Possible infection
Fermé
yoyo173fr
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
-
29 déc. 2009 à 00:03
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 30 déc. 2009 à 02:52
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 30 déc. 2009 à 02:52
A voir également:
- Possible infection
- Infection ou pas? ✓ - Forum Virus
- Infection pc ✓ - Forum Virus
- [Pnkbstra]infection ✓ - Forum Virus
- Infection virus ✓ - Forum Virus
- Infection Bloom ? ✓ - Forum Virus
15 réponses
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
29 déc. 2009 à 00:28
29 déc. 2009 à 00:28
Soir'
Formatage... pffffff...
C'est tout ce que tu trouves a dire Lolo ??
yoyo173fr,
Relance MBAM ( MalwareBytes_AntiMalware )
Clique sur l'onglet Mise a jour, et laisse le faire.
Ensuite,
* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
* Si des malwares ont été détectés, leur liste s'affiche.
Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
Tutoriel si tu as besoin d'aide.
Formatage... pffffff...
C'est tout ce que tu trouves a dire Lolo ??
yoyo173fr,
Relance MBAM ( MalwareBytes_AntiMalware )
Clique sur l'onglet Mise a jour, et laisse le faire.
Ensuite,
* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
* Si des malwares ont été détectés, leur liste s'affiche.
Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
Tutoriel si tu as besoin d'aide.
00lina00
Messages postés
29347
Date d'inscription
lundi 1 décembre 2008
Statut
Modérateur
Dernière intervention
5 août 2023
1 099
29 déc. 2009 à 00:51
29 déc. 2009 à 00:51
Bonsoir,
On se calme ........... on respire un bon coup ............. et surtout on laisse les pros faire le boulot ;)
On se calme ........... on respire un bon coup ............. et surtout on laisse les pros faire le boulot ;)
lolo321
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
29 déc. 2009 à 00:07
29 déc. 2009 à 00:07
Formatage. Coupe ta connection internet le plus osuvent possible. Arrete les logiciels P2p (shareaza, emule...)
lolo321
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
29 déc. 2009 à 00:19
29 déc. 2009 à 00:19
C'est a& moi que tu parles, M@thew ? C'est une vraie question, ne le prends pas mal
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
29 déc. 2009 à 00:24
29 déc. 2009 à 00:24
Salut yoyo173fr
Télécharge combofix.exe (de sUBs) sur le bureau :
Faire un clic droit sur ce lien :
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Pour Internet Explorer
- Choisi Enregistrer la cible sous ...
Pour Firefox
- Choisi Enregistrer la cible du lien sous...
- Choisi le bureau comme lieu d'enregistrement
- Donne lui ce nom yoyo.exe clique sur Enregistrer
Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==
Double clique sur yoyo.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
Télécharge combofix.exe (de sUBs) sur le bureau :
Faire un clic droit sur ce lien :
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Pour Internet Explorer
- Choisi Enregistrer la cible sous ...
Pour Firefox
- Choisi Enregistrer la cible du lien sous...
- Choisi le bureau comme lieu d'enregistrement
- Donne lui ce nom yoyo.exe clique sur Enregistrer
Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==
Double clique sur yoyo.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
lolo321
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
29 déc. 2009 à 00:25
29 déc. 2009 à 00:25
Le lien, c'est que il nettoie avec son antivirus, il fait ce que j'ai dit (a part le formatage), et il a de quatre a cinq fois moins de chance de s'attraper des troyens...etc...etc...Sinon, il y a en drenier recours, le formatage qui fera un vrai nettoyage. Si tu as des comentaires a faire, done nous une solution, et apres on verra, d'accord ,
lolo321
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
29 déc. 2009 à 00:40
29 déc. 2009 à 00:40
Ca se la pete beaucoup ici a ce que je vois, mais pour ce genre de probleme, il y a pas de quoi...
lolo321
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
29 déc. 2009 à 00:43
29 déc. 2009 à 00:43
Pour moi, formatage = on ré-installe un autre OS par dessus, et ca a toujours marché pour moi...Peut etre ce n'est pas le bon terme, ok
lolo321
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
29 déc. 2009 à 00:54
29 déc. 2009 à 00:54
Oui, madame. Allez, je plaisante, personne ne peut s'enerver pour si peu. Mais chapeau d'essayer de pacifier, la plupart des gens prennent du pop-corn et se delectent de rien.
^^Marie^^
Messages postés
113929
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 274
29 déc. 2009 à 14:12
29 déc. 2009 à 14:12
Bonjour
Pour suivre.
Pour suivre.
yoyo173fr
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
29 déc. 2009 à 22:57
29 déc. 2009 à 22:57
OK
Pour info je ne fais pas de P2P et je suis du genre prudent si je décide d'installer un soft
L'infection s'est faite par un simple surf sur Internet (avec OS a jour, MacAfee a jour, Mozilla a jour)
C'est là qu'ils sont plutôt fort avec leur virus
Après infection d'ailleurs MacAffe ne détectait rien, j'ai tenté de lancer Malwarebytes' Anti-Malware et là il ne se lancait pas
J'y suis allé a coup de kill violent de process avant de pouvoir le lancer
Et il a commencé le nettoyage
Je pensait avoir tout viré avec son passage. Le lendemain par contrôle je l'ai relancé et c'est là que j'ai constaté qu'il en restait et donc je suis venu ici demander de l'aide.
Du coup j'ai passé combofix et encore Malwarebytes' Anti-Malware et là il ne voit plus rien.
Dans les prochains posts les rapports demandés
Pour info je ne fais pas de P2P et je suis du genre prudent si je décide d'installer un soft
L'infection s'est faite par un simple surf sur Internet (avec OS a jour, MacAfee a jour, Mozilla a jour)
C'est là qu'ils sont plutôt fort avec leur virus
Après infection d'ailleurs MacAffe ne détectait rien, j'ai tenté de lancer Malwarebytes' Anti-Malware et là il ne se lancait pas
J'y suis allé a coup de kill violent de process avant de pouvoir le lancer
Et il a commencé le nettoyage
Je pensait avoir tout viré avec son passage. Le lendemain par contrôle je l'ai relancé et c'est là que j'ai constaté qu'il en restait et donc je suis venu ici demander de l'aide.
Du coup j'ai passé combofix et encore Malwarebytes' Anti-Malware et là il ne voit plus rien.
Dans les prochains posts les rapports demandés
yoyo173fr
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
29 déc. 2009 à 22:58
29 déc. 2009 à 22:58
rapport combofix demandé par dédétraqué
-------------
ComboFix 09-12-27.04 - Anonyme 29/12/2009 0:50.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.512 [GMT 1:00]
Lancé depuis: d:\datasuser\Bureau\yoyo.exe
AV: McAfee VirusScan Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
FW: McAfee Host Intrusion Prevention Firewall *enabled* {2F1275E3-2F4F-43E9-944B-3F63F9BDA5F5}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\INSTALL.LOG
c:\windows\Conf.reg
c:\windows\EventSystem.log
c:\windows\system32\RFHelper.dll
c:\windows\system32\srcr.dat
c:\windows\system32\tmp.reg
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
----- BITS: Il y a peut-être des sites infectés -----
hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.
2009-12-28 23:57 . 2009-12-28 23:57 40735 ----a-w- c:\windows\system32\api_hook_list.dat
2009-12-28 23:57 . 2009-06-25 12:57 39816 ----a-w- c:\windows\system32\HIPIS0e011aa.dll
2009-12-28 02:49 . 2009-12-28 02:49 -------- d-----w- d:\documents and settings\Anonyme\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 02:15 . 2009-12-28 02:15 -------- d-----w- d:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-28 02:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-28 02:15 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-25 09:46 . 2009-12-25 09:46 -------- d-----w- d:\documents and settings\Anonyme\Local Settings\Application Data\ArcSoft
2009-12-25 09:46 . 2009-12-25 16:00 -------- d-----w- d:\documents and settings\Anonyme\Application Data\ArcSoft
2009-12-25 09:45 . 2009-12-25 16:00 -------- d-----w- d:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 09:45 . 2004-05-04 10:53 1645320 ----a-w- c:\windows\system32\gdiplus.dll
2009-12-25 09:45 . 2009-12-25 09:45 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-25 09:45 . 2009-12-25 09:45 -------- d-----w- c:\program files\ArcSoft
2009-12-25 09:45 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-25 09:42 . 2009-12-25 09:42 -------- d-----w- c:\program files\Philips
2009-12-25 09:42 . 2009-12-25 09:42 -------- d-----w- d:\documents and settings\Anonyme\Application Data\InstallShield
2009-12-07 11:05 . 2009-11-17 00:04 5710 ----a-w- c:\windows\system32\IE7-Config-2009-10-28.vbs
2009-12-07 11:00 . 2009-12-28 03:25 -------- d--h--w- c:\windows\$hf_mig$
2009-12-07 11:00 . 2009-12-07 11:00 -------- d-----w- c:\program files\Log
2009-12-01 10:33 . 2004-09-27 06:54 49152 ----a-r- c:\windows\system32\SiSWBase.dll
2009-12-01 10:33 . 2004-09-27 06:54 237568 ----a-r- c:\windows\system32\SiSWPars.dll
2009-12-01 10:33 . 2004-09-27 06:54 155648 ----a-r- c:\windows\system32\SiSWInst.dll
2009-12-01 10:33 . 2004-12-29 07:34 167424 ----a-r- c:\windows\system32\drivers\sis163u.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 02:20 . 2008-01-09 16:28 75190 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-28 02:20 . 2008-01-09 16:28 468552 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-28 01:32 . 2008-10-11 12:33 -------- d-----w- d:\documents and settings\Anonyme\Application Data\FileZilla
2009-12-25 18:50 . 2008-10-08 12:08 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-22 01:28 . 2008-10-11 12:33 -------- d-----w- c:\program files\FileZilla FTP Client
2009-12-21 01:23 . 2008-11-09 00:12 -------- d-----w- d:\documents and settings\Anonyme\Application Data\GrabIt
2009-12-19 21:18 . 2008-11-17 01:09 -------- d-----w- d:\documents and settings\Anonyme\Application Data\dvdcss
2009-12-15 15:10 . 2008-10-09 22:55 -------- d-----w- d:\documents and settings\Anonyme\Application Data\XnView
2009-12-03 21:24 . 2008-10-21 07:28 136512 ----a-w- c:\windows\system32\KevlarSigs.dll
2009-11-28 16:47 . 2009-11-28 16:46 -------- d-----w- d:\documents and settings\Anonyme\Application Data\FreeOrion
2009-11-24 09:50 . 2009-11-24 09:50 -------- d-----w- d:\documents and settings\Administrateur\Application Data\Subversion
2009-11-24 09:19 . 2009-11-24 09:19 165232 ---ha-w- d:\documents and settings\S240836\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll
2009-11-24 09:11 . 2009-11-24 09:11 -------- d-----w- d:\documents and settings\S240836\Application Data\Subversion
2009-11-24 09:08 . 2009-11-24 09:08 8192 ----a-w- c:\windows\system32\srvany.exe
2009-11-12 16:45 . 2008-10-10 07:25 -------- d-----w- c:\program files\PSPad editor
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2009-06-25 136512]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2009-01-27 111952]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-05 144384]
"McAfee Host Intrusion Prevention Tray"="c:\program files\McAfee\Host Intrusion Prevention\FireTray.exe" [2009-06-25 979104]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
d:\documents and settings\Anonyme\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers SetConf.lnk - d:\log\SetConf.bat [2008-10-9 2990]
d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
InstantTimeZone.lnk - c:\program files\InstantTimeZone\InstantTimeZone.exe [2008-5-8 1728199]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\0]
"Script"=logon.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\1\0]
"Script"=UnsetProxySettings.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\0]
"Script"=logon.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R2 enterceptAgent;McAfee Host Intrusion Prevention Service;c:\program files\McAfee\Host Intrusion Prevention\FireSvc.exe [25/06/2009 13:57 1489984]
R2 Gdparc;Gestion de parc;c:\windows\system32\srvany.exe [24/11/2009 10:08 8192]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [18/11/2008 09:21 70728]
R2 WebDriveFSD;WebDrive File System Driver;c:\program files\Netdrive\rffsd.sys [27/02/2009 14:15 67032]
R3 FirehkMP;FirehkMP;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
R3 HIPK;McAfee Inc. HIPK;c:\windows\system32\drivers\HIPK.sys [21/10/2008 08:28 110384]
R3 HIPPSK;McAfee Inc. HIPPSK;c:\windows\system32\drivers\HIPPSK.sys [21/10/2008 08:28 38200]
R3 HIPQK;McAfee Inc. HIPQK;c:\windows\system32\drivers\HIPQK.sys [21/10/2008 08:28 35584]
R3 hips;McAfee HIPSCore Service;c:\program files\McAfee\Host Intrusion Prevention\HIPSCore\HIPSvc.exe [04/09/2009 11:56 35696]
S3 Firehk;McAfee NDIS Intermediate Filter;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
S3 ndfs;ndfs;\??\c:\program files\Netdrive\ndfs.sys --> c:\program files\Netdrive\ndfs.sys [?]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [01/12/2009 11:33 167424]
S4 RFNP32;WebDrive Provider; [x]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\IE7-Config-2009-10-28]
2004-08-05 12:00 114688 ----a-w- c:\windows\system32\wscript.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://SiteAnonymisé/fr-fr/
uInternet Settings,ProxyOverride = 172.*;<local>
uInternet Settings,ProxyServer = www-proxy:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: MCInstallCAB - hxxps://content101.mc.iconf.net/gcc_installer/mcInstall.CAB
FF - ProfilePath - d:\documents and settings\Anonyme\Application Data\Mozilla\Firefox\Profiles\fsljuf7z.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://crahweb/activedirectory/
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-HijackThis - d:\datasuser\Bureau\HijackThis.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 00:58
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1460)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
- - - - - - - > 'lsass.exe'(1516)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
- - - - - - - > 'explorer.exe'(2516)
c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
c:\program files\TortoiseSVN\bin\TortoiseStub.dll
c:\program files\TortoiseSVN\bin\TortoiseSVN.dll
c:\program files\TortoiseSVN\bin\intl3_tsvn.dll
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
- - - - - - - > 'csrss.exe'(1436)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\System32\GdParc\Gdparc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\sessmgr.exe
c:\program files\Network Associates\Common Framework\naPrdMgr.exe
c:\windows\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
c:\windows\system32\CCM\CcmExec.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Apoint\HidFind.exe
c:\program files\Apoint\Apntex.exe
c:\program files\Network Associates\Common Framework\McTray.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\program files\Pandion\Pandion.exe
.
**************************************************************************
.
Heure de fin: 2009-12-29 01:02:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-29 00:02
Avant-CF: 7 337 766 912 octets libres
Après-CF: 7 254 786 048 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 9754FA250DBCA2CDA159F73A7A91027D
-------------
ComboFix 09-12-27.04 - Anonyme 29/12/2009 0:50.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.512 [GMT 1:00]
Lancé depuis: d:\datasuser\Bureau\yoyo.exe
AV: McAfee VirusScan Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
FW: McAfee Host Intrusion Prevention Firewall *enabled* {2F1275E3-2F4F-43E9-944B-3F63F9BDA5F5}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\INSTALL.LOG
c:\windows\Conf.reg
c:\windows\EventSystem.log
c:\windows\system32\RFHelper.dll
c:\windows\system32\srcr.dat
c:\windows\system32\tmp.reg
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
----- BITS: Il y a peut-être des sites infectés -----
hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.
2009-12-28 23:57 . 2009-12-28 23:57 40735 ----a-w- c:\windows\system32\api_hook_list.dat
2009-12-28 23:57 . 2009-06-25 12:57 39816 ----a-w- c:\windows\system32\HIPIS0e011aa.dll
2009-12-28 02:49 . 2009-12-28 02:49 -------- d-----w- d:\documents and settings\Anonyme\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 02:15 . 2009-12-28 02:15 -------- d-----w- d:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-28 02:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-28 02:15 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-25 09:46 . 2009-12-25 09:46 -------- d-----w- d:\documents and settings\Anonyme\Local Settings\Application Data\ArcSoft
2009-12-25 09:46 . 2009-12-25 16:00 -------- d-----w- d:\documents and settings\Anonyme\Application Data\ArcSoft
2009-12-25 09:45 . 2009-12-25 16:00 -------- d-----w- d:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 09:45 . 2004-05-04 10:53 1645320 ----a-w- c:\windows\system32\gdiplus.dll
2009-12-25 09:45 . 2009-12-25 09:45 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-25 09:45 . 2009-12-25 09:45 -------- d-----w- c:\program files\ArcSoft
2009-12-25 09:45 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-25 09:42 . 2009-12-25 09:42 -------- d-----w- c:\program files\Philips
2009-12-25 09:42 . 2009-12-25 09:42 -------- d-----w- d:\documents and settings\Anonyme\Application Data\InstallShield
2009-12-07 11:05 . 2009-11-17 00:04 5710 ----a-w- c:\windows\system32\IE7-Config-2009-10-28.vbs
2009-12-07 11:00 . 2009-12-28 03:25 -------- d--h--w- c:\windows\$hf_mig$
2009-12-07 11:00 . 2009-12-07 11:00 -------- d-----w- c:\program files\Log
2009-12-01 10:33 . 2004-09-27 06:54 49152 ----a-r- c:\windows\system32\SiSWBase.dll
2009-12-01 10:33 . 2004-09-27 06:54 237568 ----a-r- c:\windows\system32\SiSWPars.dll
2009-12-01 10:33 . 2004-09-27 06:54 155648 ----a-r- c:\windows\system32\SiSWInst.dll
2009-12-01 10:33 . 2004-12-29 07:34 167424 ----a-r- c:\windows\system32\drivers\sis163u.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 02:20 . 2008-01-09 16:28 75190 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-28 02:20 . 2008-01-09 16:28 468552 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-28 01:32 . 2008-10-11 12:33 -------- d-----w- d:\documents and settings\Anonyme\Application Data\FileZilla
2009-12-25 18:50 . 2008-10-08 12:08 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-22 01:28 . 2008-10-11 12:33 -------- d-----w- c:\program files\FileZilla FTP Client
2009-12-21 01:23 . 2008-11-09 00:12 -------- d-----w- d:\documents and settings\Anonyme\Application Data\GrabIt
2009-12-19 21:18 . 2008-11-17 01:09 -------- d-----w- d:\documents and settings\Anonyme\Application Data\dvdcss
2009-12-15 15:10 . 2008-10-09 22:55 -------- d-----w- d:\documents and settings\Anonyme\Application Data\XnView
2009-12-03 21:24 . 2008-10-21 07:28 136512 ----a-w- c:\windows\system32\KevlarSigs.dll
2009-11-28 16:47 . 2009-11-28 16:46 -------- d-----w- d:\documents and settings\Anonyme\Application Data\FreeOrion
2009-11-24 09:50 . 2009-11-24 09:50 -------- d-----w- d:\documents and settings\Administrateur\Application Data\Subversion
2009-11-24 09:19 . 2009-11-24 09:19 165232 ---ha-w- d:\documents and settings\S240836\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll
2009-11-24 09:11 . 2009-11-24 09:11 -------- d-----w- d:\documents and settings\S240836\Application Data\Subversion
2009-11-24 09:08 . 2009-11-24 09:08 8192 ----a-w- c:\windows\system32\srvany.exe
2009-11-12 16:45 . 2008-10-10 07:25 -------- d-----w- c:\program files\PSPad editor
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2009-06-25 136512]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2009-01-27 111952]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-05 144384]
"McAfee Host Intrusion Prevention Tray"="c:\program files\McAfee\Host Intrusion Prevention\FireTray.exe" [2009-06-25 979104]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
d:\documents and settings\Anonyme\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers SetConf.lnk - d:\log\SetConf.bat [2008-10-9 2990]
d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
InstantTimeZone.lnk - c:\program files\InstantTimeZone\InstantTimeZone.exe [2008-5-8 1728199]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\0]
"Script"=logon.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\1\0]
"Script"=UnsetProxySettings.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\0]
"Script"=logon.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R2 enterceptAgent;McAfee Host Intrusion Prevention Service;c:\program files\McAfee\Host Intrusion Prevention\FireSvc.exe [25/06/2009 13:57 1489984]
R2 Gdparc;Gestion de parc;c:\windows\system32\srvany.exe [24/11/2009 10:08 8192]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [18/11/2008 09:21 70728]
R2 WebDriveFSD;WebDrive File System Driver;c:\program files\Netdrive\rffsd.sys [27/02/2009 14:15 67032]
R3 FirehkMP;FirehkMP;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
R3 HIPK;McAfee Inc. HIPK;c:\windows\system32\drivers\HIPK.sys [21/10/2008 08:28 110384]
R3 HIPPSK;McAfee Inc. HIPPSK;c:\windows\system32\drivers\HIPPSK.sys [21/10/2008 08:28 38200]
R3 HIPQK;McAfee Inc. HIPQK;c:\windows\system32\drivers\HIPQK.sys [21/10/2008 08:28 35584]
R3 hips;McAfee HIPSCore Service;c:\program files\McAfee\Host Intrusion Prevention\HIPSCore\HIPSvc.exe [04/09/2009 11:56 35696]
S3 Firehk;McAfee NDIS Intermediate Filter;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
S3 ndfs;ndfs;\??\c:\program files\Netdrive\ndfs.sys --> c:\program files\Netdrive\ndfs.sys [?]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [01/12/2009 11:33 167424]
S4 RFNP32;WebDrive Provider; [x]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\IE7-Config-2009-10-28]
2004-08-05 12:00 114688 ----a-w- c:\windows\system32\wscript.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://SiteAnonymisé/fr-fr/
uInternet Settings,ProxyOverride = 172.*;<local>
uInternet Settings,ProxyServer = www-proxy:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: MCInstallCAB - hxxps://content101.mc.iconf.net/gcc_installer/mcInstall.CAB
FF - ProfilePath - d:\documents and settings\Anonyme\Application Data\Mozilla\Firefox\Profiles\fsljuf7z.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://crahweb/activedirectory/
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-HijackThis - d:\datasuser\Bureau\HijackThis.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 00:58
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1460)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
- - - - - - - > 'lsass.exe'(1516)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
- - - - - - - > 'explorer.exe'(2516)
c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
c:\program files\TortoiseSVN\bin\TortoiseStub.dll
c:\program files\TortoiseSVN\bin\TortoiseSVN.dll
c:\program files\TortoiseSVN\bin\intl3_tsvn.dll
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
- - - - - - - > 'csrss.exe'(1436)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\System32\GdParc\Gdparc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\sessmgr.exe
c:\program files\Network Associates\Common Framework\naPrdMgr.exe
c:\windows\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
c:\windows\system32\CCM\CcmExec.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Apoint\HidFind.exe
c:\program files\Apoint\Apntex.exe
c:\program files\Network Associates\Common Framework\McTray.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\program files\Pandion\Pandion.exe
.
**************************************************************************
.
Heure de fin: 2009-12-29 01:02:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-29 00:02
Avant-CF: 7 337 766 912 octets libres
Après-CF: 7 254 786 048 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 9754FA250DBCA2CDA159F73A7A91027D
yoyo173fr
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
29 déc. 2009 à 23:00
29 déc. 2009 à 23:00
rapport MBAM demandé par jorginho67 (dernier que j'ai lancé)
---------------------------
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3451
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
29/12/2009 22:42:25
mbam-log-2009-12-29 (22-42-25).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 188181
Temps écoulé: 28 minute(s), 12 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
---------------------------
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3451
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
29/12/2009 22:42:25
mbam-log-2009-12-29 (22-42-25).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 188181
Temps écoulé: 28 minute(s), 12 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
yoyo173fr
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
29 déc. 2009 à 23:08
29 déc. 2009 à 23:08
Quelques questions encore
1) D'ailleurs je me demande comment ils sont parvenu à m'infecter
version de flash, shockwave ou autre avec faille?
2) Que pensez vous de Update Checker et des wot conseillés ici https://forums.commentcamarche.net/forum/affich-11558798-malware-defender-2009
3) Je n'ai pas passé tous les outils préconisés dans cet article
SmitFraudFix , lopSD , CCleaner
juste combofix, HijackThis et MBAM
Si ca peut suffire je préferre m'en contenter
Un avis?
1) D'ailleurs je me demande comment ils sont parvenu à m'infecter
version de flash, shockwave ou autre avec faille?
2) Que pensez vous de Update Checker et des wot conseillés ici https://forums.commentcamarche.net/forum/affich-11558798-malware-defender-2009
3) Je n'ai pas passé tous les outils préconisés dans cet article
SmitFraudFix , lopSD , CCleaner
juste combofix, HijackThis et MBAM
Si ca peut suffire je préferre m'en contenter
Un avis?
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
30 déc. 2009 à 02:52
30 déc. 2009 à 02:52
Salut yoyo173fr
Faire un scan de ce fichier api_hook_list.dat ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
c:\windows\system32\api_hook_list.dat
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
Faire également un scan de ce fichier :
c:\windows\system32\HIPIS0e011aa.dll
@++ :)
Faire un scan de ce fichier api_hook_list.dat ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
c:\windows\system32\api_hook_list.dat
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
Faire également un scan de ce fichier :
c:\windows\system32\HIPIS0e011aa.dll
@++ :)