440
    C:\WINDOWS\system32\winlogon.exe 468
    C:\WINDOWS\system32\services.exe 568
    C:\WINDOWS\system32\lsass.exe 580
    C:\WINDOWS\system32\svchost.exe 740
    C:\WINDOWS\system32\svchost.exe 800
    C:\WINDOWS\System32\svchost.exe 868
    C:\WINDOWS\system32\svchost.exe 904
    C:\WINDOWS\system32\svchost.exe 1100
    C:\WINDOWS\system32\svchost.exe 1172
    C:\WINDOWS\Explorer.EXE 1292
    C:\WINDOWS\system32\spoolsv.exe 1368
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 1416
    C:\WINDOWS\system32\svchost.exe 1508
    C:\WINDOWS\notepad.exe 1600
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1684
    C:\Program Files\Java\jre6\bin\jusched.exe 1692
    C:\WINDOWS\system32\LVCOMSX.EXE 1708
    C:\Program Files\Logitech\Video\LogiTray.exe 1732
    C:\WINDOWS\system32\ctfmon.exe 1772
    C:\Program Files\SuperCopier2\SuperCopier2.exe 1788
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe 1804
    C:\Program Files\Skype\Phone\Skype.exe 1828
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe 1844
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1948
    C:\Program Files\Logitech\Video\FxSvr2.exe 1992
    C:\Program Files\Java\jre6\bin\jqs.exe 2020
    C:\Program Files\CDBurnerXP\NMSAccessU.exe 160
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe 244
    C:\WINDOWS\system32\devldr32.exe 400
    C:\WINDOWS\system32\svchost.exe 644
    C:\WINDOWS\System32\alg.exe 2660
    C:\WINDOWS\system32\wbem\wmiapsrv.exe 2956
    C:\Program Files\Skype\Plugin Manager\skypePM.exe 3104
    C:\Program Files\Windows Live\Contacts\wlcomm.exe 3392
    C:\Program Files\Mozilla Firefox\firefox.exe 2028
    C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 2148
    C:\WINDOWS\system32\wscntfy.exe 3664
    C:\Program Files\List_Kill'em\List_Kill'em.exe 2052
    C:\WINDOWS\system32\cmd.exe 1944
    C:\WINDOWS\system32\wbem\wmiprvse.exe 3088
    C:\Documents and Settings\Sento\Local Settings\Temp\5.tmp\pv.exe 1448

    ======================
    Keys "Run"
    ======================
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
    msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    Skype REG_SZ "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    Sony Ericsson PC Suite REG_SZ "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
    LogitechSoftwareUpdate REG_SZ "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    LVCOMSX REG_SZ C:\WINDOWS\system32\LVCOMSX.EXE
    LogitechVideoRepair REG_SZ C:\Program Files\Logitech\Video\ISStart.exe
    LogitechVideoTray REG_SZ C:\Program Files\Logitech\Video\LogiTray.exe
    QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    =====================
    Other Keys
    =====================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)

    ===============
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveTypeAutoRun REG_DWORD 145 (0x91)
    LinkResolveIgnoreLinkInfo REG_DWORD 0 (0x0)

    ===============
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    HonorAutoRunSetting REG_DWORD 1 (0x1)
    LinkResolveIgnoreLinkInfo REG_DWORD 0 (0x0)
    NoResolveSearch REG_DWORD 1 (0x1)

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
    C:\Program Files\Azureus\Azureus.exe REG_SZ C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus
    C:\Program Files\Java\jre6\bin\javaw.exe REG_SZ C:\Program Files\Java\jre6\bin\javaw.exe:*:Disabled:Java(TM) Platform SE binary
    C:\WINDOWS\system32\dpvsetup.exe REG_SZ C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test
    C:\Program Files\Mozilla Firefox\firefox.exe REG_SZ C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox
    C:\Program Files\Skype\Phone\Skype.exe REG_SZ C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger

    ===============
    BHO :
    ======
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{C920E44A-7F78-4E64-BDD7-A57026E7FEB7}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

    ================
    Internet Explorer :
    ================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.google.fr/?gws_rd=ssl

    ========
    Services
    ========
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3
    EapHost : 0x3
    SharedAccess : 0x2
    wuauserv : 0x2

    =========

    C:\Autorun.inf :
    ----------------
    [autorun]
    icon=vista.ico
    =======
    Drive :
    =======

    D‚fragmenteur de disque Windows
    Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

    Rapport d'analyse
    233 Go total, 167 Go libre (71%), 11% fragment‚ (fragmentation du fichier 23%)

    Vous devriez d‚fragmenter ce volume.

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    C:\WINDOWS\System32\drivers\etc\hosts.msn
    C:\Documents and Settings\Sento\Application Data\GDIPFONTCACHEV1.DAT

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
    HKLM\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}

    ================
    Other infections
    ================

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-12-19 02:23:40
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9AE44EA1-934E-A292-624A-641EC0660C21}]
    "abgohpmihonikomcadeoeccoooknmkbpna"=hex:6a,61,6a,68,68,63,69,62,66,67,68,61,64,66,67,65,63,67,66,70,00,..
    "paepbanfkicfccjohoofjcjdgejifdji"=hex:6a,61,6a,68,68,63,69,62,66,67,68,61,64,66,67,65,63,67,66,70,00,..

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ==========
    Programs
    ==========

    Adobe
    adslTV
    Avanquest update
    Avira
    Axon Data
    Azureus
    CCleaner
    CDBurnerXP
    ComPlus Applications
    Defraggler
    DivX
    Easy Video Joiner
    ffdshow
    Fichiers communs
    Free Video Converter
    InstallShield Installation Information
    Internet Explorer
    IObit
    Java
    K-Lite Codec Pack
    List_Kill'em
    Logitech
    Malwarebytes' Anti-Malware
    Messenger
    Messenger Plus! Live
    Microsoft
    Microsoft CAPICOM 2.1.0.2
    microsoft frontpage
    Microsoft Office
    Movie Maker
    Mozilla Firefox
    Mozilla Thunderbird
    MSBuild
    MSN
    MSN Gaming Zone
    MSXML 4.0
    NetMeeting
    Online Services
    Outlook Express
    Paint.NET
    PC Inspector File Recovery
    QuickTime
    Reference Assemblies
    Services en ligne
    Sharest
    Skype
    Sony Ericsson
    StuffPlug3
    Sunbelt Software
    SuperCopier2
    Tunatic
    Uninstall Information
    VideoLAN
    VS Revo Group
    Windows Live
    Windows Live SkyDrive
    Windows Media Connect 2
    Windows Media Player
    Windows NT
    WindowsUpdate
    WinRAR
    WOT
    xerox

    ============
    Lecteur C:
    ============

    689cacd2a129537325
    AUTOEXEC.BAT
    autorun.inf
    boot.ini
    Bootfont.bin
    Config.Msi
    CONFIG.SYS
    Documents and Settings
    hiberfil.sys
    IO.SYS
    Kill'em
    List'em.txt
    MSDOS.SYS
    NTDETECT.COM
    ntldr
    pagefile.sys
    Program Files
    RECYCLER
    System Volume Information
    vista.ico
    WINDOWS
    _OTL

    ¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

    C:\Documents and Settings\Sento\Mes documents\Downloads\Compressed\Advanced SystemCARE 3.4.1.685_Multi + Patch_Keygen.rar

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  13. gen-hackman
     
    ▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

    mais cette fois-ci :

    ▶ choisis l'option 2 = Mode Destruction

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre

    ▶ colle le contenu dans ta reponse
    0
  14. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    Kill'em by g3n-h@ckm@n 1.1.6.0

    User : Sento (Administrateurs) # SENTO-390575693
    Update on 18/12/2009 by g3n-h@ckm@n ::::: 20:30
    Start at: 16:35:25 | 19/12/2009
    Contact : g3n-h@ckm@n sur CCM

    Intel(R) Celeron(TM) CPU 1200MHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Disabled
    AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local | 232,88 Go (166,96 Go free) | NTFS
    D:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\WINDOWS\System32\smss.exe 336
    C:\WINDOWS\system32\csrss.exe 440
    C:\WINDOWS\system32\winlogon.exe 468
    C:\WINDOWS\system32\services.exe 568
    C:\WINDOWS\system32\lsass.exe 580
    C:\WINDOWS\system32\svchost.exe 740
    C:\WINDOWS\system32\svchost.exe 800
    C:\WINDOWS\System32\svchost.exe 868
    C:\WINDOWS\system32\svchost.exe 904
    C:\WINDOWS\system32\svchost.exe 1100
    C:\WINDOWS\system32\svchost.exe 1172
    C:\WINDOWS\Explorer.EXE 1292
    C:\WINDOWS\system32\spoolsv.exe 1368
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 1416
    C:\WINDOWS\system32\svchost.exe 1508
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1684
    C:\Program Files\Java\jre6\bin\jusched.exe 1692
    C:\WINDOWS\system32\LVCOMSX.EXE 1708
    C:\Program Files\Logitech\Video\LogiTray.exe 1732
    C:\WINDOWS\system32\ctfmon.exe 1772
    C:\Program Files\SuperCopier2\SuperCopier2.exe 1788
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe 1804
    C:\Program Files\Skype\Phone\Skype.exe 1828
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe 1844
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1948
    C:\Program Files\Logitech\Video\FxSvr2.exe 1992
    C:\Program Files\Java\jre6\bin\jqs.exe 2020
    C:\Program Files\CDBurnerXP\NMSAccessU.exe 160
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe 244
    C:\WINDOWS\system32\devldr32.exe 400
    C:\WINDOWS\system32\svchost.exe 644
    C:\WINDOWS\System32\alg.exe 2660
    C:\WINDOWS\system32\wbem\wmiapsrv.exe 2956
    C:\Program Files\Skype\Plugin Manager\skypePM.exe 3104
    C:\Program Files\Windows Live\Contacts\wlcomm.exe 3392
    C:\WINDOWS\system32\wscntfy.exe 3664
    C:\Program Files\Mozilla Firefox\firefox.exe 3604
    C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 1120
    C:\Program Files\List_Kill'em\List_Kill'em.exe 1284
    C:\WINDOWS\system32\cmd.exe 3672
    C:\WINDOWS\system32\wbem\wmiprvse.exe 2568
    C:\Documents and Settings\Sento\Local Settings\Temp\A.tmp\pv.exe 2792

    Detections :
    ==========

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    "C:\WINDOWS\System32\drivers\etc\hosts.msn"

    ¤¤¤¤¤¤¤¤¤¤ Files/folders deleted :

    Quarantine :

    hosts.msn.Kill'em

    ==============
    host file OK !
    ==============

    ========
    Registry
    ========
    Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe
    Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

    ============
    Disk Cleaned
    ============

    ================
    Prefetch cleaned
    ================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  15. gen-hackman
     
    ▶ Télécharge FindyKill de Chiquitine29 sur ton bureau :

    http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Double clique (clic droit "en tant qu'administrateur" pour Vista) sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

    ▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    ▶ Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  16. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    ############################## | FindyKill V5.021 |

    # User : Sento (Administrateurs) # SENTO-390575693
    # Update on 10/12/2009 by Chiquitine29
    # Start at: 17:32:32 | 19/12/2009
    # Website : http://pagesperso-orange.fr/NosTools/index.html
    # Contact : FindyKill.Contact@gmail.com

    # Intel(R) Celeron(TM) CPU 1200MHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 8.0.6001.18702
    # Windows Firewall Status : Disabled
    # AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 232,88 Go (166,96 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque fixe local # 149,05 Go (142,06 Go free) [DD ETERNE] # NTFS

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
    C:\WINDOWS\system32\devldr32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | C: |

    Présent ! C:\autorun.inf

    ################## | C:\WINDOWS |

    ################## | C:\WINDOWS\system32 |

    ################## | C:\WINDOWS\system32\drivers |

    ################## | C:\Documents and Settings\Sento\Application Data |

    ################## | Temporary Internet Files |

    ################## | Registre / Clés infectieuses |

    Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
    Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
    Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
    Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
    Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

    ################## | Etat / Services / Informations |

    # Affichage des fichiers cachés : OK

    # Mode sans echec : OK

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
    # Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
    # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # FindyKill V5.021 ! |
    0
  17. gen-hackman
     
    ########### [ Option 2 ( Suppression ) ]

    ▶ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

    ▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    ▶ Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

    ▶ Le pc va redémarrer automatiquement ...

    ▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

    ▶ Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

    ▶ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
    0
  18. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    bonsoir désolé d'avoir tardé

    ############################## | FindyKill V5.021 |

    # User : Sento (Administrateurs) # SENTO-390575693
    # Update on 10/12/2009 by Chiquitine29
    # Start at: 20:54:29 | 22/12/2009
    # Website : http://pagesperso-orange.fr/NosTools/index.html
    # Contact : FindyKill.Contact@gmail.com

    # Intel(R) Celeron(TM) CPU 1200MHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 8.0.6001.18702
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 232,88 Go (164,1 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque fixe local # 149,05 Go (142,06 Go free) [DD ETERNE] # NTFS

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | C: |

    Supprimé ! C:\"autorun.inf"

    ################## | C:\WINDOWS |

    Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

    ################## | C:\WINDOWS\system32 |

    ################## | C:\WINDOWS\system32\drivers |

    ################## | C:\Documents and Settings\Sento\Application Data |

    ################## | Autres suppressions ... |

    ################## | Temporary Internet Files |

    ################## | Registre / Clés infectieuses |

    Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
    Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
    Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
    Supprimé ! [HKLM\software\microsoft\security center] "FirewallOverride"
    Supprimé ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

    ################## | Etat / Services / Informations |

    # Mode sans echec : OK

    # Affichage des fichiers cachés : OK

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
    # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
    # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | PEH ... |

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # FindyKill V5.021 ! |
    0
  19. saint_tout Messages postés 92 Date d'inscription   Statut Membre Dernière intervention  
     
    non plus aucun
    0
  20. gen-hackman
     
    mets malwarebytes a jour et fais un scan complet et si negatif , on cloture
    0
  • 1
  • 2