Possible infection

Question

Bonjour,

je me suis fait infecté par malware defender.

Je pensais m'être débarassé de tout après le passage de Malwarebytes' Anti-Malware

Hier l'analyse ne trouvait rien.

Je l'ai relancé aujourd'hui et il me trouve des toyens et rootkits.

Merci de votre aide pour m'aider a faire le grand nettoyage

jorginho67 · Accepted Answer

Soir'

Formatage... pffffff...

C'est tout ce que tu trouves a dire Lolo ??

yoyo173fr,

Relance MBAM ( MalwareBytes_AntiMalware )

Clique sur l'onglet Mise a jour, et laisse le faire.

Ensuite, 

 * Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

* Si des malwares ont été détectés, leur liste s'affiche.

Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
 /!\ (a faire impérativement sous peine de recommencer le scan) /!\  , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.


MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse 

Tutoriel  si tu as besoin d'aide.

lolo321 · Answer

Formatage. Coupe ta connection internet le plus osuvent possible. Arrete les logiciels P2p (shareaza, emule...)

lolo321 · Answer

C'est a& moi que tu parles, M@thew ? C'est une vraie question, ne le prends pas mal

dédétraqué · Answer

Salut yoyo173fr


Télécharge combofix.exe (de sUBs) sur le bureau :

Faire un clic droit sur ce lien :

http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom yoyo.exe clique sur Enregistrer

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur yoyo.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

lolo321 · Answer

Le lien, c'est que il nettoie avec son antivirus, il fait ce que j'ai dit (a part le formatage), et il a de quatre a cinq fois moins de chance de s'attraper des troyens...etc...etc...Sinon, il y a en drenier recours, le formatage qui fera un vrai nettoyage. Si tu as des comentaires a faire, done nous une solution, et apres on verra, d'accord ,

lolo321 · Answer

Ca se la pete beaucoup ici a ce que je vois, mais pour ce genre de probleme, il y a pas de quoi...

lolo321 · Answer

Pour moi, formatage = on ré-installe un autre OS par dessus, et ca a toujours marché pour moi...Peut etre ce n'est pas le bon terme, ok

00lina00 · Answer

Bonsoir,


On se calme ........... on respire un bon coup ............. et surtout on laisse les pros faire le boulot ;)

lolo321 · Answer

Oui, madame. Allez, je plaisante, personne ne peut s'enerver pour si peu. Mais chapeau d'essayer de pacifier, la plupart des gens prennent du pop-corn et se delectent de rien.

^^Marie^^ · Answer

Bonjour

Pour suivre.

yoyo173fr · Answer

OK

Pour info je ne fais pas de P2P et je suis du genre prudent si je décide d'installer un soft

L'infection s'est faite par un simple surf sur Internet (avec OS a jour, MacAfee a jour, Mozilla a jour)
C'est là qu'ils sont plutôt fort avec leur virus

Après infection d'ailleurs MacAffe ne détectait rien, j'ai tenté de lancer Malwarebytes' Anti-Malware et là il ne se lancait pas
J'y suis allé a coup de kill violent de process avant de pouvoir le lancer
Et il a commencé le nettoyage

Je pensait avoir tout viré avec son passage. Le lendemain par contrôle je l'ai relancé et c'est là que j'ai constaté qu'il en restait et donc je suis venu ici demander de l'aide.

Du coup j'ai passé combofix et encore Malwarebytes' Anti-Malware et là il ne voit plus rien.

Dans les prochains posts les rapports demandés

yoyo173fr · Answer

rapport combofix demandé par dédétraqué
-------------
ComboFix 09-12-27.04 - Anonyme 29/12/2009   0:50.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1014.512 [GMT 1:00]
Lancé depuis: d:\datasuser\Bureau\yoyo.exe
AV: McAfee VirusScan Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
FW: McAfee Host Intrusion Prevention Firewall *enabled* {2F1275E3-2F4F-43E9-944B-3F63F9BDA5F5}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\INSTALL.LOG
c:\windows\Conf.reg
c:\windows\EventSystem.log
c:\windows\system32\RFHelper.dll
c:\windows\system32\srcr.dat
c:\windows\system32	mp.reg
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Il y a peut-être des sites infectés -----

hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-11-28 au 2009-12-28  ))))))))))))))))))))))))))))))))))))
.

2009-12-28 23:57 . 2009-12-28 23:57	40735	----a-w-	c:\windows\system32\api_hook_list.dat
2009-12-28 23:57 . 2009-06-25 12:57	39816	----a-w-	c:\windows\system32\HIPIS0e011aa.dll
2009-12-28 02:49 . 2009-12-28 02:49	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 02:15 . 2009-12-28 02:15	--------	d-----w-	d:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-28 02:30	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-12-28 02:15 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-25 09:46 . 2009-12-25 09:46	--------	d-----w-	d:\documents and settings\Anonyme\Local Settings\Application Data\ArcSoft
2009-12-25 09:46 . 2009-12-25 16:00	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\ArcSoft
2009-12-25 09:45 . 2009-12-25 16:00	--------	d-----w-	d:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 09:45 . 2004-05-04 10:53	1645320	----a-w-	c:\windows\system32\gdiplus.dll
2009-12-25 09:45 . 2009-12-25 09:45	--------	d-----w-	c:\program files\Fichiers communs\ArcSoft
2009-12-25 09:45 . 2009-12-25 09:45	--------	d-----w-	c:\program files\ArcSoft
2009-12-25 09:45 . 2005-04-27 15:36	245408	----a-w-	c:\windows\system32\unicows.dll
2009-12-25 09:42 . 2009-12-25 09:42	--------	d-----w-	c:\program files\Philips
2009-12-25 09:42 . 2009-12-25 09:42	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\InstallShield
2009-12-07 11:05 . 2009-11-17 00:04	5710	----a-w-	c:\windows\system32\IE7-Config-2009-10-28.vbs
2009-12-07 11:00 . 2009-12-28 03:25	--------	d--h--w-	c:\windows\$hf_mig$
2009-12-07 11:00 . 2009-12-07 11:00	--------	d-----w-	c:\program files\Log
2009-12-01 10:33 . 2004-09-27 06:54	49152	----a-r-	c:\windows\system32\SiSWBase.dll
2009-12-01 10:33 . 2004-09-27 06:54	237568	----a-r-	c:\windows\system32\SiSWPars.dll
2009-12-01 10:33 . 2004-09-27 06:54	155648	----a-r-	c:\windows\system32\SiSWInst.dll
2009-12-01 10:33 . 2004-12-29 07:34	167424	----a-r-	c:\windows\system32\drivers\sis163u.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 02:20 . 2008-01-09 16:28	75190	----a-w-	c:\windows\system32\perfc00C.dat
2009-12-28 02:20 . 2008-01-09 16:28	468552	----a-w-	c:\windows\system32\perfh00C.dat
2009-12-28 01:32 . 2008-10-11 12:33	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\FileZilla
2009-12-25 18:50 . 2008-10-08 12:08	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-12-22 01:28 . 2008-10-11 12:33	--------	d-----w-	c:\program files\FileZilla FTP Client
2009-12-21 01:23 . 2008-11-09 00:12	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\GrabIt
2009-12-19 21:18 . 2008-11-17 01:09	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\dvdcss
2009-12-15 15:10 . 2008-10-09 22:55	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\XnView
2009-12-03 21:24 . 2008-10-21 07:28	136512	----a-w-	c:\windows\system32\KevlarSigs.dll
2009-11-28 16:47 . 2009-11-28 16:46	--------	d-----w-	d:\documents and settings\Anonyme\Application Data\FreeOrion
2009-11-24 09:50 . 2009-11-24 09:50	--------	d-----w-	d:\documents and settings\Administrateur\Application Data\Subversion
2009-11-24 09:19 . 2009-11-24 09:19	165232	---ha-w-	d:\documents and settings\S240836\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll
2009-11-24 09:11 . 2009-11-24 09:11	--------	d-----w-	d:\documents and settings\S240836\Application Data\Subversion
2009-11-24 09:08 . 2009-11-24 09:08	8192	----a-w-	c:\windows\system32\srvany.exe
2009-11-12 16:45 . 2008-10-10 07:25	--------	d-----w-	c:\program files\PSPad editor
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55	85768	----a-w-	c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2009-06-25 136512]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2009-01-27 111952]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-05 144384]
"McAfee Host Intrusion Prevention Tray"="c:\program files\McAfee\Host Intrusion Prevention\FireTray.exe" [2009-06-25 979104]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

d:\documents and settings\Anonyme\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers SetConf.lnk - d:\log\SetConf.bat [2008-10-9 2990]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
InstantTimeZone.lnk - c:\program files\InstantTimeZone\InstantTimeZone.exe [2008-5-8 1728199]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\0]
"Script"=logon.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\1\0]
"Script"=UnsetProxySettings.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\0]
"Script"=logon.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=

R2 enterceptAgent;McAfee Host Intrusion Prevention Service;c:\program files\McAfee\Host Intrusion Prevention\FireSvc.exe [25/06/2009 13:57 1489984]
R2 Gdparc;Gestion de parc;c:\windows\system32\srvany.exe [24/11/2009 10:08 8192]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [18/11/2008 09:21 70728]
R2 WebDriveFSD;WebDrive File System Driver;c:\program files\Netdriveffsd.sys [27/02/2009 14:15 67032]
R3 FirehkMP;FirehkMP;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
R3 HIPK;McAfee Inc. HIPK;c:\windows\system32\drivers\HIPK.sys [21/10/2008 08:28 110384]
R3 HIPPSK;McAfee Inc. HIPPSK;c:\windows\system32\drivers\HIPPSK.sys [21/10/2008 08:28 38200]
R3 HIPQK;McAfee Inc. HIPQK;c:\windows\system32\drivers\HIPQK.sys [21/10/2008 08:28 35584]
R3 hips;McAfee HIPSCore Service;c:\program files\McAfee\Host Intrusion Prevention\HIPSCore\HIPSvc.exe [04/09/2009 11:56 35696]
S3 Firehk;McAfee NDIS Intermediate Filter;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
S3 ndfs;ndfs;\??\c:\program files\Netdrive
dfs.sys --> c:\program files\Netdrive
dfs.sys [?]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [01/12/2009 11:33 167424]
S4 RFNP32;WebDrive Provider; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\IE7-Config-2009-10-28]
2004-08-05 12:00	114688	----a-w-	c:\windows\system32\wscript.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://SiteAnonymisé/fr-fr/
uInternet Settings,ProxyOverride = 172.*;<local>
uInternet Settings,ProxyServer = www-proxy:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: MCInstallCAB - hxxps://content101.mc.iconf.net/gcc_installer/mcInstall.CAB
FF - ProfilePath - d:\documents and settings\Anonyme\Application Data\Mozilla\Firefox\Profiles\fsljuf7z.default\
FF - prefs.js: browser.search.selectedEngine - WikipÃ©dia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://crahweb/activedirectory/
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-HijackThis - d:\datasuser\Bureau\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 00:58
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1460)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll

- - - - - - - > 'lsass.exe'(1516)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll

- - - - - - - > 'explorer.exe'(2516)
c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
c:\program files\TortoiseSVN\bin\TortoiseStub.dll
c:\program files\TortoiseSVN\bin\TortoiseSVN.dll
c:\program files\TortoiseSVN\bin\intl3_tsvn.dll
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(1436)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\System32\GdParc\Gdparc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\sessmgr.exe
c:\program files\Network Associates\Common Framework
aPrdMgr.exe
c:\windows\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
c:\windows\system32\CCM\CcmExec.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Apoint\HidFind.exe
c:\program files\Apoint\Apntex.exe
c:\program files\Network Associates\Common Framework\McTray.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\program files\Pandion\Pandion.exe
.
**************************************************************************
.
Heure de fin: 2009-12-29  01:02:56 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-12-29 00:02

Avant-CF: 7 337 766 912 octets libres
Après-CF: 7 254 786 048 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 9754FA250DBCA2CDA159F73A7A91027D

yoyo173fr · Answer

rapport MBAM demandé par jorginho67 (dernier que j'ai lancé)
---------------------------
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3451
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

29/12/2009 22:42:25
mbam-log-2009-12-29 (22-42-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 188181
Temps écoulé: 28 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

yoyo173fr · Answer

Quelques questions encore

1) D'ailleurs je me demande comment ils sont parvenu à m'infecter
version de flash, shockwave ou autre avec faille?

2) Que pensez vous de Update Checker et des wot conseillés ici https://forums.commentcamarche.net/forum/affich-11558798-malware-defender-2009

3) Je n'ai pas passé tous les outils préconisés dans cet article
SmitFraudFix , lopSD , CCleaner 

juste combofix, HijackThis et MBAM
Si ca peut suffire je préferre m'en contenter
Un avis?

dédétraqué · Answer

Salut yoyo173fr


Faire un scan de ce fichier api_hook_list.dat ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
c:\windows\system32\api_hook_list.dat
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Faire également un scan de ce fichier :
c:\windows\system32\HIPIS0e011aa.dll     


@++   :)

Possible infection

15 réponses

Votre réponse

Discussions similaires

Newsletters