Sujet Précédent Sujet Suivant

Security tool et compagnie

Fermé
m&s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 - 12 mars 2010 à 00:21
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 13 avril 2010 à 03:42
Bonjour, bonsoir,

Je me permet de vous solliciter car je suis un peu perdu faute de connaissances en la matière. J'ai été infecté avec le fameux security tool qui a complètement bloqué mon ordinateur. Passant de forum en forum, j'ai réussi a m'en débarrasser (après avoir utilisé différentes approches) enfin je pense...

Le faite est que maintenant mon pc bloque (sur le bureau) au moins 10 min à chaque démarrage. De plus les zones de quarantaine de Avast et MalwareByte's reste pleines de fichier (genre windows32/drivers...). Du coup je ne sais plus si mon pc est vraiment sain, car hormis ce problème au démarrage il semble fonctionner normalement ???

J'espère avoir étais clair. Merci de l'intérêt que vous porterez à ma demande.

Bye
A voir également:

47 réponses

Réponse 1 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 00:27
Salut m&s, bienvenu sur CCM


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++ :)
0
Réponse 2 / 47
m&s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 00:32
Salut dédétraqué,

merci pour la rapidité de ta réponse, voici les 2 rapports:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Gregory at 2010-03-12 00:29:53
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 9 GB (11%) free of 78 GB
Total RAM: 2047 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:29:58, on 12/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\Sitecom\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox 3.5 Beta 4\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Gregory\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Gregory.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: winesm32.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - https://about.proquest.com/products-services/ebooks/ebooks-main.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Service Google Update (gupdate1c9e30da6ef7c04) (gupdate1c9e30da6ef7c04) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
0
Réponse 3 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 00:47
Salut m&s


Télécharge et installe UsbFix par El Desaparecido , C_XX & Chimay8
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


@++ :)
0
Réponse 4 / 47
m&s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 00:53
Re,

Voici le rapport UsbFix:


############################## | UsbFix V6.099 |

User : Gregory (Administrateurs) # PERSO-F1E50D477
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 00:52:16 | 12/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 6700 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

C:\ -> Disque fixe local # 76,17 Go (12,2 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 156,71 Go (42,99 Go free) [données] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque amovible # 1,98 Go (72,31 Mo free) # FAT

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{04e366de-b152-11dc-904f-0015af080348}
Shell\AutoRun\command =G:\x6.bat
Shell\explore\Command =G:\x6.bat
Shell\open\Command =G:\x6.bat

HKCU\..\..\Explorer\MountPoints2\{24549f80-51e1-11dd-90e2-000e505eac82}
Shell\AutoRun\command =jedna/stvar.exe
Shell\explore\command =jedna/stvar.exe
Shell\open\command =jedna/stvar.exe

HKCU\..\..\Explorer\MountPoints2\{38fe9f1e-1b53-11dc-8fac-0015af080348}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\..\..\Explorer\MountPoints2\{7f474ec3-5294-11dd-90e3-000e505eac82}
Shell\AutoRun\command =G:\InstallTomTomHOME.exe

HKCU\..\..\Explorer\MountPoints2\{96b2da04-a329-11dc-9035-0015af080348}
Shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{f7c0ddc2-b6a6-11db-ba64-806d6172696f}
Shell\AutoRun\command =D:\ASUSACPI.exe

################## | Vaccin |

# C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs).
# E:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs).

################## | ! Fin du rapport # UsbFix V6.099 ! |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 01:03
Salut m&s


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, Carte SD, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaîtra et le pc redémarrera.

• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


-----

Mettre MalwareByte's Anti-Malware à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++ :)
0
Réponse 6 / 47
m&s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 01:10
ok merci je lance tous sa maintenant ;)
J'ai déja fais un scan minutieux pour régler ce problème de security tool (41 min), je le refais donc pour être sur.
0
Réponse 7 / 47
m&s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 01:39
Voila le rapport malware plus rapide que prévu:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3855
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

12/03/2010 01:40:52
mbam-log-2010-03-12 (01-40-52).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 223766
Temps écoulé: 31 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{6B09989D-F1F9-4AEE-BE01-D0B9A4ABA84F}\RP524\A0071210.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6B09989D-F1F9-4AEE-BE01-D0B9A4ABA84F}\RP524\A0071211.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gregory\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Trojan.Downloader) -> Delete on reboot.
0
Réponse 8 / 47
m&s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 01:42
oups
0
Réponse 9 / 47
m&s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 02:05
Donc voici le scan, le pc a rebloquer/ramer pendant 10 min avec une impossibilité d'aller sur Internet:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3855
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

12/03/2010 01:40:52
mbam-log-2010-03-12 (01-40-52).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 223766
Temps écoulé: 31 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{6B09989D-F1F9-4AEE-BE01-D0B9A4ABA84F}\RP524\A0071210.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6B09989D-F1F9-4AEE-BE01-D0B9A4ABA84F}\RP524\A0071211.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gregory\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Trojan.Downloader) -> Delete on reboot.
0
Réponse 10 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 06:14
Salut m&s


J'aurais du lire Quarantined and deleted successfully et non No action taken, tu as bien cliquer sur Supprimer la sélection?


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
0
Réponse 11 / 47
m&amp;s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 13:53
Hello dédétraqué,

Je vois que tu t'es levé tôt,longue journée. Alors pour ce qui est de Malwarebyte's j'ai bien supprimer les fichiers qu'il avait détecté, j'avais collé le mauvais rapport.Pour info, après le redémarrage, le Pc s'est figé sur mon fond d'écran pendant 5min (je pense le temps de générer le rapport)
J'ai donc scanné, comme tu m'a expliqué dont voici le rapport:


ComboFix 10-03-11.02 - Gregory 12/03/2010 13:33:04.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1669 [GMT 1:00]
Lancé depuis: c:\documents and settings\Gregory\Bureau\CCM.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\install.exe
c:\windows\system32\tmp.reg
c:\windows\system32\tmp33.tmp
c:\windows\system32\tmp35.tmp

----- BITS: Il y a peut-être des sites infectés -----

hxxp://au.download.windowsupdatj+|Cv+@J:NGD_DQ{ztHG.X
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((((((((( Fichiers créés du 2010-02-12 au 2010-03-12 ))))))))))))))))))))))))))))))))))))
.

2010-03-11 23:51 . 2010-03-11 23:52 -------- d-----w- C:\UsbFix
2010-03-11 23:29 . 2010-03-11 23:29 -------- d-----w- C:\rsit
2010-03-11 23:29 . 2010-03-11 23:29 -------- d-----w- c:\program files\trend micro
2010-03-11 16:06 . 2004-08-03 21:59 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-03-11 16:06 . 2004-08-03 21:59 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-03-11 16:06 . 2004-08-03 22:00 8192 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-03-11 16:06 . 2004-08-03 22:00 8192 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-03-11 16:06 . 2004-08-03 22:00 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-11 16:06 . 2004-08-03 22:00 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-03-10 17:53 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-25 15:10 . 2010-02-25 15:10 -------- d-----w- c:\program files\MSECache
2010-02-25 14:47 . 2010-02-25 14:47 -------- d-----w- c:\program files\Microsoft Games
2010-02-23 07:54 . 2010-03-09 11:12 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-23 07:54 . 2010-03-09 11:08 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-23 07:54 . 2010-03-09 11:09 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-23 07:54 . 2010-03-09 11:12 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-23 07:54 . 2010-03-09 11:08 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-23 07:54 . 2010-03-09 11:08 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-23 07:54 . 2010-03-09 11:08 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-23 07:53 . 2010-03-09 11:24 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-23 07:53 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-23 07:46 . 2010-02-23 07:46 152576 ----a-w- c:\documents and settings\Gregory\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-02-15 16:34 . 2010-02-15 16:34 -------- d-----w- c:\program files\Fichiers communs\DirectX
2010-02-15 16:32 . 2010-03-11 23:34 -------- d-----w- c:\program files\Codemasters
2010-02-15 14:11 . 2010-02-15 14:11 -------- d-----w- c:\documents and settings\Gregory\Application Data\Leadertech

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-12 12:26 . 2009-06-05 11:23 -------- d-----w- c:\program files\Mozilla Firefox 3.5 Beta 4
2010-03-12 00:26 . 2008-11-08 14:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-03-11 23:33 . 2007-02-07 12:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-11 23:33 . 2008-08-20 15:46 -------- d-----w- c:\program files\Ubisoft
2010-03-11 16:34 . 2010-03-11 16:34 16 ----a-w- c:\documents and settings\LocalService\Application Data\rbuwzv.dat
2010-03-11 16:22 . 2010-03-11 16:22 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat
2010-03-11 16:06 . 2010-03-11 16:06 16 ----a-w- c:\documents and settings\Gregory\Application Data\rbuwzv.dat
2010-02-23 07:53 . 2010-01-23 17:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-02-23 07:47 . 2008-09-03 16:06 -------- d-----w- c:\program files\Java
2010-02-23 07:46 . 2009-12-23 10:52 79488 ----a-w- c:\documents and settings\Gregory\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-15 14:00 . 2009-10-18 17:19 -------- d-----w- c:\program files\Capcom
2010-02-15 13:54 . 2009-10-18 17:28 -------- d-----w- c:\program files\AGEIA Technologies
2010-02-04 10:21 . 2007-05-22 11:50 -------- d-----w- c:\program files\Google
2010-02-03 17:33 . 2010-02-03 17:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Solidshield
2010-01-24 20:58 . 2008-03-18 18:07 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-24 20:58 . 2009-06-05 11:11 5115823 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-23 17:43 . 2007-02-08 14:25 -------- d-----w- c:\program files\Alwil Software
2010-01-22 13:56 . 2010-01-22 13:46 -------- d-----w- c:\program files\TubeMaster++
2010-01-22 13:55 . 2007-02-24 16:55 -------- d-----w- c:\program files\Hijackthis Version Française
2010-01-22 13:47 . 2010-01-22 13:47 152576 ----a-w- c:\documents and settings\Gregory\Application Data\Sun\Java\jre1.6.0_14\lzma.dll
2010-01-17 21:37 . 2010-01-17 21:37 -------- d-----w- c:\documents and settings\Gregory\Application Data\Codemasters
2010-01-17 21:33 . 2010-01-17 21:33 -------- d-----w- c:\documents and settings\Gregory\Application Data\InstallShield
2010-01-17 21:33 . 2010-01-17 21:33 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield
2010-01-17 21:33 . 2009-10-18 17:28 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-01-17 21:26 . 2007-02-07 12:47 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-01-11 20:58 . 2009-09-24 20:46 -------- d-----w- c:\program files\adslTV
2010-01-07 15:07 . 2009-06-05 11:11 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-06-05 11:11 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-05 09:56 . 2004-08-19 14:09 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:56 . 2004-08-19 14:09 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2004-08-19 14:09 17408 ----a-w- c:\windows\system32\corpol.dll
2009-12-31 16:14 . 2004-08-03 21:14 352640 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-25 16:43 . 2001-09-28 10:00 64492 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-25 16:43 . 2001-09-28 10:00 447772 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-17 07:59 . 2007-02-07 12:03 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:36 . 2004-08-19 14:09 33280 ----a-w- c:\windows\system32\csrsrv.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-18 843776]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-06-02 385024]
"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2003-04-07 631364]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 19968]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"TomTomHOME.exe"="c:\program files\TomTom HOME\TomTomHOME.exe" [2006-12-12 3577512]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ASUS WiFi-AP Solo.lnk - c:\program files\ASUS WiFi-AP Solo\RtWLan.exe [2007-2-7 987136]
BTTray.lnk - c:\program files\Sitecom\Logiciel Bluetooth\BTTray.exe [2004-10-1 565309]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Gregory^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Gregory\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-08-03 10:51 202024 ----a-w- c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2007-05-17 21:45 279912 ----a-w- c:\program files\Microsoft LifeCam\LifeExp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2003-11-19 15:48 32881 ----a-w- c:\program files\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-11-08 14:23 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Documents and Settings\\Gregory\\Bureau\\freezer.exe"=
"e:\\Mes documents\\Téléchargements\\freezer v1.4\\freezer.exe"=
"c:\\Program Files\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Program Files\\adslTV\\adsltv.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\adslTV\\vlc.exe"=
"c:\\Program Files\\Empire Interactive\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/10/2007 09:24 685816]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [23/02/2010 08:54 162640]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [23/02/2010 08:54 19024]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [07/02/2007 14:21 176128]
R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [07/02/2007 14:21 13532]
S2 gupdate1c9e30da6ef7c04;Service Google Update (gupdate1c9e30da6ef7c04);c:\program files\Google\Update\GoogleUpdate.exe [02/06/2009 00:06 133104]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - SJYPKT

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-03-12 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-08 18:32]

2010-03-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-01 23:06]

2010-03-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-01 23:06]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer à &Bluetooth - c:\program files\Sitecom\Logiciel Bluetooth\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\Gregory\Application Data\Mozilla\Firefox\Profiles\ecyj72sj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-nwiz - nwiz.exe
Notify-WgaLogon - (no file)
SafeBoot-Wdf01000.sys
MSConfigStartUp-87563635 - c:\docume~1\ALLUSE~1\APPLIC~1\87563635\87563635.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-12 13:37
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A1781E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb811cfc3
\Driver\ACPI -> ACPI.sys @ 0xb7e7ccb8
\Driver\atapi -> 0x8a1781e8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-329068152-1801674531-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d8,f2,fe,25,01,e6,91,3b,11,0c,83,f2,a8,c7,f9,24,ca,c4,f6,50,aa,1a,f5,
25,69,bc,48,87,9a,05,e6,47,b5,b4,c7,36,9b,59,68,cb,21,92,25,d5,1e,e0,6d,3d,\
"??"=hex:f5,c6,26,42,29,ed,a6,20,b0,3b,5a,6a,e3,af,14,36

[HKEY_USERS\S-1-5-21-329068152-1801674531-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:66,e6,8a,bb,cb,fb,06,2a,ef,26,03,e9,43,6c,23,d5,b5,c6,77,48,15,
e7,4b,1e,5b,8c,4b,e7,d7,38,2a,07,f9,24,1c,bf,3f,df,60,c4,19,b5,7a,56,d1,e6,\
"rkeysecu"=hex:86,a0,d1,f4,d7,00,fd,c9,88,90,99,4c,3d,fd,f2,a6
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.EXE'(2136)
c:\program files\Logitech\iTouch\iTchHk.dll
c:\program files\Fichiers communs\Logitech\Scrolling\LgMsgHk.dll
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\program files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft LifeCam\MSCamS32.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\Logitech\MouseWare\system\em_exec.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-03-12 13:39:52 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-12 12:39

Avant-CF: 13 420 380 160 octets libres
Après-CF: 13 307 719 680 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - E7B9E647BD5F4EA9B201271175AFA5DE
0
Réponse 12 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 14:20
Salut m&s


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++ :)
0
Réponse 13 / 47
m&amp;s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 14:38
re,

voila le rapport demandé:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-03-12 14:37:09
Windows 5.1.2600 Service Pack 2
Running: sufcqgsi.exe; Driver: C:\DOCUME~1\Gregory\LOCALS~1\Temp\fwdoyfow.sys


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwEnumerateKey [0xB7EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB7EC4340]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB46454FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB4645322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB464545C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
Device \FileSystem\Ntfs \Ntfs 8A1061E8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \Fat aswSP.SYS (avast! self protection module/ALWIL Software)
Device \FileSystem\Fastfat \Fat 894D61E8

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----
0
Réponse 14 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 14:50
Salut m&s


Télécharge MBR par (GMER) sur ton Bureau :

http://www2.gmer.net/mbr/mbr.exe

- Désactive tous les programmes de protection (antivirus, antispyware etc.)
https://forum.pcastuces.com/default.asp

- Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
- Poste le rapport mbr.log qui apparaît.


@++ :)
0
Réponse 15 / 47
m&amp;s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 15:05
voici,

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
0
Réponse 16 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 15:26
Salut m&s


Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Double clique sur OTL.exe présent sur le bureau pour lancer le programme
- Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche "Minimal Output". Fais de même avec "Scan All Users".
- Coche également les cases à côté de "LOP Check" et "Purity Check".
- Dans la zone Extra List, coche "Use Safelist".

Ne modifie pas les autres paramètres!

- Clique sur le bouton Run Scan.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++ :)
0
Réponse 17 / 47
m&amp;s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 15:41
voici le lien du fichier Extras.txt:
https://www.cjoint.com/?dmpLTlZhoA

Voici le lien du fichier OTL.txt:
https://www.cjoint.com/?dmpPqMKi2U

merci
0
Réponse 18 / 47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
12 mars 2010 à 15:48
Salut m&s


Faire un scan de ce fichier SjyPkt.sys ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
C:\WINDOWS\system32\drivers\SjyPkt.sys
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++ :)
0
Réponse 19 / 47
m&amp;s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 16:09
voici,

Fichier SjyPkt.sys reçu le 2010.03.12 15:07:18 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/42 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 49 et 70 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.12 -
AhnLab-V3 5.0.0.2 2010.03.11 -
AntiVir 8.2.1.180 2010.03.12 -
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.12 -
Avast 4.8.1351.0 2010.03.11 -
Avast5 5.0.332.0 2010.03.12 -
AVG 9.0.0.787 2010.03.12 -
BitDefender 7.2 2010.03.12 -
CAT-QuickHeal 10.00 2010.03.12 -
ClamAV 0.96.0.0-git 2010.03.12 -
Comodo 4237 2010.03.12 -
DrWeb 5.0.1.12222 2010.03.12 -
eSafe 7.0.17.0 2010.03.11 -
eTrust-Vet 35.2.7357 2010.03.12 -
F-Prot 4.5.1.85 2010.03.11 -
F-Secure 9.0.15370.0 2010.03.12 -
Fortinet 4.0.14.0 2010.03.09 -
GData 19 2010.03.12 -
Ikarus T3.1.1.80.0 2010.03.12 -
Jiangmin 13.0.900 2010.03.12 -
K7AntiVirus 7.10.995 2010.03.11 -
Kaspersky 7.0.0.125 2010.03.12 -
McAfee 5917 2010.03.11 -
McAfee+Artemis 5917 2010.03.11 -
McAfee-GW-Edition 6.8.5 2010.03.12 -
Microsoft 1.5502 2010.03.12 -
NOD32 4939 2010.03.12 -
Norman 6.04.08 2010.03.12 -
nProtect 2009.1.8.0 2010.03.12 -
Panda 10.0.2.2 2010.03.11 -
PCTools 7.0.3.5 2010.03.12 -
Prevx 3.0 2010.03.12 -
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.12 -
Sunbelt 5836 2010.03.12 -
Symantec 20091.2.0.41 2010.03.12 -
TheHacker 6.5.2.0.231 2010.03.12 -
TrendMicro 9.120.0.1004 2010.03.12 -
VBA32 3.12.12.2 2010.03.12 -
ViRobot 2010.3.12.2224 2010.03.12 -
VirusBuster 5.0.27.0 2010.03.12 -
Information additionnelle
File size: 13532 bytes
MD5...: 3d7ef286e806f9bd9339aa52e28dcd67
SHA1..: 431d2dd1c273a1bbf59fd50fa277fc0c1ebfb29f
SHA256: 24d602b7ddf7718a1f149d35b24c2345d0dde6e8b8a7fdf35062c24a6d13226d
ssdeep: 192:X7xBY2LAtt25rdSEPkVijpmBrl+sJCdk+NI04u+Pt:X7xBY2+45aVijpmBRC
kJO+Pt
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a0
timedatestamp.....: 0x3d9a4467 (Wed Oct 02 00:57:11 2002)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x112a 0x1140 6.21 f812a1ddb11d35f538820fbf430d9a9f
.rdata 0x1400 0xe4 0x100 2.54 524eadd31e9c3f9b8116648a754eb3eb
.data 0x1500 0x1426 0x1440 0.00 599c0a883d09e059b38411330fd1794c
INIT 0x2940 0x398 0x3a0 4.98 aca4f180ad1f43fcab776be5cdef9741
.rsrc 0x2ce0 0x3b8 0x3c0 3.42 89fe2fc24016f5e4fbff2a11f757817e
.reloc 0x30a0 0x156 0x160 4.95 419aa13ee2f6298223ae58a82e844361

( 3 imports )
> ntoskrnl.exe: KeInitializeSpinLock, IoFreeMdl, KeInitializeDpc, KeCancelTimer, KeSetTimer, KeInitializeTimer, MmMapLockedPages, RtlQueryRegistryValues, RtlCompareUnicodeString, IoCreateDevice, ExfInterlockedRemoveHeadList, ExfInterlockedInsertTailList, IofCompleteRequest, IoDeleteDevice, RtlInitUnicodeString, ExAllocatePoolWithTag, ExFreePool, MmMapLockedPagesSpecifyCache, IoBuildPartialMdl, IoAllocateMdl
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock
> NDIS.SYS: NdisUnchainBufferAtFront, NdisAllocatePacket, NdisCloseAdapter, NdisFreePacketPool, NdisAllocatePacketPool, NdisOpenAdapter, NdisRegisterProtocol, NdisDeregisterProtocol, NdisFreePacket

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: Windows (R) 2000 DDK provider
copyright....: Copyright (C) Microsoft Corp. 1981-1999
product......: Windows (R) 2000 DDK driver
description..: Sample NDIS 5.0 Protocol Driver
original name: PACKET.SYS
internal name: PACKET.SYS
file version.: 5.00.2195.1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
0
Réponse 20 / 47
m&amp;s Messages postés 35 Date d'inscription jeudi 11 mars 2010 Statut Membre Dernière intervention 21 juin 2012 1
12 mars 2010 à 16:14
le rapport est t-il lisible?
0

Discussions similaires

Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses