cheval de troie Fermé

Question

Bonjour,
J'ai une cheval de troie et je ne sais pas comment men debarasser est ce que quelqu'un pourrait maider svp? 
son nom est Win32:Zbot-MPD 
merci :)

Utilisateur anonyme · Answer

* Sous Vista : &#9654; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#9654; Télécharge Random's System Information Tool (RSIT).

&#9654; Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

&#9654; Double clique sur RSIT.exe pour lancer l'outil.

&#9654; Clique sur 'Continue' à l'écran Disclaimer.

&#9654; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#9654; Une fois le scan fini , 2 rapports vont apparaitre. &#9654; copie le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

&#9654; Ensuite viens coller dans ta prochaine réponse le rapport log.txt et dans une autre réponse la rapport info.txt afin qu'ils soient complet tout les 2.

liroymb · Answer

ok je fais ca de suite merci

liroymb · Answer

je nqrrive pqs a desactiver le compte administrateur, seulement celui invite commen je fais ?

Utilisateur anonyme · Answer

pas grave tu le fais pas on s'en occuperas aprés fais la suite

liroymb · Answer

ah g trouvé cest parce que jai xp, pas vista donc cest bon je peux faire sans ou jai une autre manip a faire avant de commencer ?

liroymb · Answer

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSI\Common\RaUI.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\patrick91\Local Settings\Temporary Internet Files\Content.IE5\0HEFOT6V\RSIT[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\patrick91.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Program Files\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MSI Wireless Utility.lnk = C:\Program Files\MSI\Common\RaUI.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

liroymb · Answer

info.txt logfile of random's system information tool 1.06 2010-01-30 18:07:26

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Carte LAN sans fil MSI-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FCD71234-2287-41D2-96AD-3D3C66D60FBC}\setup.exe" -l0x40c  -removeonly
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Google Chrome-->"C:\Program Files\Google\Chrome\Application\4.0.249.78\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{3A05B900-A3E7-11DE-A9B7-005056806466}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958470)-->"C:\WINDOWS\$NtUninstallKB958470$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971032)-->"C:\WINDOWS\$NtUninstallKB971032$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
SiS Audio Driver-->C:\Program Files\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"

======Security center information======

AV: avast! antivirus 4.8.1368 [VPS 100130-0]

======System event log======

Computer Name: PATRICK
Event Code: 7036
Message: Le service Services Terminal Server est entré dans l'état : en cours d'exécution.

Record Number: 122
Source Name: Service Control Manager
Time Written: 20091026190913.000000+060
Event Type: Informations
User: 

Computer Name: PATRICK
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Services Terminal Server.

Record Number: 121
Source Name: Service Control Manager
Time Written: 20091026190913.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: PATRICK
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger : 
Fips
Processor

Record Number: 120
Source Name: Service Control Manager
Time Written: 20091026190913.000000+060
Event Type: erreur
User: 

Computer Name: PATRICK
Event Code: 10005
Message: DCOM a reçu l'erreur "%1084" lors de la mise en route du service EventSystem avec les arguments ""
pour démarrer le serveur :
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Record Number: 119
Source Name: DCOM
Time Written: 20091026190758.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: PATRICK
Event Code: 4201
Message: Le système a détecté que la carte réseau Hercules... - Miniport d'ordonnancement de paquets était connectée au réseau,
et a lancé une opération normale sur la carte réseau.

Record Number: 118
Source Name: Tcpip
Time Written: 20091026190738.000000+060
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 1 Stepping 3, GenuineIntel
"PROCESSOR_REVISION"=0103
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Utilisateur anonyme · Answer

• Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
• Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
• Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
• Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
• Sélectionne Exécuter un examen complet.
• Clique sur Rechercher. L'analyse démarre.
• A la fin de l'analyse, un message s'affiche :

"L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés."

• Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
• Ferme tes navigateurs.
• Si des malwares ont été détectés, clique sur Afficher les résultats.
• Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

liroymb · Answer

des que jessaie de telecharger en cliquant sur le lien jai 12000 fenetres d'avast avec le nom du cheval de troie qui m'apparaisse et mempeche de telecharger, quest ce que je fais ?

Utilisateur anonyme · Answer

bizarre ? essais sa 
http://store.malwarebytes.org/...

ou le (hébergé sur comment ca marche ) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

liroymb · Answer

ca fait pareil :( 
est ce que je peux essayer de lenregister plutot que de lexecuter ? ou ca changera rien ?

Utilisateur anonyme · Answer

désactive avast je viens de faire analyser les fichier y aucun virus
et suis la procédure avec avast désactiver

liroymb · Answer

avast est desactive mai g kan mem une message derreur ki apparai en me disai que les fichiers sont corrompus et que je devrai en obtenir une autre copie

Utilisateur anonyme · Answer

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
tuto pour t'aider vu le problème qu'il y a u plus haut http://www.commentcamarche.net/faq/sujet-7036-desactiver-partiellement-l-uac

télécharge combofix (par sUBs) 



et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

liroymb · Answer

je psne que le probleme vien du fait que cest pas vista que jai, je nai aucune option de desactivation de compte utilisateur autre que dans le compte invite, je ne peux donc ni le faire ni suivre les instructions vu quelles sont pour vista

Utilisateur anonyme · Answer

dac fais pas la désactivation des compte d'utilisateur y pas sous xp je me suis trompé de topic

fais le reste et ferme toute les application surtout et ne touche plus a ton PC

liroymb · Answer

ouf en fin reussi, voici le rapport 

ComboFix 10-01-29.09 - patrick91 30/01/2010  19:11:30.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.255.125 [GMT 1:00]
Lancé depuis: c:\documents and settings\patrick91\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100130-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\PATRIC~1\LOCALS~1\Temp\install_flash_player.exe
c:\docume~1\PATRIC~1\LOCALS~1\Temp	mp1.tmp
c:\docume~1\PATRIC~1\LOCALS~1\Temp	mp2.tmp
c:\windows\logfile32.txt
c:\windows\system32\i
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\sdra64.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-28 au 2010-01-30  ))))))))))))))))))))))))))))))))))))
.

2010-01-30 17:07 . 2010-01-30 17:07	--------	d-----w-	c:\program files	rend micro
2010-01-30 17:07 . 2010-01-30 17:07	--------	d-----w-	C:sit
2010-01-29 18:38 . 2010-01-29 20:24	--------	d-----w-	C:\ff7a890173d582b45abc96e89e33813d
2010-01-28 18:33 . 2010-01-28 18:33	--------	d-----w-	c:\windows\ServicePackFiles
2010-01-28 18:30 . 2010-01-29 18:06	--------	d-----w-	c:\windows\system32\CatRoot_bak
2010-01-27 17:48 . 2008-10-24 11:10	453632	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-01-27 17:15 . 2009-08-04 17:05	2138112	-c----w-	c:\windows\system32\dllcache
tkrnlmp.exe
2010-01-27 17:15 . 2009-08-04 17:05	2059776	-c----w-	c:\windows\system32\dllcache
tkrnlpa.exe
2010-01-27 17:15 . 2009-08-04 17:05	2182400	-c----w-	c:\windows\system32\dllcache
toskrnl.exe
2010-01-27 17:15 . 2009-08-04 17:05	2017792	-c----w-	c:\windows\system32\dllcache
tkrpamp.exe
2010-01-24 20:28 . 2010-01-30 15:30	--------	d--h--w-	c:\windows\$hf_mig$
2010-01-14 20:13 . 2009-11-24 23:49	48560	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-01-14 20:13 . 2009-11-24 23:48	23120	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-01-14 20:13 . 2009-11-24 23:47	27408	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-01-14 20:13 . 2009-11-24 23:47	97480	----a-w-	c:\windows\system32\AvastSS.scr
2010-01-14 20:13 . 2009-11-24 23:50	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-01-14 20:13 . 2009-11-24 23:51	93424	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-01-14 20:13 . 2009-11-24 23:50	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-01-14 20:13 . 2009-11-24 23:50	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-01-14 20:12 . 2009-11-24 23:54	1280480	----a-w-	c:\windows\system32\aswBoot.exe
2010-01-14 20:12 . 2003-03-18 20:20	1060864	----a-w-	c:\windows\system32\MFC71.dll
2010-01-14 20:12 . 2003-03-18 19:14	499712	----a-w-	c:\windows\system32\MSVCP71.dll
2010-01-14 20:12 . 2003-02-21 03:42	348160	----a-w-	c:\windows\system32\MSVCR71.dll
2010-01-14 20:12 . 2010-01-14 20:12	--------	d-----w-	c:\program files\Alwil Software
2010-01-13 19:31 . 2010-01-14 19:37	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Temp
1601-01-01 00:00 . 1601-01-01 00:00	--------	d-----w-	c:\windows\LastGood.Tmp

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-30 11:24 . 2004-08-05 12:00	71248	----a-w-	c:\windows\system32\perfc00C.dat
2010-01-30 11:24 . 2004-08-05 12:00	458230	----a-w-	c:\windows\system32\perfh00C.dat
2009-11-21 16:42 . 2004-08-05 12:00	470528	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-16 20:09 . 2009-11-16 20:09	12328	----a-w-	c:\documents and settings\patrick91\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-16 19:54 . 2009-10-26 17:04	86331	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
MSI Wireless Utility.lnk - c:\program files\MSI\Common\RaUI.exe [2009-11-16 425984]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [14/01/2010 21:13 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [14/01/2010 21:13 20560]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\windows\system32\drivers\sis7012.sys [03/11/2004 14:14 267136]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [26/10/2009 20:08 133104]
.
Contenu du dossier 'Tâches planifiées'

2009-10-26 c:\windows\Tasks\Driver Robot.job
- c:\program files\Driver Robot\1.1.0.13\DriverRobot.exe [2009-10-26 21:35]

2010-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-26 19:07]

2010-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-26 19:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-DriverUpdaterPro - c:\program files\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe
AddRemove-SiS7012 - c:\program files\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-30 19:28
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-01-30  19:32:58 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-01-30 18:32

Avant-CF: 15 132 397 568 octets libres
Après-CF: 15 599 636 480 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 81A3C4923C5AFCF1CC85E7326EFA5DD1

Utilisateur anonyme · Answer

ensuite malwarebyte's

liroymb · Answer

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3663
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30/01/2010 20:15:25
mbam-log-2010-01-30 (20-15-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 129039
Temps écoulé: 26 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{4A6557BC-EF56-477D-BD8E-2B7B4688043F}\RP38\A0016983.sys (Malware.Trace) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur le bureau .

• Choisir l'option1 recherche 
(d’autres options disponibles, voir le tutoriel).
• Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

&#9679; Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

&#9679; Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

après avoir posté le rapport usbfix fais sa 

Téléchargez AD remover et enregistrez le fichier d installation sur le bureau

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Double cliquez sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
Au menu principal choisir
Option L Lancer le nettoyage
et tape sur [entrée] .
Laisse travailler l'outil et ne touchez à rien ...
Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

liroymb · Answer

est ce qu'il y a besoin que je le fasse si je nai jamais rien branché dessus et donc que la je n'ai encore rien a brancher ?

Utilisateur anonyme · Answer

pas de clé USB ? fais le quand même

liroymb · Answer

non rien du tou 
mais daccord

liroymb · Answer

############################## | UsbFix V6.082 |

User : patrick91 (Administrateurs) # PATRICK
Update on 29/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:34:58 | 30/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

                Intel(R) Celeron(R) CPU 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100130-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 19,13 Go (14,53 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 480
C:\WINDOWS\system32\csrss.exe 528
C:\WINDOWS\system32\winlogon.exe 568
C:\WINDOWS\system32\services.exe 612
C:\WINDOWS\system32\lsass.exe 624
C:\WINDOWS\system32\svchost.exe 784
C:\WINDOWS\system32\svchost.exe 852
C:\WINDOWS\System32\svchost.exe 920
C:\WINDOWS\system32\svchost.exe 996
C:\WINDOWS\system32\svchost.exe 1084
C:\WINDOWS\Explorer.EXE 1308
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1344
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1392
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1492
C:\Program Files\MSI\Common\RaUI.exe 1572
C:\WINDOWS\system32\spoolsv.exe 1848
C:\WINDOWS\system32\svchost.exe 260
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1416
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1628
C:\WINDOWS\System32\alg.exe 2192
C:\Program Files\Internet Explorer\IEXPLORE.EXE 2532
C:\WINDOWS\system32\NOTEPAD.EXE 2640
C:\WINDOWS\system32\wuauclt.exe 2880
C:\WINDOWS\system32\wbem\wmiprvse.exe 2496

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |


################## | ! Fin du rapport # UsbFix V6.082 ! |

liroymb · Answer

et voici le deuxieme rapport
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 29.01.2010 à 16:43
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:42:47, 30/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: PATRICK | Utilisateur actuel: patrick91
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.


(!) -- Fichiers temporaires supprimés.
 
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} 
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
1745 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
0 Fichier(s) - C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp 
5 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
17 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 20:45:52 | 30/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.

Utilisateur anonyme · Answer

comment va ton pc ? met a jour ton pc ici http://www.microsoft.com/fr-fr/download/default.aspx
telecharge toute les mise a jour installe internet explorer 8 .

Utilisateur anonyme · Answer

tu a mis a jour ton pc si oui fais le regulierement ? alors on passe a la fin fais un scan en ligne ICI AVEC INTERNET EXPLORER a la fin il te demande si tu ve un rapport tu fais oui et tu le colle dans ta prochaine ensuite Pour nettoyer les outils utilsés *Télécharge ToolsCleaner * Clique sur Recherche *Clique sur Suppression pour finaliser *Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). *Le programme peu planter laisse le tourner quand meme *Télécharge :ATF Cleaner par Atribune *Sous l'onglet Main, choisis : Select All *Clique sur le bouton Empty Selected Tu peux garder ATF pour d'eventuels netttoyages Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) Va dans Nettoyeur, choisis Analyse Une fois terminé, lance le nettoyage choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs il faut que les options de reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) fais une Défragmentation de tes Disques comme expliquer ici vérifie les mise a jour java JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait suprimer tes point de restauration

liroymb · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 29.01.2010 à 16:43
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:42:47, 30/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: PATRICK | Utilisateur actuel: patrick91
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.


(!) -- Fichiers temporaires supprimés.
 
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} 
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
1745 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
0 Fichier(s) - C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp 
5 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
17 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 20:45:52 | 30/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.

Utilisateur anonyme · Answer

pourquoi ce scan je ne t'ai rien demandé dans ce sens regarde plus haut ce qui est demandé SVP
  
                encore un fois a tu mis a jour ?

liroymb · Answer

oui oui jai mis a jour

Utilisateur anonyme · Answer

fais le reste donc

liroymb · Answer

jarrive pa a rechercher les mises a jour pour java parce quil nest pas installe du tou sur mon ordi, jen ai besoin pour quoi ?

Utilisateur anonyme · Answer

ces mieux de l'avoir passe a la suite si sa t'intéresse pas 

c'est expliquer a quoi sa sert ici http://www.java.com/fr/download/faq/whyjava.xml

Utilisateur anonyme · Answer

fais le scan avec internet explorer ici

Cheval de troie

34 réponses

Discussions similaires