TR/Crypt.ZPACK rapport combofix

Résolu
arsouille83 Messages postés 27 Statut Membre -  
arsouille83 Messages postés 27 Statut Membre -
Bonjour,

Suite a un petit virus ou trojan, j'ai télécharger combofix.

Voici le rapport, si quelqu'un pouvait m'aider a nettoyer mon pc

Je vous en remerci d'avance
Configuration: Windows XP / Firefox 3.5.8

26 réponses

  • 1
  • 2
Résumé de la discussion

Des échanges portent sur une infection détectée après le téléchargement de ComboFix sous Windows XP, avec une demande d'aide pour nettoyer le PC et interpréter les rapports. Des conseils expliquent l'usage coordonné de ComboFix, GMER, RSIT et HijackThis, ainsi que la sauvegarde des résultats et le redémarrage en mode sans échec avec prise en charge réseau. Plusieurs éléments décrits dans les rapports évoquent des composants suspects comme catchme.sys et Camdrl.sys, et des éléments liés à Babylon ou à des pilotes Logitech, conduisant à des suggestions de désinstallation ou de nettoyage. Des avertissements soulignent le risque d'une auto-cleaning et notent que certains éléments peuvent être bénins mais nécessitent une vérification minutieuse.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. arsouille83 Messages postés 27 Statut Membre
     
    voici la rapport:

    ComboFix 10-02-27.04 - Administrateur 28/02/2010 21:36:13.1.1 - x86 NETWORK
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1755 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Téléchargements\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\logfile32.txt
    c:\windows\system32\00.scr
    c:\windows\system32\12.scr
    c:\windows\system32\svvchost.exe
    c:\windows\winupd.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-28 19:35 . 2010-02-28 20:15 -------- d-----w- c:\windows\system32\CatRoot_bak
    2010-02-25 11:35 . 2004-08-03 22:08 10624 -c--a-w- c:\windows\system32\dllcache\gameenum.sys
    2010-02-25 11:35 . 2004-08-03 22:08 10624 ----a-w- c:\windows\system32\drivers\gameenum.sys
    2010-02-22 19:54 . 2010-02-22 19:59 -------- d-----w- c:\program files\InstallShield Installation Information
    2010-02-22 19:54 . 2005-05-26 14:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll
    2010-02-22 19:43 . 2010-02-22 19:43 -------- d-----w- c:\program files\Microsoft Games
    2010-02-22 18:06 . 2010-02-28 13:11 -------- d-----w- c:\program files\eMule
    2010-02-21 09:15 . 2004-08-19 15:09 54784 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
    2010-02-21 09:15 . 2004-08-19 15:09 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
    2010-02-20 15:46 . 2010-02-20 15:46 10134 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{BEF726DD-4037-4214-8C6A-E625C02D2870}\ARPPRODUCTICON.exe
    2010-02-20 15:46 . 2010-02-20 15:46 10134 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{35725FBC-A136-4A46-9F29-091759D9BB93}\ARPPRODUCTICON.exe
    2010-02-20 15:46 . 2010-02-20 15:46 10134 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{EA516024-D84D-41F1-814F-83175A6188F2}\ARPPRODUCTICON.exe
    2010-02-20 15:46 . 2007-02-03 09:32 527136 ----a-w- c:\windows\system32\LVUI2RC.dll
    2010-02-20 15:46 . 2007-02-03 09:32 215840 ----a-w- c:\windows\system32\LVUI2.dll
    2010-02-20 15:46 . 2007-02-03 09:29 264992 ----a-w- c:\windows\system32\lvcodec2.dll
    2010-02-20 15:46 . 2007-02-03 09:26 154400 ----a-w- c:\windows\system\CamExL20.dll
    2010-02-20 15:46 . 2007-02-03 09:25 1075360 ----a-w- c:\windows\system32\drivers\Camdrl.sys
    2010-02-20 15:46 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system\msvcr71.dll
    2010-02-20 15:46 . 2007-02-03 09:32 41504 ----a-w- c:\windows\system32\drivers\LVUSBSta.sys
    2010-02-20 15:46 . 2007-02-03 09:29 129824 ----a-w- c:\windows\system32\lvci1051.dll
    2010-02-20 15:46 . 2007-02-03 08:01 13398 ----a-w- c:\windows\system32\Repository.reg
    2010-02-20 14:42 . 2005-02-25 03:35 22752 ----a-w- c:\windows\system32\spupdsvc.exe
    2010-02-20 14:42 . 2010-02-28 14:11 -------- d--h--w- c:\windows\$hf_mig$
    2010-02-20 14:40 . 2009-08-06 18:24 44768 ----a-w- c:\windows\system32\wups2.dll
    2010-02-20 14:34 . 2010-02-20 14:51 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-02-20 14:34 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-02-20 14:34 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2010-02-20 14:34 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2010-02-20 14:33 . 2004-08-03 22:07 59264 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
    2010-02-20 14:33 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
    2010-02-20 14:31 . 2010-02-20 14:31 -------- d-----w- c:\windows\system32\wbem\Repository
    2010-02-20 10:13 . 2010-02-20 10:13 -------- d-----w- c:\program files\Avira
    2010-02-20 10:13 . 2010-02-20 10:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-28 14:04 . 2010-02-27 19:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Babylon
    2010-02-28 14:04 . 2010-02-27 19:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Babylon
    2010-02-28 14:04 . 2010-02-19 21:14 -------- d-----w- c:\program files\C-Media PCI Audio Device
    2010-02-28 14:04 . 2010-02-28 14:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Age of Empires 3
    2010-02-28 13:11 . 2010-02-19 21:14 -------- d-----w- c:\program files\Fichiers communs\InstallShield
    2010-02-28 13:11 . 2010-02-19 21:33 -------- d-----w- c:\program files\Fichiers communs\LogiShrd
    2010-02-28 13:11 . 2010-02-28 13:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Logishrd
    2010-02-28 13:11 . 2010-02-19 21:29 -------- d-----w- c:\program files\ma-config.com
    2010-02-28 13:11 . 2010-02-28 13:11 -------- d-----w- c:\program files\Microsoft
    2010-02-28 13:11 . 2010-02-28 13:11 -------- d-----w- c:\program files\Windows Live SkyDrive
    2010-02-28 13:11 . 2010-02-19 21:49 -------- d-----w- c:\program files\Windows Live
    2010-02-28 13:10 . 2010-02-19 21:16 -------- d-----w- c:\program files\NVIDIA Corporation
    2010-02-28 13:10 . 2010-02-19 21:53 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-02-22 20:24 . 2010-02-19 20:28 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-02-20 15:08 . 2010-02-19 21:43 12912 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-02-20 14:37 . 2010-02-20 14:37 1606 ----a-w- c:\windows\system32\PerfStringBackup.TMP
    2010-02-20 14:37 . 2002-08-30 12:00 71396 ----a-w- c:\windows\system32\perfc00C.dat
    2010-02-20 14:37 . 2002-08-30 12:00 458608 ----a-w- c:\windows\system32\perfh00C.dat
    2010-02-19 21:50 . 2010-02-19 21:50 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
    2010-02-19 21:43 . 2010-02-19 21:43 -------- d-----w- c:\program files\Fichiers communs\Windows Live
    2010-02-19 21:33 . 2010-02-19 21:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
    2010-02-19 21:33 . 2010-02-19 21:32 -------- d-----w- c:\program files\Logitech
    2010-02-19 21:29 . 2010-02-19 21:29 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
    2010-02-19 21:19 . 2010-02-19 21:19 -------- d-----w- c:\documents and settings\All Users\Application Data\NVIDIA Corporation
    2010-02-19 21:17 . 2010-02-19 21:17 0 ----a-w- c:\windows\nsreg.dat
    2010-02-19 20:29 . 2010-02-19 20:29 -------- d-----w- c:\program files\microsoft frontpage
    2010-02-19 20:27 . 2010-02-19 20:27 -------- d-----w- c:\program files\Services en ligne
    2010-02-19 20:26 . 2010-02-19 20:26 21892 ----a-w- c:\windows\system32\emptyregdb.dat
    2010-01-20 11:13 . 2010-02-27 19:35 52224 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll
    2010-01-20 11:13 . 2010-02-27 19:35 101376 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-19 1667584]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2009-11-18 1657448]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 774168]
    "C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [20/02/2010 15:34 108289]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/01/2010 17:45 243056]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://search.babylon.com/home
    IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
    IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
    IE: {{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
    FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll
    FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-CmPCIaudio - CMICNFG3.cpl
    HKLM-Run-NVMixerTray - c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
    HKLM-Run-Babylon Client - c:\program files\Babylon\Babylon-Pro\Babylon.exe
    HKLM-Run-sccvhost.exe - c:\windows\system32\svvchost.exe
    HKLM-Run-svvchost.exe - c:\windows\system32\svvchost.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-28 21:38
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2010-02-28 21:39:28
    ComboFix-quarantined-files.txt 2010-02-28 20:39

    Avant-CF: 26 824 974 336 octets libres
    Après-CF: 26 821 685 248 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - ECE6847DBC9FAC18B110A1AFE7708B70
    0
  2. arsouille83 Messages postés 27 Statut Membre
     
    j'en profite pour vous mettre le rapport malwarebytes

    je ne sais pas quoi faire de tous ca

    Merci de vos futures réponses
    0
  3. Utilisateur anonyme
     
    bonsoir
    C'est risqué d'utiliser seul un outil aussi puissant que ComboFix
    Cet outil doit être conseillé par une personne qui a été formée pour
    Poste le rapport de Malwarebytes
    0
  4. arsouille83 Messages postés 27 Statut Membre
     
    c'est en lisant un post ici que je l'ai utilisé :s

    quelles sont les risques?
    0
    1. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
       
      Je ne connais pas beaucoup Combofix,mais si tu a un driver système infecté et qu'il essaie de le flinguer sans que tu ait installé la console de récuprération,ou si un de tes programmes de sécurité ou malwares gènent son travail,imagine la suite...
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. arsouille83 Messages postés 27 Statut Membre
     
    ok, tu peux m'aider?
    0
    1. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
       
      Si tu veut,

      La prochaine fois,il serait mieux que tu demande un avis avant d'utiliser Combofix,ou utiliser un programme plus adapté pour les utilisateurs "intermédiaires" et moin dangeureux (si tu sait quoi faire dans quelles situations) comme celui que je vais te montrer.

      Télécharge RegRun Reanimator.

      Installe le.

      Clic sur scan for viruses.

      Clic sur scan windows startup.

      Coche la case "Use deep level scanning once".

      Clic sur "Make scan now".

      Clic sur la flèche verte "Fix problems".

      Si il propose Regguard,répond Non,ou peu importe,c'est a ta discretion.

      Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")

      Clic sur la flèche verte (en haut a droite) pour l'item suivant

      Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt

      Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.

      Et poste les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....
      0
      1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790 > fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention  
         
        Bonsoir,


        Combofix n'est pas vraiment dangereux, contrairement à RegRun...

        Combofix ne supprime automatiquement que des éléments connus comme néfastes, et il intègre des procédures de récupération (sauvegarde du Registre, création d'un point de restauration, installation de la Console de Récupération, copie en quarantaine des éléments supprimés, avertissement de l'utilisateur)

        Au contraire RegRun fait croire que tout est simple, alors qu'il est plus compliqué à utiliser : il détecte plein de choses et demande à l'utilisateur (en anglais !) de choisir tout seul s'il faut supprimer ou non...
        Il suffit d'une simple erreur (du programme ou de l'utilisateur) et les conséquences peuvent être graves : c'est ce qui est arrivé à ma machine de test lorsque j'ai essayé RegRun, Windows ne pouvait plus démarrer suite à l'utilisation de ce programme...

        0
      2. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069 > anthony5151 Messages postés 10927 Statut Contributeur sécurité
         
        J'ai bien dit:(si tu sait quoi faire dans quelles situations)
        0
  7. cosmido
     
    bonjour,

    Préférable de toujours utiliser Malwarebytes pour désinfecter un pc. Qui aurait très bien fait l'affaire pour ça. Ensuite suite ouvrir un sujet, placer une description et poster le rapport de Malwarebytes et rapport hijackthis ou rist.

    Pouvez désinstaller Combofix, ..qui doit être sur le bureau.
    Dans Démarrer > Exécuter.., entrez combofix /u et valider.
    Aller vérifier pour supprimer sur le C:\ ..... Combofix - Qoobox

    nathandre, a écrit : Poste le rapport de Malwarebytes
    0
  8. arsouille83 Messages postés 27 Statut Membre
     
    merci de ton aide voila les résultats

    Item Name: Microsoft Driver Setup
    Author:
    Related File: C:\WINDOWS\winupd.exe
    Type: Explorer Run

    Item Name: svvchost.exe
    Author:
    Related File: C:\WINDOWS\system32\svvchost.exe
    Type: Detected using Heuristic Algorithm

    Item Name: svvchost.exe
    Author:
    Related File: C:\WINDOWS\system32\svvchost.exe
    Type: Detected using Heuristic Algorithm

    Item Name: svvchost.exe
    Author:
    Related File: C:\WINDOWS\system32\svvchost.exe
    Type: Detected using Heuristic Algorithm
    0
  9. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
     
    Va sur VirusTotal et fait analyser:C:\WINDOWS\winupd.exe

    Ce fichier pourrait ètre un fichier de Windows (selon une réponse que j'ai trouvé),ou soit Worm Bagle.

    Si le fichier a déja été analysé,réanalyse le et poste moi le lien après l'analyse.
    0
  10. arsouille83 Messages postés 27 Statut Membre
     
    voila

    http://www.virustotal.com/fr/analisis/117bf5006b3e973da369796a7bb195ca3c715ad90c6ea1c3cd7125f46a29bc44-1267406961
    0
    1. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
       
      1. Tu t'es trompé de fichier,le fichier analysé s'appelle WINUPD.EXE-38F484D6.pf

      2. Je n'ai pas ce fichier sur mon Windows Xp SP3 (PC virtuel) c'est Bizzare.
      0
  11. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
     
    Tu est certain qu'il a détecté 3 fois:

    Item Name: svvchost.exe
    Author:
    Related File: C:\WINDOWS\system32\svvchost.exe
    Type: Detected using Heuristic Algorithm

    Durant la mème analyse?

    Celui ci semble ètre vraiement un malware,fait le analyser,pour voir.
    0
  12. arsouille83 Messages postés 27 Statut Membre
     
    oui 3 fois, je clické sur la flèche en haut et il me donner un nouveau item
    0
  13. arsouille83 Messages postés 27 Statut Membre
     
    2me analyse

    http://www.virustotal.com/fr/analisis/aea3c850916eecd4e50b135f47339a7a99e1c24dc3b87b389ceb9664bae7f771-1267407551
    0
    1. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
       
      Ce n'est pas le bon fichier,Svvchost.exe et non svchost.exe

      Affiche tes fichiers cachés et protégés système d'exploitation si il faut pour les voir.

      Regarde comme il faut leur emplacement.


      Related File: C:\WINDOWS\winupd.exe

      Related File: C:\WINDOWS\system32\svvchost.exe


      0
  14. arsouille83 Messages postés 27 Statut Membre
     
    http://www.virustotal.com/fr/analisis/7e6f887b66258010a252471927a6626475afe8b245cf5fa639cabf7c2d6cc63d-1267408043
    0
    1. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
       
      mauvais fichiers alalysés:

      WINUPD.EXE-38F484D6.pf

      SVVCHOST.EXE-1CE9657D.pf


      Fichiers a faire analyser:

      Related File: C:\WINDOWS\winupd.exe <=== Pas de -38F484D6.pf

      Related File: C:\WINDOWS\system32\svvchost.exe <=== Pas de -1CE9657D.pf

      Il faudrait les trouver.

      C:\WINDOWS\system32\svvchost.exe Pourrait se trouver dans C:\WINDOWS\SystemWOW64



      Si tu ne les trouve pas en affichant tes fichiers cachés protégés du système d'exploitation,ce sont des malwares.



      0
  15. arsouille83 Messages postés 27 Statut Membre
     
    je ne les trouve pas dans systeme32 ni dans windows, il sont classé dans c:\windows\prefetch
    0
    1. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
       
      C:\WINDOWS\system32\svvchost.exe

      Pourrait se trouver dans C:\WINDOWS\SysWOW64

      Est tu certain d'avoir bien affiché tes fichiers et protégés du système d'exploitation?

      http://fspsa.free.fr/images/fichiers-systeme-caches.png
      0
  16. arsouille83 Messages postés 27 Statut Membre
     
    comment les afficher?
    0
  17. arsouille83 Messages postés 27 Statut Membre
     
    ok ca s'affiche

    http://www.virustotal.com/fr/analisis/15faa5a3ab0976b757a888eb929a9c0690305ebb772736bb3799baad36a030af-1267409158
    0
    1. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
       
      Ce malware n'était presque pas détecté,en l'envoyant sur Virustotal,tu contribue a amélioré la détection des antivirus Je crois.

      Et l'autre? C:\WINDOWS\winupd.exe
      0
  18. arsouille83 Messages postés 27 Statut Membre
     
    http://www.virustotal.com/fr/analisis/15faa5a3ab0976b757a888eb929a9c0690305ebb772736bb3799baad36a030af-1267409320
    0
  19. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
     
    C'est le mème malware répliqué sous deux noms différents.

    Réanalyse,choisit "Get it out" pour ces items,confirme et choisit "Reboot" a la fin,mais avant,lis ceci:

    Quand le pc va redémarrer,il réanalysera probablement,

    Si il détecte quelque chose de nouveau,fait a peu près comme plus tot:

    Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")

    Note:Si tu les enregistre sur C: ils seront plus facilement accessibles par la suite.

    Clic sur la flèche verte (en haut a droite) pour l'item suivant

    Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt

    Mais a la fin,clic sur "Reboot" plutot que "Exit" et redémarre en mode sans échec avec prise en charge réseau pour me donner les résultats.

    Pour démarrer en mode sans échec,tapotte la touche F8 au début du démarrage de Windows et choisit l'option Mode sans échec avec Prise en charge réseau.
    0
  20. arsouille83 Messages postés 27 Statut Membre
     
    c'est fait

    après nouvelle analyse, 3 nouveaux

    Item Name: catchme
    Author:
    Related File: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys
    Type: Services detected by Partizan

    Item Name: Camdrl.sys
    Author: Logitech Inc.
    Related File: C:\WINDOWS\SYSTEM32\DRIVERS\CAMDRL.SYS
    Type: Drivers

    Item Name: CamDrL
    Author: Logitech Inc.
    Related File: system32\DRIVERS\Camdrl.sys
    Type: Services detected by Partizan
    0
  21. fabul Messages postés 42168 Date d'inscription   Statut Modérateur Dernière intervention   6 069
     
    catchme est le driver de Gmer utilisé par Combofix,cosmido t'a dit ICI comment le désinstaller.

    Les deux autres sont relatifs a ta Webcam,pas de soucis avec ça.

    tu peux redémarrer en mode normal,et si tu veut désinstaller Reanimator,

    Ouvre Réanimator,Utilise Uninstall Partizan dans l'onglet Uninstall Partizan du programme et ensuite le désinstaller normalement.

    Ensuite,

    - Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    - Double-clique sur RSIT.exe afin de lancer le programme.

    - Clique sur Continue à l'écran Disclaimer.

    -Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    - Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.
    0
  • 1
  • 2