Bonjour, J'ai été avisé d'une infection trojan par antivir et fait le nécessaire pour le supprimer. J'ai besoin de vos éclairages pour m'aider à nettoyer mon ordi de ces cochonneries car mon dernier coup d'Antivir a planté en plein milieu avec un bel écran bleu plutôt inquiétant !!! Merci d'avance ! guillaume

security essentials...n'importe quoi !!

Infection par trojan et antivir planté !

Réponse 21 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
3 févr. 2010 à 05:16

ok

ils sont dans la restauration systeme, pas de soucis

1)
Cherches et cliques sur C:\Program Files\trend micro\guille.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked (s’il manque des lignes…pas grave)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

……………………..

2)
Mettre à jour internet explorer
https://support.microsoft.com/fr-fr/allproducts
………….

3)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm

……………..

4)
Télécharge ToolsCleaner2sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Tu peux supprimer ToolCleaner ensuite

Réponse 22 / 90

Utilisateur anonyme
3 févr. 2010 à 16:54

salut faut passer ca sur VT :

_DEISREG.ISR
_ISREG32.DLL

Réponse 23 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
3 févr. 2010 à 17:57

salut gen

franchement, je ne suis pas inquiet sur ceux là (d'apres mes recherches)..

donc amaguis, veux tu faire ceci en plus du post 25 (sinon GEN ne va pas me lacher c'est sûr)

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\DEISREG.ISR
C:\ISREG32.DLL

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

amaguis
3 févr. 2010 à 22:24

J'ai donc lancé guille.exe checké les lignes en question et suivi la procédure jusqu'au redémarrage et la plantage à l'extinction.
fermeture forcée puis F2 après lancement windows avec remise à l'heure et date.

Je poursuit par la purge de la restauration ??? ou il faut prévoir autre chose ?

amaguis > amaguis
3 févr. 2010 à 22:25

mise a jour IE faite également

amaguis > amaguis
3 févr. 2010 à 22:36

voici le rapport toolcleaner

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\guille\Local Settings\temp\2C.tmp\mbr.log: trouvé !
C:\Documents and Settings\guille\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\guille\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\2C.tmp\mbr.log: trouvé !
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Documents and Settings\guille\Local Settings\temp\2C.tmp\mbr.log: supprimé !
C:\Documents and Settings\guille\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\2C.tmp\mbr.log: supprimé !
C:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\guille\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\FindyKill: supprimé !

amaguis > amaguis
3 févr. 2010 à 22:42

resultat 1er fichier

Fichier _DEISREG.ISR reçu le 2010.02.03 21:38:51 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.03 -
AhnLab-V3 5.0.0.2 2010.02.03 -
AntiVir 7.9.1.158 2010.02.03 -
Antiy-AVL 2.0.3.7 2010.02.03 -
Authentium 5.2.0.5 2010.02.03 -
Avast 4.8.1351.0 2010.02.02 -
AVG 9.0.0.730 2010.02.03 -
BitDefender 7.2 2010.02.03 -
CAT-QuickHeal 10.00 2010.02.03 -
ClamAV 0.96.0.0-git 2010.02.03 -
Comodo 3809 2010.02.03 -
DrWeb 5.0.1.12222 2010.02.03 -
eSafe 7.0.17.0 2010.02.03 -
eTrust-Vet 35.2.7278 2010.02.03 -
F-Prot 4.5.1.85 2010.02.03 -
F-Secure 9.0.15370.0 2010.02.03 -
Fortinet 4.0.14.0 2010.02.03 -
GData 19 2010.02.03 -
Ikarus T3.1.1.80.0 2010.02.03 -
Jiangmin 13.0.900 2010.02.03 -
K7AntiVirus 7.10.966 2010.02.03 -
Kaspersky 7.0.0.125 2010.02.03 -
McAfee 5881 2010.02.03 -
McAfee+Artemis 5881 2010.02.03 -
McAfee-GW-Edition 6.8.5 2010.02.03 -
Microsoft 1.5406 2010.02.03 -
NOD32 4832 2010.02.03 -
Norman 6.04.03 2010.02.03 -
nProtect 2009.1.8.0 2010.02.03 -
Panda 10.0.2.2 2010.02.03 -
PCTools 7.0.3.5 2010.02.03 -
Prevx 3.0 2010.02.03 -
Rising 22.33.02.04 2010.02.03 -
Sophos 4.50.0 2010.02.03 -
Sunbelt 3.2.1858.2 2010.02.03 -
TheHacker 6.5.1.0.179 2010.02.03 -
TrendMicro 9.120.0.1004 2010.02.03 -
VBA32 3.12.12.1 2010.02.03 -
ViRobot 2010.2.3.2170 2010.02.03 -
VirusBuster 5.0.21.0 2010.02.03 -
Information additionnelle
File size: 175 bytes
MD5...: 30ec1c45869d0ecf39590f54e0ad6337
SHA1..: c691ed58bb471f3957a1a49259e4d80ab85b8ee5
SHA256: d4f109007670599f5332cfbf7cfb07b9ee092b64aeec2c6b94342e2809ba7453
ssdeep: 3:lIMtEYyG1ovDIm0fiRgKRLNAFVhpQYLGFVEVWER1X4RvXREBIXWRxQLF+6wRLV Ed:lx2YJovDb0qRgKRLNupQYSFVEVNupXRr 
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Generic INI configuration (100.0%)
sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned

amaguis > amaguis
3 févr. 2010 à 22:45

resultat 2eme fichier

Fichier _ISREG32.DLL reçu le 2010.02.03 21:43:06 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.03 -
AhnLab-V3 5.0.0.2 2010.02.03 -
AntiVir 7.9.1.158 2010.02.03 -
Antiy-AVL 2.0.3.7 2010.02.03 -
Authentium 5.2.0.5 2010.02.03 -
Avast 4.8.1351.0 2010.02.02 -
AVG 9.0.0.730 2010.02.03 -
BitDefender 7.2 2010.02.03 -
CAT-QuickHeal 10.00 2010.02.03 -
ClamAV 0.96.0.0-git 2010.02.03 -
Comodo 3809 2010.02.03 -
DrWeb 5.0.1.12222 2010.02.03 -
eSafe 7.0.17.0 2010.02.03 -
eTrust-Vet 35.2.7278 2010.02.03 -
F-Prot 4.5.1.85 2010.02.03 -
F-Secure 9.0.15370.0 2010.02.03 -
Fortinet 4.0.14.0 2010.02.03 -
GData 19 2010.02.03 -
Ikarus T3.1.1.80.0 2010.02.03 -
Jiangmin 13.0.900 2010.02.03 -
K7AntiVirus 7.10.966 2010.02.03 -
Kaspersky 7.0.0.125 2010.02.03 -
McAfee 5881 2010.02.03 -
McAfee+Artemis 5881 2010.02.03 -
McAfee-GW-Edition 6.8.5 2010.02.03 -
Microsoft 1.5406 2010.02.03 -
NOD32 4832 2010.02.03 -
Norman 6.04.03 2010.02.03 -
nProtect 2009.1.8.0 2010.02.03 -
Panda 10.0.2.2 2010.02.03 -
PCTools 7.0.3.5 2010.02.03 -
Prevx 3.0 2010.02.03 -
Rising 22.33.02.04 2010.02.03 -
Sophos 4.50.0 2010.02.03 -
Sunbelt 3.2.1858.2 2010.02.03 -
TheHacker 6.5.1.0.179 2010.02.03 -
TrendMicro 9.120.0.1004 2010.02.03 -
VBA32 3.12.12.1 2010.02.03 -
ViRobot 2010.2.3.2170 2010.02.03 -
VirusBuster 5.0.21.0 2010.02.03 -
Information additionnelle
File size: 47104 bytes
MD5...: f878e5b5c4a3d699903ef4bc938d055d
SHA1..: e951b4ddc3a4e5517358b09a2029763ad7fa6e4c
SHA256: 120bc587fc807684f236dc920983ef57c648c91f24ebf82751511f676af2c921
ssdeep: 768:Ozg67mMinkpLzD0fdaVOAbdbXtsgYJCVLiger2htBH:Ozg67xinkpLz4fdez NXtsRJiugGmtBH 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x3db0 timedatestamp.....: 0x364b65fa (Thu Nov 12 22:49:30 1998) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x66a0 0x6800 6.42 a338ce8b0a773f54684ac0f5ff163ef3 .rdata 0x8000 0xeb2 0x1000 5.09 77c4594f723b8ddaaed88ed2801ca238 .data 0x9000 0x4d7c 0x2e00 1.37 9718f957d1dc050cfddf7f57fe67c5a2 .rsrc 0xe000 0x328 0x400 2.60 6c47d26fa9939733c208184bd8c09073 .reloc 0xf000 0x938 0xa00 5.86 f7ad4f39c6beb2734b0dfed2faaa69ab ( 6 imports ) > VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA > KERNEL32.dll: lstrcmpA, lstrcpynA, IsDBCSLeadByte, GetVersionExA, DeleteFileA, GetCommandLineA, WinExec, GetPrivateProfileIntA, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, LoadLibraryA, lstrcatA, GetSystemDirectoryA, ReadFile, SetFilePointer, CloseHandle, CreateFileA, GetFileSize, lstrlenA, lstrcpyA, lstrcmpiA, GetProcAddress, FreeLibrary, LCMapStringA, GetVersion, HeapDestroy, WideCharToMultiByte, GetEnvironmentStringsW, GetEnvironmentStrings, GetStringTypeA, GetStringTypeW, WriteFile, HeapCreate, GetOEMCP, GetACP, FlushFileBuffers, SetStdHandle, LCMapStringW, VirtualFree, VirtualAlloc, GetModuleFileNameA, HeapFree, HeapAlloc, GetLastError, HeapCompact, FreeEnvironmentStringsW, GetCPInfo, FreeEnvironmentStringsA, GetStartupInfoA, ExitProcess, TerminateProcess, GetCurrentProcess, SetHandleCount, GetStdHandle, GetFileType > USER32.dll: wsprintfA, MessageBoxA, CharPrevA, CharNextA, GetWindowTextA, SetCursor, LoadCursorA > ADVAPI32.dll: RegQueryValueExA, RegEnumKeyA, RegSetValueExA, RegCloseKey, RegDeleteKeyA, RegOpenKeyA, CloseServiceHandle, OpenSCManagerA > ole32.dll: OleInitialize, OleUninitialize > OLEAUT32.dll: -, - ( 23 exports ) AddAlias32, CallDll32, FixMerge32, GetFilename32, GetPrivateProfileInt2, GetPrivateProfileSection2, GetPrivateProfileString2, GetProfInt32, GetProfSetup32, GetProfString32, GetStringVer, IncrementIDAPIUseCount32, IntlConfig32, MergeCfg32, ModifyCfgValue32, RegFile32, RegTlbFile32, StrLengthEx32, UninstInitialize, UninstUnInitialize, _InstallDataSource32, _InstallODBCDrv32, _InstallODBCDrvMgr32 
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%)
sigcheck: publisher....: Stirling copyright....: Copyright (c) 1995 product......: Stirling _isreg32 description..: _isreg32 original name: _isreg32.dll internal name: _isreg32 file version.: 2, 0, 0, 0 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned

Réponse 24 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
4 févr. 2010 à 05:09

ok

les scans en lignes sont bons (!!!)

as tu purger la restauration ?

amaguis
4 févr. 2010 à 06:42

oui je l'ai fait

Réponse 25 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
4 févr. 2010 à 06:48

bien

si tout est ok pour toi alors => résolu

Réponse 26 / 90

amaguis
4 févr. 2010 à 07:13

Tout semble ok bien que je trouve que l'ordi rame plus qu'avant !

Réponse 27 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
4 févr. 2010 à 07:18

je trouve que l'ordi rame plus qu'avant !

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

amaguis
4 févr. 2010 à 07:46

http://www.cijoint.fr/cjlink.php?file=cj201002/cij8rten6c.txt

Réponse 28 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
4 févr. 2010 à 08:06

connais tu ceci

C:\Program Files\Cube

......................

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Imoresea\Entretien\Nettoyeur_auto\Nettoyeur_auto.exe
C:\Program Files\Zattoo\zattood.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

Réponse 29 / 90

amaguis
5 févr. 2010 à 07:21

le dossier CUBE était vide donc j'ai viré
Le dossier imoresea n'existe plus j'avais du faire du ménage entre temps ;-)
le fichier zatoo.exe n'était pas dans ce dossier, j'ai désinstalle ce programme.

Réponse 30 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
5 févr. 2010 à 07:35

ok

dans le doute

Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes

C:\Imoresea\Entretien\Nettoyeur_auto\Nettoyeur_auto.exe
C:\Program Files\Zattoo\zattood.exe

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

Réponse 31 / 90

amaguis
5 févr. 2010 à 09:19

ZHPFix v1.12.31 by Nicolas Coolman - Rapport de suppression du 05/02/2010 09:16:59
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
C:\Imoresea\Entretien\Nettoyeur_auto\Nettoyeur_auto.exe => Fichier absent
C:\Program Files\Zattoo\zattood.exe => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0

End of the scan

amaguis
5 févr. 2010 à 09:46

c'est dingue l'ordi se traine, j'ai fait un redémarrage, il a planté à la fermeture de windows...

fermeture forcée puis je démarre, lance firefox, qui s'ouvre 3 minutes après !!!

thunderbird lui s'ouvre normalement mais en revanche impossible de cliquer sur un lien dans les messages ... rien ne se passe ! pas de communication entre les 2 logiciels !

Réponse 32 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
5 févr. 2010 à 11:03

ok

on relève les manches...

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l’installer remets provisoirement internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

amaguis
5 févr. 2010 à 12:21

ComboFix 10-02-04.06 - guille 05/02/2010 11:56:16.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.692 [GMT 1:00]
Lancé depuis: c:\documents and settings\guille\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-05 au 2010-02-05 ))))))))))))))))))))))))))))))))))))
.

2010-02-04 12:39 . 2010-02-04 12:39 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-02-04 06:31 . 2010-02-05 08:16 -------- d-----w- c:\program files\ZHPDiag
2010-02-04 02:00 . 2010-02-04 02:00 -------- d-----w- c:\windows\ie8updates
2010-02-03 21:28 . 2010-02-03 21:28 -------- d-----w- c:\documents and settings\HelpAssistant\IETldCache
2010-02-03 21:21 . 2009-12-21 19:06 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-02-03 21:21 . 2009-12-21 19:06 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-02-03 21:21 . 2009-12-21 19:06 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-02-03 21:21 . 2009-12-21 19:06 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-03 21:21 . 2009-12-21 19:07 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-02-03 21:21 . 2009-12-21 19:06 11070464 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-02-03 21:15 . 2010-02-03 21:15 -------- d-sh--w- c:\documents and settings\guille\IETldCache
2010-02-02 06:58 . 2010-02-02 06:58 -------- d-----w- C:\Kill'em
2010-02-01 21:39 . 2010-02-02 06:58 -------- d-----w- c:\program files\List_Kill'em
2010-02-01 05:41 . 2010-02-03 21:34 -------- d-----w- c:\program files\trend micro
2010-01-31 20:48 . 2010-01-14 10:12 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-31 13:29 . 2010-01-31 13:29 -------- d-----w- c:\documents and settings\guille\Application Data\Yahoo!
2010-01-31 13:29 . 2010-01-31 13:31 -------- d-----w- c:\program files\Yahoo!
2010-01-27 14:08 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-01-27 14:08 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-01-23 12:32 . 2010-01-23 12:32 -------- d-----w- c:\documents and settings\HelpAssistant\WINDOWS
2010-01-23 12:32 . 2010-01-23 12:32 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-01-23 12:32 . 2010-01-23 12:32 -------- d-----w- c:\documents and settings\HelpAssistant\mahjongg3d
2010-01-13 14:15 . 2010-01-13 16:32 -------- d-----w- C:\Tintin
2010-01-13 06:53 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-10 16:37 . 2010-01-10 16:37 -------- d-----w- c:\program files\DIFX
2010-01-10 16:37 . 2010-01-10 16:37 187 ----a-w- C:\logfile.dat
2010-01-10 16:37 . 2008-07-14 15:40 18560 ----a-w- c:\windows\system32\drivers\FlyUsb.sys
2010-01-10 16:35 . 2010-01-10 16:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Leapfrog
2010-01-10 16:34 . 2010-01-10 16:36 -------- d-----w- c:\program files\LeapFrog

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-05 08:39 . 2004-08-05 12:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-05 08:39 . 2004-08-05 12:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-05 08:37 . 2008-01-09 19:26 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-02-05 08:31 . 2009-06-04 05:48 -------- d-----w- c:\program files\ShotOnline
2010-01-31 15:02 . 2009-01-03 15:23 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-31 15:01 . 2009-01-03 15:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-31 13:58 . 2009-01-20 06:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Spyware Terminator
2010-01-31 13:57 . 2009-01-20 06:43 -------- d-----w- c:\documents and settings\guille\Application Data\Spyware Terminator
2010-01-31 13:50 . 2008-01-09 14:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-31 13:26 . 2009-09-26 08:10 -------- d-----w- c:\documents and settings\guille\Application Data\Samsung
2010-01-26 18:33 . 2009-01-19 15:37 -------- d-----w- c:\program files\gbllmbam
2010-01-26 06:45 . 2009-04-18 06:55 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-24 08:00 . 2008-01-15 20:59 -------- d-----w- c:\documents and settings\guille\Application Data\OpenOffice.org2
2010-01-10 16:35 . 2008-02-02 08:21 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-01-07 15:07 . 2009-01-07 18:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-01-07 18:06 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-21 20:41 . 2009-06-28 20:03 -------- d-----w- c:\program files\adslTV
2009-12-21 19:07 . 2004-09-29 18:49 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-06 17:40 . 2008-01-15 20:59 1 ----a-w- c:\documents and settings\guille\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-11-21 15:58 . 2004-08-05 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2005-02-25 589824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-05-25 5562368]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 544768]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TagMonitor"="c:\program files\LeapFrog\LeapFrog Connect Tag\bin\TagMonitor.exe" [2008-07-14 886088]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\LeapFrog\\LeapFrog Connect Tag\\bin\\TAGMonitor.exe"=
"c:\\Program Files\\LeapFrog\\LeapFrog Connect Tag\\bin\\LeapFrogConnectTag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5883:TCP"= 5883:TCP:emule
"5884:UDP"= 5884:UDP:emule udp
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"6733:TCP"= 6733:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"1586:TCP"= 1586:TCP:Services
"6788:TCP"= 6788:TCP:Services

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [20/01/2009 07:43 142592]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/03/2009 11:52 717296]
S3 FlyUsb;FLY Fusion;c:\windows\system32\drivers\FlyUsb.sys [10/01/2010 17:37 18560]
S3 phil2vid;Appareil photo VGA USB Philips PCVC690;c:\windows\system32\drivers\philcam2.sys [07/07/2009 08:37 173696]
.
Contenu du dossier 'Tâches planifiées'

2010-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
.
.
------- Examen supplémentaire -------
.
IE: Crawler Search
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
FF - ProfilePath - c:\documents and settings\guille\Application Data\Mozilla\Firefox\Profiles\rmvt3qvy.default\
FF - prefs.js: network.proxy.ftp - 189.19.53.214
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 189.19.53.214
FF - prefs.js: network.proxy.gopher_port - 8080
FF - prefs.js: network.proxy.http - 70.131.128.44
FF - prefs.js: network.proxy.http_port - 8085
FF - prefs.js: network.proxy.socks - 189.19.53.214
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 189.19.53.214
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npitunes.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-FindyKill - c:\findykill\Uninstal.exe
AddRemove-tc08-DE_SEVENONE_MAIN - c:\games\IKK Direkt Mountainbike Challenge 08\uninstall.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-05 12:05
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x864EA940]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf764ff28
\Driver\ACPI -> ACPI.sys @ 0xf74b1cb8
\Driver\atapi -> atapi.sys @ 0xf7469852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> 0x85577330
PacketIndicateHandler -> NDIS.sys @ 0xf7339a0d
SendHandler -> NDIS.sys @ 0xf734db40
user & kernel MBR OK

**************************************************************************
.
Heure de fin: 2010-02-05 12:10:04
ComboFix-quarantined-files.txt 2010-02-05 11:10

Avant-CF: 8 746 909 696 octets libres
Après-CF: 8 737 841 152 octets libres

- - End Of File - - 08664D6DB7F2BCB959CA09FDD8D272F3

Réponse 33 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
5 févr. 2010 à 16:24

presence de rookit confirmée

pour être sûr

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
"%userprofile%\Bureau\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

amaguis
5 févr. 2010 à 23:00

voici le log rien trouvé

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Réponse 34 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
5 févr. 2010 à 23:08

ok

le pc rame t il encore ?

Réponse 35 / 90

Utilisateur anonyme
5 févr. 2010 à 23:09

salut moment de grace l'option 6 de List_Kill'em restore le MBR ;)

Réponse 36 / 90

amaguis
5 févr. 2010 à 23:24

je viens de redémarrer mon ordi , tout s'est bien passé ... enfin !
En revanche firefox met 2 ou 3 minutes pour se lancer ... c'est çà ramer ? ;-)

Réponse 37 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
5 févr. 2010 à 23:30

peut etre qu'apres tout ca il faudrait réinstaller firefox, ce serait plus sage

mais avant

faisons ce qu'indique Gen Hackman qui est de confiance

▶ Relance List&Kill'em avec le raccourci sur ton bureau ,

mais cette fois-ci :

▶ choisis l'option 6 restore le MBR

postes le rapport généré

Réponse 38 / 90

Utilisateur anonyme
5 févr. 2010 à 23:35

je disais ca juste comme ca c'est pareil que la commande %UserProfile%\Bureau\mbr -f ^^

Réponse 39 / 90

amaguis
6 févr. 2010 à 09:21

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Réponse 40 / 90

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
6 févr. 2010 à 09:27

ok

réinstalles firefox et dis nous si tu as encore des problèmes...

si tu utilises internet Ex plorer est ce long également ?

Infection par trojan et antivir planté !

90 réponses

Discussions similaires