Rookfit-gen

stan -  
 montmiraillh -
Bonjour,
Depuis le début de l'année mon antivirus avast détecte un virus : Rookkit-gen (rtk) à cet emplacement : C:\WINDOWS\System32\Drivers\ubndn.sys et je n'arrive pas à mes débarasser!
Merci pour votre aide
A voir également:

43 réponses

Précédent
Réponse 21 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
oui
0
Réponse 22 / 43
Utilisateur anonyme
 
• Copie (Ctrl+C) le texte qui se trouve ci-dessous : 


Driver::
ubndn

File::
C:\WINDOWS\System32\Drivers\ubndn.sys

Registry::
[-HKLM\SYSTEM\CurrentControlSet\Services\ubndn]
[-HKLM\SYSTEM\ControlSet002\Services\ubndn]



• Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte copié.

• Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau.

• Glisse le fichier CFScript.txt sur Combofix comme montré ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

• Cela va relancer Combofix, patiente pendant que l'outil travaille.

• Après redémarrage, poste le rapport (présent dans C:\Combofix.txt).
0
Réponse 23 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai suivi le mode opératoire mais je ne suis pas sûre d'avoir désactivé avast, voici le compte rendu :

ComboFix 10-01-01.02 - Bruno 09/01/2010 22:25:10.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.196 [GMT 1:00]
Lancé depuis: c:\documents and settings\Bruno\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Bruno\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1351 [VPS 100109-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
- Mode FONCTIONNALITES REDUITES -

FILE ::
"c:\windows\System32\Drivers\ubndn.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\Drivers\ubndn.sys . . . . impossible à supprimer

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-09 au 2010-01-09 ))))))))))))))))))))))))))))))))))))
.

2010-01-09 16:43 . 2010-01-09 16:43 -------- d-----w- C:\_OTM
2010-01-09 12:08 . 2010-01-09 12:08 -------- d-----w- c:\program files\trend micro
2010-01-09 12:08 . 2010-01-09 12:09 -------- d-----w- C:\rsit
2010-01-08 17:42 . 2010-01-09 14:12 -------- d-----w- C:\ToolBar SD
2010-01-08 16:58 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-12-31 06:15 . 2009-12-31 06:15 -------- d-----w- c:\windows\system32\XPSViewer
2009-12-31 06:15 . 2009-12-31 06:15 -------- d-----w- c:\program files\MSBuild
2009-12-31 06:15 . 2009-12-31 06:15 -------- d-----w- c:\program files\Reference Assemblies
2009-12-31 06:15 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2009-12-31 06:14 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-12-31 06:14 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-12-31 06:14 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-12-31 06:14 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-12-31 06:14 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-12-31 06:14 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2009-12-31 06:14 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-12-31 06:14 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-12-12 16:15 . 2010-01-09 21:28 763904 ----a-w- c:\windows\system32\drivers\ubndn.sys
2009-12-12 13:47 . 2009-12-12 13:47 4844295 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 21:27 . 2005-01-14 22:00 -------- d-----w- c:\program files\OpenOffice.org1.1.4
2010-01-09 21:12 . 2008-08-19 17:29 -------- d-----w- c:\documents and settings\Bruno\Application Data\Spamihilator
2010-01-02 11:32 . 2008-10-19 07:54 -------- d-----w- c:\program files\Navilog1
2010-01-01 10:26 . 2001-08-24 12:00 92124 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-01 10:26 . 2001-08-24 12:00 525264 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-31 08:09 . 2005-01-12 10:05 15272 -c--a-w- c:\documents and settings\Bruno\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-30 13:10 . 2005-03-22 22:18 -------- d-----w- c:\program files\eMule
2009-12-12 13:47 . 2008-08-10 15:32 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-03 15:14 . 2008-08-10 15:32 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-08-10 15:32 19160 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-10-29 05:46 . 2004-08-03 22:54 666112 ------w- c:\windows\system32\wininet.dll
2009-10-21 06:03 . 2004-08-03 22:54 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 06:03 . 2004-08-03 22:54 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 14:58 . 2004-08-03 21:00 263552 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:52 . 2004-08-03 22:54 267776 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 17:50 . 2009-05-21 13:03 86576 -c--a-w- c:\documents and settings\Bruno\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-10-12 17:50 . 2009-05-21 13:03 392728 -c--a-w- c:\documents and settings\Bruno\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2009-10-12 17:50 . 2009-05-21 13:03 132672 -c--a-w- c:\documents and settings\Bruno\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-10-12 17:50 . 2009-10-12 17:50 1795456 ----a-w- c:\program files\Installation_WLMessenger2009.exe
2009-10-12 13:52 . 2004-08-03 22:54 69632 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:52 . 2004-08-03 22:54 113152 ----a-w- c:\windows\system32\rastls.dll
2006-02-21 18:42 . 2006-02-21 18:42 774144 -c--a-w- c:\program files\RngInterstitial.dll
2005-03-18 11:34 . 2005-04-14 17:47 41579 -c--a-w- c:\program files\mozilla firefox\components\jar50.dll
2005-03-18 11:34 . 2005-04-14 17:47 48229 -c--a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2005-03-18 11:34 . 2005-04-14 17:47 158829 -c--a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VirtualExpanderFile.1]
@="{E4000AC4-5E5F-4956-807A-C5854405D64F}"
[HKEY_CLASSES_ROOT\CLSID\{E4000AC4-5E5F-4956-807A-C5854405D64F}]
2007-10-21 11:05 73728 ----a-w- c:\windows\system32\VirtualExpander\VEShellExt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2008-12-23 1321984]
"CTCheck"="c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

c:\documents and settings\Bruno\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Bruno\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-5-21 135680]
OpenOffice.org 1.1.4.lnk - c:\program files\OpenOffice.org1.1.4\program\quickstart.exe [2004-10-28 61440]
VirtualExpander.lnk - c:\windows\system32\VirtualExpander\VirtualExpander.exe [2007-10-21 474808]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DataViz Inc Messenger.lnk - c:\program files\Fichiers communs\DataViz\DvzIncMsgr.exe [2006-9-9 28672]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispSettingPage"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Spamihilator\\cdcc.exe"=
"c:\\Program Files\\Spamihilator\\dccproc.exe"=
"c:\\Program Files\\Spamihilator\\spamihilator.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/04/2008 05:29 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/04/2008 05:29 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [16/09/2009 06:46 54752]
S3 bDMusicb;bDMusicb;\??\c:\docume~1\Bruno\LOCALS~1\Temp\bDMusicb.sys --> c:\docume~1\Bruno\LOCALS~1\Temp\bDMusicb.sys [?]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [07/06/2005 05:15 21344]
S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21:48 704864]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - ubndn
.
Contenu du dossier 'Tâches planifiées'

2010-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/mygarmin/m/GarminAxControl.CAB
FF - ProfilePath - c:\documents and settings\Bruno\Application Data\Mozilla\Firefox\Profiles\rzpzmzux.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://www.plusnetwork.com
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-fr&FORM=MIMWA1&q=
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA2&q=
FF - prefs.js: browser.search.selectedEngine - Live SearchFF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13); user_pref(general.useragent.extra.zencast, Creative ZENcast v2.00.13c:\program files\Mozilla Firefox\greprefs\all.js - pref("backups.number_of_prefs_copies", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.link.open_newwindow.ui", 3); // prefs UI version
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.closed", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.document", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.frames", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.history", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.length", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.opener", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.parent", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.self", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.top", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.window", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.disable_window_open_feature.status", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("advanced.always_load_images", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.protocol-handler.external.help", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.connect.timeout", 30); // in seconds
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.request.timeout", 120); // in seconds
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN_show_punycode", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.image.imageBehavior", 0); // 0-Accept, 1-dontAcceptForeign, 2-dontUse
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.cookieBehavior", 3); // 0-Accept, 1-dontAcceptForeign, 2-dontUse, 3-p3p
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.id", "{ec8030f7-c20a-464f-9b0e-13a3a9e97384}");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.version",
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.extensions.version", "1.0");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.build_id",
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.autoUpdateEnabled", true); // Whether or not background app updates
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.url", "chrome://mozapps/locale/update/update.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.updatesAvailable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.lastUpdateDate", 0); // UTC offset when last App update was
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.performed", false); // Whether or not an update has been
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.autoUpdateEnabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.autoUpdate", false); // Automatically download and install
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.interval", 604800000); // Check for updates to Extensions and
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.lastUpdateDate", 0); // UTC offset when last Extension/Theme
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.severity.threshold", 5);// The number of pending Extension/Theme
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.count", 0); // The number of extension/theme/etc
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update.interval", 3600000); // Check each of the above intervals
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update.showSlidingNotification", true); // Windows-only slide-up taskbar
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update.severity", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "update.mozilla.org,addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("general.useragent.vendor", "Firefox");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("general.useragent.vendorSub",
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.update.resetHomepage", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.startup.homepage_override.1", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.turbo.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://browser/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://browser/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update_notifications.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update_notifications.provider.0.frequency", 7); // number of days
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.xul.error_pages.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("pfs.datasource.url", "chrome://mozapps/locale/plugins/plugins.properties");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 22:28
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ubndn]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(812)
c:\windows\system32\VirtualExpander\VEShellExt.dll
c:\windows\system32\shdoclc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\browselc.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\SHCTMTP.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\AVSrcU.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTIntrfu.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTConfig.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CtMtpRc.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\PicRc.dll
c:\progra~1\MICROS~2\Wcesview.dll
c:\progra~1\MICROS~2\pegconv.dll
c:\windows\system32\CEUTIL.dll
c:\windows\system32\RAPI.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\progra~1\MICROS~2\wcescomm.exe
c:\program files\OpenOffice.org1.1.4\program\soffice.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\windows\system32\CTsvcCDA.exe
c:\progra~1\MICROS~2\rapimgr.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Digital Imaging\bin\hpqSTE08.exe
c:\program files\Digital Imaging\Product Assistant\bin\hprblog.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\verclsid.exe
.
**************************************************************************
.
Heure de fin: 2010-01-09 22:32:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-09 21:32
ComboFix2.txt 2010-01-09 14:22

Avant-CF: 9 813 798 912 octets libres
Après-CF: 9 785 757 696 octets libres

- - End Of File - - 0A49DB435D9476365104F1679AA1D5D9
0
Réponse 24 / 43
Utilisateur anonyme
 
Bon, apparemment ce rootkit est coriace, je vais essayer de me renseigner pour trouver une solution et je te tient au courant rapidement.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
Merci beaucoup pour ton aide.
0
Réponse 26 / 43
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
salut ici

attention sansfilet sa peut venir de sa

- Mode FONCTIONNALITES REDUITES -

failt lui supprime et retelecharger combofix, une nouvelle version doit etre dispo et réessaye ton script

++
0
Réponse 27 / 43
Utilisateur anonyme
 
Salut Plopus,

Je n'avais pas vu les "fonctionnalités réduites", merci.
Nous allons aussi modifier le script (merci à Anthony pour son aide).

Alors, montmiraillh, voilà ce que tu vas faire :

• Supprime la version de ComboFix.exe que tu as actuellement et supprime également le ficher CFScript.tx présent sur ton bureau

• Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

• Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

• Copie (Ctrl+C) le texte qui se trouve ci-dessous :


KillAll::

Driver::
ubndn
bDMusicb

Rootkit::
C:\WINDOWS\System32\Drivers\ubndn.sys
C:\DOCUME~1\Bruno\LOCALS~1\Temp\bDMusicb.sys

Registry::
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ubndn]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ubndn
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ubndn]




• Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte copié.

• Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau.

• Désactive toutes tes protections

• Glisse le fichier CFScript.txt sur CBFix.exe comme montré ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

• Cela va relancer Combofix, patiente pendant que l'outil travaille.

• Après redémarrage, poste le rapport (présent dans C:\Combofix.txt).
0
Réponse 28 / 43
plopus Messages postés 5962 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
 
ta oublai une balise sans filet ici ;)

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ubndn

edit vite ton poste
0
Réponse 29 / 43
Utilisateur anonyme
 
Modifie le script comme çà : 

KillAll::

Driver::
ubndn
bDMusicb

Rootkit::
C:\WINDOWS\System32\Drivers\ubndn.sys
C:\DOCUME~1\Bruno\LOCALS~1\Temp\bDMusicb.sys

Registry::
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ubndn]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ubndn]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ubndn]
0
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
Merci, ça parait clean.
Un grand merci pour ce temps consacré à mon dépannage.
0
Réponse 30 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
ComboFix 10-01-04.01 - Bruno 10/01/2010 14:33:47.4.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.202 [GMT 1:00]
Lancé depuis: c:\documents and settings\Bruno\Bureau\CBFix.exe
Commutateurs utilisés :: c:\documents and settings\Bruno\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1351 [VPS 100109-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BDMUSICB
-------\Legacy_UBNDN
-------\Service_bDMusicb
-------\Service_ubndn


((((((((((((((((((((((((((((( Fichiers créés du 2009-12-10 au 2010-01-10 ))))))))))))))))))))))))))))))))))))
.

2010-01-09 16:43 . 2010-01-09 16:43 -------- d-----w- C:\_OTM
2010-01-09 12:08 . 2010-01-09 12:08 -------- d-----w- c:\program files\trend micro
2010-01-09 12:08 . 2010-01-09 12:09 -------- d-----w- C:\rsit
2010-01-08 17:42 . 2010-01-09 14:12 -------- d-----w- C:\ToolBar SD
2010-01-08 16:58 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-12-31 06:15 . 2009-12-31 06:15 -------- d-----w- c:\windows\system32\XPSViewer
2009-12-31 06:15 . 2009-12-31 06:15 -------- d-----w- c:\program files\MSBuild
2009-12-31 06:15 . 2009-12-31 06:15 -------- d-----w- c:\program files\Reference Assemblies
2009-12-31 06:15 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2009-12-31 06:14 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-12-31 06:14 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-12-31 06:14 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-12-31 06:14 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-12-31 06:14 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-12-31 06:14 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2009-12-31 06:14 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-12-31 06:14 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-12-12 13:47 . 2009-12-12 13:47 4844295 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 13:49 . 2005-01-14 22:00 -------- d-----w- c:\program files\OpenOffice.org1.1.4
2010-01-10 13:27 . 2008-08-19 17:29 -------- d-----w- c:\documents and settings\Bruno\Application Data\Spamihilator
2010-01-02 11:32 . 2008-10-19 07:54 -------- d-----w- c:\program files\Navilog1
2010-01-01 10:26 . 2001-08-24 12:00 92124 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-01 10:26 . 2001-08-24 12:00 525264 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-31 08:09 . 2005-01-12 10:05 15272 -c--a-w- c:\documents and settings\Bruno\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-30 13:10 . 2005-03-22 22:18 -------- d-----w- c:\program files\eMule
2009-12-12 13:47 . 2008-08-10 15:32 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-03 15:14 . 2008-08-10 15:32 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-08-10 15:32 19160 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-10-29 05:46 . 2004-08-03 22:54 666112 ------w- c:\windows\system32\wininet.dll
2009-10-21 06:03 . 2004-08-03 22:54 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 06:03 . 2004-08-03 22:54 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 14:58 . 2004-08-03 21:00 263552 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:52 . 2004-08-03 22:54 267776 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 17:50 . 2009-05-21 13:03 86576 -c--a-w- c:\documents and settings\Bruno\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-10-12 17:50 . 2009-05-21 13:03 392728 -c--a-w- c:\documents and settings\Bruno\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2009-10-12 17:50 . 2009-05-21 13:03 132672 -c--a-w- c:\documents and settings\Bruno\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-10-12 17:50 . 2009-10-12 17:50 1795456 ----a-w- c:\program files\Installation_WLMessenger2009.exe
2009-10-12 13:52 . 2004-08-03 22:54 69632 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:52 . 2004-08-03 22:54 113152 ----a-w- c:\windows\system32\rastls.dll
2006-02-21 18:42 . 2006-02-21 18:42 774144 -c--a-w- c:\program files\RngInterstitial.dll
2005-03-18 11:34 . 2005-04-14 17:47 41579 -c--a-w- c:\program files\mozilla firefox\components\jar50.dll
2005-03-18 11:34 . 2005-04-14 17:47 48229 -c--a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2005-03-18 11:34 . 2005-04-14 17:47 158829 -c--a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VirtualExpanderFile.1]
@="{E4000AC4-5E5F-4956-807A-C5854405D64F}"
[HKEY_CLASSES_ROOT\CLSID\{E4000AC4-5E5F-4956-807A-C5854405D64F}]
2007-10-21 11:05 73728 ----a-w- c:\windows\system32\VirtualExpander\VEShellExt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2008-12-23 1321984]
"CTCheck"="c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

c:\documents and settings\Bruno\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Bruno\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-5-21 135680]
OpenOffice.org 1.1.4.lnk - c:\program files\OpenOffice.org1.1.4\program\quickstart.exe [2004-10-28 61440]
VirtualExpander.lnk - c:\windows\system32\VirtualExpander\VirtualExpander.exe [2007-10-21 474808]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DataViz Inc Messenger.lnk - c:\program files\Fichiers communs\DataViz\DvzIncMsgr.exe [2006-9-9 28672]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispSettingPage"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Spamihilator\\cdcc.exe"=
"c:\\Program Files\\Spamihilator\\dccproc.exe"=
"c:\\Program Files\\Spamihilator\\spamihilator.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/04/2008 05:29 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/04/2008 05:29 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [16/09/2009 06:46 54752]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [07/06/2005 05:15 21344]
S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21:48 704864]
.
Contenu du dossier 'Tâches planifiées'

2010-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/mygarmin/m/GarminAxControl.CAB
FF - ProfilePath - c:\documents and settings\Bruno\Application Data\Mozilla\Firefox\Profiles\rzpzmzux.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://www.plusnetwork.com
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-fr&FORM=MIMWA1&q=
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA2&q=
FF - prefs.js: browser.search.selectedEngine - Live SearchFF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13); user_pref(general.useragent.extra.zencast, Creative ZENcast v2.00.13c:\program files\Mozilla Firefox\greprefs\all.js - pref("backups.number_of_prefs_copies", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.link.open_newwindow.ui", 3); // prefs UI version
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.closed", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.document", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.frames", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.history", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.length", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.opener", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.parent", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.self", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.top", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.default.Window.window", "allAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.disable_window_open_feature.status", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("advanced.always_load_images", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.protocol-handler.external.help", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.connect.timeout", 30); // in seconds
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.request.timeout", 120); // in seconds
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN_show_punycode", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.image.imageBehavior", 0); // 0-Accept, 1-dontAcceptForeign, 2-dontUse
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.cookieBehavior", 3); // 0-Accept, 1-dontAcceptForeign, 2-dontUse, 3-p3p
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.id", "{ec8030f7-c20a-464f-9b0e-13a3a9e97384}");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.version",
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.extensions.version", "1.0");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.build_id",
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.autoUpdateEnabled", true); // Whether or not background app updates
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.url", "chrome://mozapps/locale/update/update.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.updatesAvailable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.lastUpdateDate", 0); // UTC offset when last App update was
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("app.update.performed", false); // Whether or not an update has been
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.autoUpdateEnabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.autoUpdate", false); // Automatically download and install
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.interval", 604800000); // Check for updates to Extensions and
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.lastUpdateDate", 0); // UTC offset when last Extension/Theme
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.severity.threshold", 5);// The number of pending Extension/Theme
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.update.count", 0); // The number of extension/theme/etc
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update.interval", 3600000); // Check each of the above intervals
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update.showSlidingNotification", true); // Windows-only slide-up taskbar
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update.severity", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "update.mozilla.org,addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("general.useragent.vendor", "Firefox");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("general.useragent.vendorSub",
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.update.resetHomepage", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.startup.homepage_override.1", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.turbo.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://browser/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://browser/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update_notifications.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("update_notifications.provider.0.frequency", 7); // number of days
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.xul.error_pages.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("pfs.datasource.url", "chrome://mozapps/locale/plugins/plugins.properties");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 14:49
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1856)
c:\windows\system32\VirtualExpander\VEShellExt.dll
c:\windows\system32\shdoclc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\browselc.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\SHCTMTP.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\AVSrcU.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTIntrfu.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTConfig.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CtMtpRc.dll
c:\program files\Creative\Creative ZEN\ZEN Media Explorer\PicRc.dll
c:\progra~1\MICROS~2\Wcesview.dll
c:\progra~1\MICROS~2\pegconv.dll
c:\windows\system32\CEUTIL.dll
c:\windows\system32\RAPI.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\progra~1\MICROS~2\wcescomm.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\program files\OpenOffice.org1.1.4\program\soffice.exe
c:\windows\system32\CTsvcCDA.exe
c:\progra~1\MICROS~2\rapimgr.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Digital Imaging\bin\hpqSTE08.exe
c:\program files\Digital Imaging\Product Assistant\bin\hprblog.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2010-01-10 14:53:26 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-10 13:53
ComboFix2.txt 2010-01-09 21:32
ComboFix3.txt 2010-01-09 14:22

Avant-CF: 9 980 407 808 octets libres
Après-CF: 9 980 788 736 octets libres

- - End Of File - - E364A2DE776B18D609127D623AB69F73
0
Réponse 31 / 43
Utilisateur anonyme
 
Pourrais-tu refaire un scan avec gmer pour vérifier tout çà.
0
Réponse 32 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-11 17:09:47
Windows 5.1.2600 Service Pack 2
Running: 25dio548.exe; Driver: C:\DOCUME~1\Bruno\LOCALS~1\Temp\pwpirfow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----
0
Réponse 33 / 43
Utilisateur anonyme
 
Bien, c'est nettoyé, la suite :

• Télécharge Malwarebytes' Anti-Malware (MBAM)

• Double clique sur mbam-setup.exe pour lancer l'installation

• Laisse les options par défaut lors de l'installation

• Lance MBAM et laisse les Mises à jour se télécharger

• Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

• A la fin du scan, clique sur Afficher les résultats

• Coche tous les éléments détectés puis clique sur Supprimer la sélection

• S'il t'est demandé de redémarrer, clique sur Yes

• Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport se trouve dans l'onglet Rapports/Logs de MBAM


Puis refais un rapport rsit et copie/colle le dans une nouvelle réponse.
0
Réponse 34 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai perdu le compte rendu...je recommence
0
Réponse 35 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
Je l'ai retrouvé!
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3540
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

11/01/2010 19:09:37
mbam-log-2010-01-11 (19-09-37).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 162004
Temps écoulé: 57 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\ubndn.sys.vir (Rootkit.Agent) -> Delete on reboot.
C:\System Volume Information\_restore{D3321340-2DB8-4381-87D6-5DDFC8189A49}\RP1626\A0123312.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D3321340-2DB8-4381-87D6-5DDFC8189A49}\RP1627\A0123447.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D3321340-2DB8-4381-87D6-5DDFC8189A49}\RP1627\A0123818.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D3321340-2DB8-4381-87D6-5DDFC8189A49}\RP1628\A0125009.sys (Rootkit.Agent) -> Delete on reboot.
C:\System Volume Information\_restore{D3321340-2DB8-4381-87D6-5DDFC8189A49}\RP1628\A0125104.sys (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 36 / 43
Utilisateur anonyme
 
Peux-tu refaire un rapport rsit stp.
0
Réponse 37 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Bruno at 2010-01-11 20:07:53
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 9 GB (47%) free of 20 GB
Total RAM: 511 MB (36% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07, on 11/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~2\wcescomm.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\Bruno\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Bruno\Bureau\RSIT.exe
C:\Program Files\trend micro\Bruno.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~2\wcescomm.exe"
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Bruno\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: Garmin Communicator Plug-In - https://my.garmin.com/mygarmin/m/GarminAxControl.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O24 - Desktop Component 0: (no name) - http://media.laredoute.fr/images/270106/solde_hp_4.jpg
0
Réponse 38 / 43
Utilisateur anonyme
 
Bien, on continue :

• Sous XP : Double clique sur HijackThis qui se trouve ici ==> C:\Program Files\trend micro\Bruno.exe
• Sous Vista/7 : Fais un clic droit et choisis exécuter en tant qu'administrateur sur HijackThis qui se trouve ici ==> C:\Program Files\trend micro\Bruno.exe

• Clique sur Do a system Scan only

• Coche les cases suivantes (si elles sont présentes) : 



R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~2\wcescomm.exe"
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Bruno\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe




• Clique sur Fix checked puis sur "Oui" dans la fenêtre d'avertissement

• Ferme HijackThis


On va supprimer les différents outils utilisés :

• Télécharge ToolsCleaner sur ton Bureau

• Sous XP : Double clique sur ToolCleaner2.exe
• Sous Vista/7 : Fais un clic droit sur ToolCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"

• Clique sur Recherche et patiente pendant le scan

• Clique sur Suppression pour supprimer les outils

• Clique sur Quitter, un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\TCleaner.txt


Tu peux supprimer ToolsCleaner2.exe
0
Réponse 39 / 43
montmiraillh Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
 
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\TB.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Bruno\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Bruno\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Bruno\Bureau\Rsit.exe: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Navilog1\catchme.exe: trouvé !
C:\Program Files\Navilog1\Report\catchme.log: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\QooBox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Bruno\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Bruno\Bureau\Navilog1.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Navilog1\catchme.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\Bruno\Bureau\Rsit.exe: supprimé !
C:\Program Files\Navilog1\Report\catchme.log: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\QooBox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
0
Réponse 40 / 43
Utilisateur anonyme
 
Tu peux également supprimer le fichier CFScript.txt présent sur ton bureau.

Puis :

Suppression des points de restauration :
• Clique sur Démarrer
• Clique droit sur Poste de travail
• Clique sur Propriétés
• Clique sur l'onglet Restauration du système
• Clique sur Restauration système
• Coche la case Désactiver la Restauration du système sur tous les lecteurs
• Clique sur Appliquer
• Clique sur Oui au message "Voulez-vous vraiment déactiver la restauration système ?"
• Décoche la case Désactiver la Restauration du système sur tous les lecteurs
• Clique sur Appliquer
• Clique sur OK

Création d'un nouveau point de restauration :
• Clique sur Démarrer
• Clique sur Programmes
• Clique sur Accessoires
• Clique sur Outils système
• Clique sur Restauration système
• Active la restauration si un message le demande
• Sélectionne Créer un point de restauration
• Clique sur Suivant
• Entre une Description
• Clique sur Créer
• Clique sur Fermer


Nettoyage des fichiers temporaires et de la base de registre :

• Télécharge Ccleaner

• Lance l'installation en double cliquant sur le fichier téléchargé

• Laisse les options par défaut lors de l'installation

• Lance Ccleaner

• Clique sur le bouton Nettoyer et clique sur OK dans lafenêtre d'avertissement

• Clique sur l'onglet Registre

• Clique sur le bouton Chercher les erreurs

• Clique sur le bouton Corriger les erreurs sélectionnées

• Refais la recherche derreurs jusqu'à ce qu'il n'en trouve plus
0
montmiraillh
 
C'est fait
0

Discussions similaires

Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Win64 malware gen
jules555 -
bazfile -

1 réponse
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
tamagotchi version 1 et 2
nanalarockeuse -
Nayumi -

10 réponses