Sujet Précédent Sujet Suivant

Tazebama

aidi -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,
j'ai un problème du virus Tazebama. En fait j'arrive pas à ouvrir les fichiers word de même que les fichiers de real player. un message apparait dans une fenêtre "l'application ou la DLL. D:documents and setting//tazebama n'est pas une image windows valide. Verifiez à l'aide de votre disquette d'installation".
J'ai téléchargé le HijackThis V2.02 et je vous envoie le rapport suivant:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:17:28, on 07/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
D:\WINDOWS\System32\PAStiSvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\WgaTray.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Search Settings\SearchSettings.exe
D:\Program Files\Lexmark 1200 Series\lxczbmon.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe
D:\Program Files\MP4 Player\mp4Player.exe
D:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
D:\WINDOWS\system32\32CECA\578F9A.EXE
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Program Files\LG Electronics\Modem USB LG Electronics\IEUM.exe
D:\program files\internet explorer\iexplore.exe
d:\program files\real\realplayer\RealPlay.exe
d:\program files\real\realplayer\RealPlay.exe
D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\WINDOWS\TEMP\winfjqj.exe
D:\WINDOWS\TEMP\wylrmh.exe
d:\program files\real\realplayer\RealPlay.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\Program Files\Windows Live Toolbar\msn_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.youtube.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - D:\Program Files\Search Settings\kb127\SearchSettings.dll
R3 - URLSearchHook: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - D:\Program Files\Search_USA\tbSea1.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=D:\WINDOWS\svchost.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - d:\program files\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - D:\Program Files\Search_USA\tbSea1.dll
O2 - BHO: dymanet - {742a96ed-ac52-86fe-c108-cd4d06b9d0a0} - D:\WINDOWS\system32\0211661f-7d83-ebd2-b772-d6f37d7bc29a.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - D:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - D:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - D:\Program Files\Search_USA\tbSea1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "D:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SearchSettings] D:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [RavMont] D:\WINDOWS\system32\RavMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MsgCenterExe] "D:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [578F9A] D:\WINDOWS\system32\32CECA\578F9A.EXE
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [66AC46] D:\WINDOWS\system32\FF07AB\66AC46.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [UMService] D:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe
O4 - HKCU\..\Run: [cdoosoft] D:\DOCUME~1\tttt\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [MP4 Player] "D:\Program Files\MP4 Player\mp4Player.exe" hmw
O4 - HKCU\..\Run: [kamsoft] D:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 578F9A.lnk = D:\WINDOWS\system32\32CECA\578F9A.EXE
O4 - Startup: 66AC46.lnk = D:\WINDOWS\system32\FF07AB\66AC46.EXE
O4 - Startup: Reboot.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://D:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://www.quran-recitation.info
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8C1EC76-AF6F-4BB4-B066-3DE68E7D2E73}: NameServer = 192.168.60.55 192.168.50.55
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe

2 réponses

Réponse 1 / 2
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut aidi

Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

@++ :)
0
aidi
 
Merci d'avance .
j'ai téléchargé combofix et je t'envoie le rapport :

ComboFix 10-01-04.01 - tttt 07/01/2010 18:48:42.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.479.164 [GMT 0:00]
Lancé depuis: d:\documents and settings\tttt\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\1utbfd.bat
D:\2.bat
D:\2fiy.bat
D:\8.bat
D:\a2h2.com
D:\autorun.inf
D:\cv22.cmd
D:\dbrxubcw.com
d:\docume~1\tttt\LOCALS~1\Temp\cvasds0.dll
d:\docume~1\tttt\LOCALS~1\Temp\E_N4
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\cnvpe.fne
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\dp1.fne
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\eAPI.fne
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\HtmlView.fne
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\internet.fne
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\krnln.fnr
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\shell.fne
d:\docume~1\tttt\LOCALS~1\Temp\E_N4\spec.fne
d:\documents and settings\tttt\Application Data\tazebama
D:\gi2ky.exe
D:\hl80c6b1.com
D:\i.com
D:\i6g6x.cmd
D:\jeorels.cmd
D:\m0vnonh.bat
D:\n.com
D:\o.exe
D:\opgde.exe
D:\pook.com
d:\program files\Search Settings
d:\program files\Search Settings\kb127\SearchSettings.dll
d:\program files\Search Settings\kb127\SearchSettingsRes409.dll
d:\program files\Search Settings\SearchSettings.exe
D:\qphdin.com
D:\qxty9be.cmd
D:\u.com
d:\windows\system32\0211661f-7d83-ebd2-b772-d6f37d7bc29a.dll
d:\windows\system32\264670
d:\windows\system32\264670\1737d5.txt
d:\windows\system32\264670\6d434a.txt
d:\windows\system32\6f4279d4-8d24-8b5f-5c0f-a28fecc238f9.exe
d:\windows\system32\ckvo.exe
d:\windows\system32\ckvo0.dll
d:\windows\system32\ckvo1.dll
d:\windows\system32\nmdfgds1.dll
d:\windows\system32\temp1.exe
d:\windows\system32\temp2.exe
d:\windows\ufdata2000.log
D:\xdw.com
D:\zPharaoh.exe
E:\1utbfd.bat
E:\2.bat
E:\2fiy.bat
E:\8.bat
E:\a2h2.com
E:\autorun.inf
E:\cv22.cmd
E:\dbrxubcw.com
E:\gi2ky.exe
E:\hl80c6b1.com
E:\i.com
E:\i6g6x.cmd
E:\jeorels.cmd
E:\m0vnonh.bat
E:\n.com
E:\o.exe
E:\opgde.exe
E:\pook.com
E:\qphdin.com
E:\qxty9be.cmd
E:\u.com
E:\xdw.com
E:\zPharaoh.exe
F:\1utbfd.bat
F:\2.bat
F:\2fiy.bat
F:\8.bat
F:\a2h2.com
F:\Autorun.inf
F:\cv22.cmd
F:\dbrxubcw.com
F:\gi2ky.exe
F:\i.com
F:\i6g6x.cmd
F:\jeorels.cmd
F:\m0vnonh.bat
F:\n.com
F:\opgde.exe
F:\pook.com
F:\qphdin.com
F:\qxty9be.cmd
F:\u.com
F:\xdw.com
F:\zPharaoh.exe
L:\1utbfd.bat
L:\2.bat
L:\2fiy.bat
L:\8.bat
L:\a2h2.com
L:\Autorun.inf
L:\cv22.cmd
L:\dbrxubcw.com
L:\gi2ky.exe
L:\hl80c6b1.com
L:\i.com
L:\i6g6x.cmd
L:\jeorels.cmd
L:\m0vnonh.bat
L:\n.com
L:\o.exe
L:\opgde.exe
L:\pook.com
L:\qphdin.com
L:\qxty9be.cmd
L:\u.com
L:\xdw.com
L:\zPharaoh.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3360PR
-------\Legacy_AVPSYS
-------\Service_asc3360pr
-------\Service_AVPsys


((((((((((((((((((((((((((((( Fichiers créés du 2009-12-07 au 2010-01-07 ))))))))))))))))))))))))))))))))))))
.

2010-01-07 00:43 . 2010-01-07 01:30 -------- d-----w- D:\UsbFix
2010-01-07 00:28 . 2010-01-07 00:28 -------- d-----w- d:\program files\Trend Micro
2010-01-07 00:00 . 2010-01-07 00:20 -------- d-----w- d:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-01-06 21:25 . 2010-01-07 18:24 32768 ----a-w- d:\documents and settings\tazebama.dll
2009-12-19 23:34 . 2009-12-19 23:34 -------- d-----w- d:\documents and settings\tttt\Application Data\Nokia
2009-12-14 20:47 . 2009-12-23 11:15 -------- d--h--w- d:\windows\system32\F92E22
2009-12-14 20:47 . 2009-12-23 11:15 -------- d--h--w- d:\windows\system32\30D620
2009-12-14 20:47 . 2009-12-14 21:02 -------- d--h--w- d:\windows\system32\FF07AB
2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox2.dat
2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox.dat
2009-12-13 21:53 . 2009-12-13 22:02 -------- d-----w- d:\documents and settings\tttt\Application Data\Usenet.nl
2009-12-12 11:51 . 2009-12-12 11:51 -------- d-----w- d:\documents and settings\tttt\Application Data\PC Suite
2009-12-12 11:49 . 2009-12-12 11:49 -------- d-----w- d:\program files\Nokia
2009-12-12 11:48 . 2009-12-12 11:48 -------- d-----w- d:\program files\DIFX
2009-12-12 11:48 . 2008-08-26 10:26 18816 ----a-w- d:\windows\system32\drivers\pccsmcfd.sys
2009-12-12 11:48 . 2009-12-12 11:48 -------- d-----w- d:\program files\PC Connectivity Solution
2009-12-12 10:39 . 2009-12-12 10:39 -------- d-----w- d:\program files\MSBuild
2009-12-12 10:34 . 2009-12-18 10:12 -------- d-----w- d:\windows\system32\XPSViewer
2009-12-12 10:34 . 2009-12-12 10:34 -------- d-----w- d:\program files\Reference Assemblies
2009-12-12 10:33 . 2008-07-06 12:06 89088 ----a-w- d:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2009-12-12 10:33 . 2006-06-29 13:07 14048 ------w- d:\windows\system32\spmsg2.dll
2009-12-10 19:51 . 2009-12-10 19:51 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Search_USA
2009-12-10 19:51 . 2009-12-10 19:51 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Apple
2009-12-10 14:49 . 2009-12-10 14:49 -------- d-----w- d:\documents and settings\tttt\Application Data\Apple Computer
2009-12-10 14:44 . 2009-12-10 14:45 -------- d-----w- d:\program files\QuickTime
2009-12-10 14:44 . 2009-12-10 14:44 -------- d-----w- d:\documents and settings\All Users\Application Data\Apple Computer
2009-12-10 14:43 . 2009-12-10 14:43 32572720 ----a-w- d:\program files\QuickTimeInstaller.exe
2009-12-10 03:17 . 2009-12-10 03:17 -------- d-----w- d:\program files\MP4 Player
2009-12-10 03:17 . 2009-12-10 03:17 1116717 ----a-w- d:\program files\mp4PlayerSetup.exe
2009-12-10 03:03 . 2009-12-10 03:03 -------- d-----w- d:\program files\Fichiers communs\xing shared
2009-12-10 02:42 . 2009-12-10 02:43 560152 ----a-w- d:\program files\RealPlayerSPGold_fr.exe
2009-12-09 21:04 . 2009-12-09 21:04 -------- d-----w- d:\program files\Fichiers communs\Apple
2009-12-09 21:04 . 2009-12-09 21:04 -------- d-----w- d:\documents and settings\tttt\Local Settings\Application Data\Apple
2009-12-09 21:03 . 2009-12-09 21:03 -------- d-----w- d:\program files\Apple Software Update
2009-12-09 21:03 . 2009-12-09 21:03 -------- d-----w- d:\documents and settings\All Users\Application Data\Apple
2009-12-09 21:03 . 2009-12-09 21:03 -------- d-----w- d:\documents and settings\tttt\Local Settings\Application Data\Apple Computer

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-07 00:00 . 2008-10-26 22:20 -------- d-----w- d:\program files\Yahoo!
2010-01-03 10:14 . 2008-08-29 19:33 664 ----a-w- d:\windows\system32\d3d9caps.dat
2009-12-19 23:25 . 2008-07-25 19:18 44704 ----a-w- d:\documents and settings\tttt\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-19 22:44 . 2004-08-05 12:00 80748 ----a-w- d:\windows\system32\perfc00C.dat
2009-12-19 22:44 . 2004-08-05 12:00 500900 ----a-w- d:\windows\system32\perfh00C.dat
2009-12-14 21:24 . 2008-07-25 20:42 -------- d-----w- d:\program files\Google
2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox2.idx
2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox.idx
2009-12-10 21:39 . 2009-10-18 20:11 -------- d-----w- d:\documents and settings\tttt\Application Data\Skype
2009-12-10 18:39 . 2008-10-09 20:48 -------- d-----w- d:\documents and settings\tttt\Application Data\skypePM
2009-12-10 03:04 . 2008-07-25 20:39 -------- d-----w- d:\program files\Fichiers communs\Real
2009-12-06 01:16 . 2009-12-06 01:04 -------- d-----w- d:\program files\Search_USA
2009-12-06 01:04 . 2008-10-27 01:51 -------- d-----w- d:\program files\Conduit
2009-11-24 14:45 . 2009-11-24 14:45 -------- d-----w- d:\program files\Fichiers communs\Cisco Systems
2009-10-29 07:44 . 2004-08-05 12:00 832512 ----a-w- d:\windows\system32\wininet.dll
2009-10-29 07:44 . 2004-08-05 12:00 78336 ----a-w- d:\windows\system32\ieencode.dll
2009-10-29 07:44 . 2004-08-05 12:00 17408 ------w- d:\windows\system32\corpol.dll
2009-10-24 11:22 . 2008-08-01 13:16 348160 ----a-w- d:\windows\system32\msvcr71.dll
2009-10-24 11:22 . 2008-08-28 18:13 499712 ----a-w- d:\windows\system32\msvcp71.dll
2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- d:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- d:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- d:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- d:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- d:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- d:\windows\system32\rastls.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{48405d3d-2674-4cd8-b1ef-9a719443bd3f}"= "d:\program files\Search_USA\tbSea1.dll" [2009-12-06 2166296]

[HKEY_CLASSES_ROOT\clsid\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]
2009-12-06 01:17 2166296 ----a-w- d:\program files\Search_USA\tbSea1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{48405d3d-2674-4cd8-b1ef-9a719443bd3f}"= "d:\program files\Search_USA\tbSea1.dll" [2009-12-06 2166296]

[HKEY_CLASSES_ROOT\clsid\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{48405D3D-2674-4CD8-B1EF-9A719443BD3F}"= "d:\program files\Search_USA\tbSea1.dll" [2009-12-06 2166296]

[HKEY_CLASSES_ROOT\clsid\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="d:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5821808]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="d:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-05-08 230960]
"UMService"="d:\program files\LG Electronics\Modem USB LG Electronics\UMAService.exe" [2008-05-09 28672]
"MP4 Player"="d:\program files\MP4 Player\mp4Player.exe" [2008-11-06 772096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="SiSPower.dll" [2006-08-22 49152]
"NeroFilterCheck"="d:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 225280]
"Lexmark 1200 Series"="d:\program files\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 131072]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"RavMont"="d:\windows\system32\RavMon.exe" [2005-08-21 131072]
"Adobe Reader Speed Launcher"="f:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 109424]
"MsgCenterExe"="d:\program files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" [2009-12-10 144952]
"578F9A"="d:\windows\system32\32CECA\578F9A.EXE" [2009-11-24 1482694]
"TkBellExe"="d:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-12-10 267792]
"QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2009-11-10 499712]
"66AC46"="d:\windows\system32\FF07AB\66AC46.EXE" [2009-12-14 1482694]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

d:\documents and settings\tttt\Menu D‚marrer\Programmes\D‚marrage\
578F9A.lnk - d:\windows\system32\32CECA\578F9A.EXE [2009-11-24 1482694]
66AC46.lnk - d:\windows\system32\FF07AB\66AC46.EXE [2009-12-14 1482694]
Reboot.exe [2004-10-1 334336]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BlueSoleil.lnk - d:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-8-10 1257472]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe"=
"d:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\Ares\\Ares.exe"=
"d:\\Program Files\\Messenger\\msmsgs.exe"=
"d:\\WINDOWS\\system32\\LEXPPS.EXE"=
"d:\\Program Files\\MSN Messenger\\msnmsgr.exe"= d:\\Program Files\\MSN Messenger\\MsnMsgr.Exe
"d:\\Program Files\\MSN Messenger\\livecall.exe"=
"d:\\Program Files\\Fichiers communs\\Ahead\\Lib\\NeroCheck.exe"=
"d:\\WINDOWS\\system32\\RavMon.exe"=
"d:\\Program Files\\Lexmark 1200 Series\\lxczbmgr.exe"=
"d:\\WINDOWS\\system32\\32CECA\\578F9A.EXE"=
"f:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"d:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe"=
"d:\\Program Files\\Windows Live Toolbar\\msn_sl.exe"=
"d:\\Program Files\\MSN Messenger\\usnsvc.exe"=
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Program Files\\Fichiers communs\\Microsoft Shared\\Source Engine\\OSE.EXE"=
"d:\\Program Files\\PC Connectivity Solution\\Transports\\NclUSBSrv.exe"=
"d:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=
"d:\\Program Files\\LG Electronics\\Modem USB LG Electronics\\IEUM.exe"=
"d:\\program files\\real\\realplayer\\RealPlay.exe"=
"d:\\Program Files\\Fichiers communs\\Microsoft Shared\\Windows Live\\WLLoginProxy.exe"=
"d:\\WINDOWS\\system32\\FF07AB\\66AC46.EXE"=
"d:\\Program Files\\Windows Live Toolbar\\MSNTBUP.EXE"=
"d:\\Program Files\\Fichiers communs\\Adobe\\Updater6\\Adobe_Updater.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5000:TCP"= 5000:TCP:AresChatServer

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [27/10/2008 01:48 716272]
R3 UsbEvdoAtc;LGE EVDO USB Serial Port;d:\windows\system32\drivers\lgevdoatc.sys [15/10/2009 22:30 19840]
R3 usbevdobus;LGE EVDO Composite USB Device;d:\windows\system32\drivers\lgevdobus.sys [15/10/2009 22:30 12800]
R3 UsbEvdoDiag;LGE EVDO USB Serial DM Port;d:\windows\system32\drivers\lgevdodiag.sys [15/10/2009 22:30 19840]
R3 USBEVDOModem;LGE EVDO USB Modem;d:\windows\system32\drivers\lgevdomodem.sys [15/10/2009 22:30 21632]
S3 PAC207;SoC PC-Camera Beta3;d:\windows\system32\drivers\pfc027.sys [24/02/2005 12:29 162176]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ASC3360PR
.
Contenu du dossier 'Tâches planifiées'

2009-12-31 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2010-01-06 d:\windows\Tasks\User_Feed_Synchronization-{7FF7F376-9083-4171-A494-5CEA7AD16962}.job
- d:\windows\system32\msfeedssync.exe [2007-08-13 16:36]

2010-01-07 d:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- d:\program files\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 17:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.youtube.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://fr.yahoo.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - d:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: quran-recitation.info\www
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{742a96ed-ac52-86fe-c108-cd4d06b9d0a0} - d:\windows\system32\0211661f-7d83-ebd2-b772-d6f37d7bc29a.dll
HKLM-Run-SearchSettings - d:\program files\Search Settings\SearchSettings.exe
AddRemove-6f4279d4-8d24-8b5f-5c0f-a28fecc238f9 - d:\windows\system32\6f4279d4-8d24-8b5f-5c0f-a28fecc238f9.exe
AddRemove-Usenet.nl_is1 - j:\psp\GAME\Usenet.nl\unins000.exe
AddRemove-UnityWebPlayer - d:\documents and settings\tttt\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-07 18:56
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spdq.sys >>UNKNOWN [0x85993938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7516f28
\Driver\ACPI -> ACPI.sys @ 0xf7293cb8
\Driver\atapi -> atapi.sys @ 0xf7228b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-823518204-606747145-839522115-1003\RemoteAccess\Profile\x *]
"EnableAutodisconnect"=dword:00000001
"EnableExitDisconnect"=dword:00000001
"DisconnectIdleTime"=dword:00000014

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="D?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(332)
d:\windows\system32\PortableDeviceApi.dll
d:\windows\system32\eappprxy.dll
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
.
------------------------ Autres processus actifs ------------------------
.
d:\windows\system32\LEXBCES.EXE
d:\windows\system32\LEXPPS.EXE
d:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
d:\windows\System32\PAStiSvc.exe
d:\windows\system32\WgaTray.exe
d:\windows\SOUNDMAN.EXE
d:\program files\Lexmark 1200 Series\lxczbmon.exe
d:\windows\system32\wscntfy.exe
d:\program files\LG Electronics\Modem USB LG Electronics\IEUM.exe
d:\program files\internet explorer\iexplore.exe
d:\program files\real\realplayer\RealPlay.exe
d:\program files\real\realplayer\RealPlay.exe
d:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
d:\program files\Windows Live Toolbar\msn_sl.exe
.
**************************************************************************
.
Heure de fin: 2010-01-07 19:02:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-07 19:02

Avant-CF: 2 987 130 880 octets libres
Après-CF: 5 235 916 800 octets libres

- - End Of File - - A876472A8989D81E75F299706DCD07B3
0
Réponse 2 / 2
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut aidi

J'ai remarqué que tu avais télécharger UsbFix, as-tu fais un scan?

- Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

KillAll::

File::
d:\documents and settings\tazebama.dll
d:\windows\system32\perfc00C.dat
d:\windows\system32\perfh00C.dat
d:\windows\system32\RavMon.exe
d:\Documents and Settings\tttt\Menu Démarrer\Programmes\Démarrage\578F9A.lnk
d:\Documents and Settings\tttt\Menu Démarrer\Programmes\Démarrage\66AC46.lnk
d:\Documents and Settings\tttt\Menu Démarrer\Programmes\Démarrage\Reboot.exe

Folder::
d:\windows\system32\F92E22
d:\windows\system32\30D620
d:\windows\system32\FF07AB
d:\windows\system32\32CECA

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavMont"=-
"578F9A"=-
"66AC46"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\WINDOWS\\system32\\RavMon.exe"=-
"d:\\WINDOWS\\system32\\32CECA\\578F9A.EXE"=-
"d:\\WINDOWS\\system32\\FF07AB\\66AC46.EXE"=-

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l’icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@++ :)
0