TR/Crypt.ZPACK rapport combofix - Page 2

Résolu
Précédent
  • 1
  • 2
  1. arsouille83 Messages postés 27 Statut Membre
     
    ok

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2010-03-01 03:44:55
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 25 GB (62%) free of 40 GB
    Total RAM: 2047 MB (78% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 03:45:02, on 01/03/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
    C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
    O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
    O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
    O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
    O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    0
  2. arsouille83 Messages postés 27 Statut Membre
     
    ca as l'air de bien fonctionner, j'attend ton avis pour marquer ce poste en résolu, en tous cas merci beaucoup

    Je vais dormir un peu
    0
  3. fabul Messages postés 42183 Date d'inscription   Statut Modérateur Dernière intervention   6 070
     
    Tu peux supprimer manuellement le fichier C:Windows\Winstart.bat (C'est un fichier vide,caché,protégé en lecture seule crée par Reanimator).

    Je crois aussi que ça doit ètre résolu,a moins qu'il reste des pattes de mouches mortes.

    Je te laisse le soin de vérifier tes périphériques externes,clé usb etc. sans les ouvrir avec USBFix avec l'option 1 puis supression avec l'option 2 si il trouve quelque chose.

    Edit:Tu pourrait faire analyser ce fichier

    C:\WINDOWS\PEV.exe

    Et

    C:\WINDOWS\MBR.exe

    Malgré qu'ils viennent d'ètre crées il n'y a pas longtemps. (2010-02-28 21:34:59) les 2

    MBR.exe peut ètre par Gmer, et l'autre???
    0
  4. arsouille83 Messages postés 27 Statut Membre
     
    bonjour voila pour PEV

    http://www.virustotal.com/fr/analisis/afb212b270e325888c330e97ef93fe5399e0ab6b0870c624ab28231fc8ee8c72-1267431501

    et MBR

    http://www.virustotal.com/fr/analisis/afb212b270e325888c330e97ef93fe5399e0ab6b0870c624ab28231fc8ee8c72-1267431501

    merci encore
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fabul Messages postés 42183 Date d'inscription   Statut Modérateur Dernière intervention   6 070
     
    Tu m'a donné deux fois le lien pour PEV.exe,pas grave.

    Si je tape le code MD5 du fichier PEV.exe,ça donne ça:https://www.google.com/search?q=4e20f3b27b334e9273fc3890b7948bd8&gws_rd=ssl

    Lui et MBR.exe peuvent ètre supprimés,ce ne sont pas des fichiers qui doivent normalement se trouver la.

    Il faudrait vérifier que les deux premiers ne reviennent pas au démarrage.

    Je ne sait pas Gmer a vérifié le MBR durant le scan de Combofix,ce fichier (MBR.exe) aurrait pu ètre utilisé pour installer un MBR Rootkit.
    0
    1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
       
      PEV.exe et MBR.exe sont des programmes utilisés par Combofix, ils ne sont pas néfastes.
      Si tu désinstalles Combofix (Menu démarrer --> Exécuter --> tape Combofix /uninstall ), ils devraient être supprimés.

      0
  7. arsouille83 Messages postés 27 Statut Membre
     
    opération effectué

    merci encore mon pc marche a merveille
    0
Précédent
  • 1
  • 2