Infection? antimalware doctor

Résolu/Fermé
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010 - 12 avril 2010 à 09:12
 Utilisateur anonyme - 14 avril 2010 à 21:05
Bonjour

Après avoir téléchargé spotcast mon ordinateur portable (windows XP pro) s'est bloqué. Dés qu'il s'allume antimalware doctor s'ouvre et l'ordinateur sature (CPU à 100%).

J'ai regardé quelques situations similaires sur le forum et constaté qu'il faudra sûrement de nombreuses manip.

Or je n'arrive pas à accéder à internet depuis mon portable même en mode sans échec avec navigation.

Est-il possible de fonctionner avec une clé USB entre mon PC et mon portable?



A voir également:
  • Infection? antimalware doctor
  • Pc doctor - Télécharger - Optimisation
  • Disk doctor - Télécharger - Récupération de données
  • Car doctor - Télécharger - Vie quotidienne
  • Antimalware - Télécharger - Antivirus & Antimalwares
  • Spyware doctor - Télécharger - Antivirus & Antimalwares

66 réponses

Utilisateur anonyme
12 avril 2010 à 09:44
bonjour oui c est possible

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge List_Kill'em et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"


0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 09:47
merci pour l'aide.
Je fais tout ca maintenant.
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 11:09
Je suis resté en mode sans echec sur mon portable. J'ai réussi à desactiver le fire-wall mais pas l'antivirus (semantec antivirus) ; est-ce un problème?

Dans la fenêtre du scan apparaissent les lignes suivantes :
HKLM\Software\Mozilla\Firefox\Extensions : {E889F097-B0BE-471B-89AD-B86B6F04B506}
was unexpected at this time.
C:\Program Files\List_Kill'em

Que dois-je faire?
0
Utilisateur anonyme
12 avril 2010 à 11:39
▶ Télécharge : Gmer (by Przemyslaw Gmerek)


▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 12:19
J'ai telechargé gmer puis passé sur le portable. Quand je l'ai ouvert je n'ai pas eu besoin de le déziper. Je n'ai pas de lignes rouges. Voila le rapport.
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-12 12:09:51
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Amo\LOCALS~1\Temp\pxloapoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device -> \Driver\atapi \Device\Harddisk0\DR0 86930AC8

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----
0
Utilisateur anonyme
12 avril 2010 à 12:22

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================


▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur




▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 12:27
Avant de commencer j'ai plusieurs questions :
Je ne suis pas sur d'avoir bien desactivé mon antivirus mais est-ce un problème en mode sans echec?
Dois-je fermer List'em?
0
Utilisateur anonyme
12 avril 2010 à 12:28
oui tu peux fermer list'em
l antivirus n'est pas actif en mode sans echec
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 12:30
OK. Je fais les manip prescrites.
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 12:47
Désolé mais j'étais en mode sans echec avec navigation. Quand je lance Combofix une fenetre s'ouvre pour dire que symantec antivirus est toujours ouvert. Quand j'ouvre l'antivirus et que je vais dans files, la ligne unload service est inaccessible. J'ai cru l'avoir désactivé autrement mais lorsque j'ai relancé combofix il m'annonce que l'antivirus est toujours actif et que l'utilisation de combofix est à mes propres riques. Que faire?
0
Utilisateur anonyme
12 avril 2010 à 12:55
outrepasse l'avertissement de combofix
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 12:57
ok.
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 13:00
Je n'ai pas de connection internet valide sur mon portable, peut-être parce que je l'utilise d'habitude en mode wifi. Dois-je passer outre là aussi?
0
Utilisateur anonyme
12 avril 2010 à 13:20
il n'est pas possible de lui mettre un cable juste le temps de...?
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 13:23
Je vais essayer de brancher ma live box en direct sur le portable. Penses-tu qu'il me faille configurer cette connexion? Puis-je rester en mode sans echec (with networking) sans rien toucher à combofix?
0
non je pense qu'elle se fera directement

Puis-je rester en mode sans echec (with networking) sans rien toucher à combofix?
oui sauf pour confirmer pour l'installation de la console de recuperation

?G3?-?@¢??@?(TM)©®?
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 14:14
J'ai pu brancher ma live box sur mon portable. Il s'est éteint puis rallumé en mode normal. Dois-je desactiver ma connexion wifi sachant que je n'ai pas réactiver le firewall. Je n'avais pas réussi à desactver l'antivirus. Pour l'instant je suis de nouveau sur mon pc.
Voila le rapport combofix:
ComboFix 10-04-11.03 - Amo 04/12/2010 13:35:19.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.738 [GMT 2:00]
Running from: c:\documents and settings\Amo\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme189
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme188
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme187
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme186
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700.exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\enemies-names.txt
c:\documents and settings\Amo\Application Data\avdrn.dat
c:\documents and settings\Amo\Application Data\wiaservg.log
c:\documents and settings\Amo\Start Menu\Programs\Startup\ihaupd32.exe
c:\documents and settings\Amo\Start Menu\Programs\Startup\wwwmen32.exe
c:\program files\Adobe\acrotray .exe
c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\windows\eSellerateEngine.dll
c:\windows\system32\app_dll.dll
c:\windows\system32\cooper.mine
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\fad.sys
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\pkabdmdn.dll
c:\windows\system32\rxyspdzpes
c:\windows\system32\sshnas21.dll
c:\windows\system32\tdsslog.dll
c:\windows\system32\tdssmain.dll
c:\windows\system32\tdssserf.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS


((((((((((((((((((((((((( Files Created from 2010-03-12 to 2010-04-12 )))))))))))))))))))))))))))))))
.

2010-04-12 07:55 . 2010-04-12 07:55 -------- d-----w- C:\Kill'em
2010-04-12 07:54 . 2010-04-12 08:29 -------- d-----w- c:\program files\List_Kill'em
2010-04-07 05:04 . 2010-04-07 05:04 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE
2010-04-07 05:04 . 2010-04-07 05:04 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache
2010-04-06 19:05 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-06 19:05 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-06 19:04 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-04-06 19:04 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-04-06 19:03 . 2010-04-06 19:03 174592 ----a-w- c:\windows\Afonia.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-12 11:49 . 2007-02-02 19:14 -------- d-----w- c:\program files\Symantec AntiVirus
2010-04-12 11:48 . 2007-06-06 11:42 -------- d-----w- c:\program files\QuickTime
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxpers.exe
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\hkcmd.exe
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxtray.exe
2010-04-12 11:47 . 2006-04-28 02:11 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-04-12 11:47 . 2006-12-14 07:31 -------- d-----w- c:\program files\Windows Defender
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxpers .exe
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\hkcmd .exe
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxtray .exe
2010-04-08 14:48 . 2006-04-21 22:53 -------- d-----w- c:\program files\Apoint
2010-04-08 14:16 . 2007-02-02 19:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-06 19:44 . 2010-04-06 19:44 8 ----a-w- c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
2010-04-06 19:03 . 2010-04-06 19:03 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\ypgmjw.dat
2010-04-06 19:03 . 2010-04-06 19:03 90112 ----a-w- c:\windows\system32\9F.tmp
2010-04-06 19:03 . 2010-04-06 19:03 28814 ----a-w- c:\windows\system32\99.tmp
2010-04-06 19:03 . 2010-04-06 19:03 84 ----a-w- c:\windows\system32\96.tmp
2010-04-03 22:31 . 2006-04-27 14:22 -------- d-----w- c:\program files\Google
2010-03-07 18:40 . 2010-03-07 18:40 0 ----a-w- c:\windows\nsreg.dat
2010-02-25 06:24 . 2004-08-11 22:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 09:16 . 2009-10-04 17:00 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-12 10:03 . 2010-03-01 07:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-01-26 13:24 . 2010-01-26 13:24 126 ----a-w- c:\documents and settings\Amo\Local Settings\Application Data\fusioncache.dat
2010-01-17 21:36 . 2010-01-17 21:32 77152 ----a-w- c:\documents and settings\Amo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
.
[code]<pre>
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\Apoint\apoint .exe
c:\program files\Common Files\Symantec Shared\ccapp .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Intel\Wireless\Bin\ifrmewrk .exe
c:\program files\Intel\Wireless\Bin\zcfgsvc .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Symantec AntiVirus\vptray .exe
c:\program files\Windows Defender\msascui .exe
c:\program files\Windows Media Player\wmpnscfg .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\dla\tfswctrl .exe
</pre>/code

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2010-04-12 37376]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\quicktime\qttask .exe -atboottime" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2010-04-08 37376]
"Dell QuickSet"="c:\program files\dell\quickset\quickset .exe .exe .exe .exe .exe .exe .exe .exe .exe" [N/A]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2010-04-12 37376]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2010-04-12 37376]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2010-04-12 37376]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2010-04-12 37376]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2010-04-12 37376]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2010-04-12 37376]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2010-04-12 37376]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2010-04-12 37376]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-12 37376]
"vptray"="c:\progra~1\SYMANT~1\\vptray.exe" [2010-04-12 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-4-22 24576]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupXu.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [11/3/2006 7:19 PM 13592]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\eengine\EraserUtilRebootDrv.sys [8/27/2009 7:01 PM 102448]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [4/22/2006 12:53 AM 87936]
S0 1742699994;1742699994;c:\windows\system32\drivers\1742699994.sys --> c:\windows\system32\drivers\1742699994.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2/4/2010 12:01 PM 135664]
S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [12/20/2006 8:29 PM 116928]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - BASFND
.
Contents of the 'Scheduled Tasks' folder

2010-04-12 c:\windows\Tasks\At1.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At10.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At11.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At12.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At13.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At14.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At15.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At16.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At17.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At18.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At19.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At2.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At20.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At21.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At22.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At23.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At24.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At3.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At4.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At5.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At6.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At7.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At8.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\At9.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]

2010-04-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 10:00]

2010-04-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 10:00]

2010-04-12 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]

2010-04-12 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://wwworange.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
DPF: {01010200-5E80-11D8-9E86-0007E96C65AE} - hxxp://supportcenter.rr.com/sdccommon/download/tgctlins.cab
FF - ProfilePath - c:\documents and settings\Amo\Application Data\Mozilla\Firefox\Profiles\11q42en7.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHANS REMOVED - - - -

AddRemove-HijackThis - c:\downloads\HijackThis.exe
AddRemove-Migo - c:\documents and settings\Seba & Shaily\Application Data\Powerhouse\Migo\MigoUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-12 13:46
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


c:\windows\TEMP\TMP00000016FDDC970B82FEBB95 524288 bytes executable
c:\windows\system32\igfxtray .exe 37376 bytes executable
c:\windows\system32\igfxpers .exe 37376 bytes executable
c:\windows\system32\hkcmd .exe 37376 bytes executable

scan completed successfully
hidden files: 4

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8654BAC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75c6f28
\Driver\ACPI -> ACPI.sys @ 0xf7459cb8
\Driver\atapi -> atapi.sys @ 0xf73cd852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf72b1bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72a0a0d
SendHandler -> NDIS.sys @ 0xf72b4b40
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\WININET.dll

- - - - - - - > 'lsass.exe'(956)
c:\windows\system32\WININET.dll

- - - - - - - > 'explorer.exe'(4596)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Intel\Wireless\Bin\WLKeeper.exe
c:\program files\Common Files\Symantec Shared\ccEvtMgr.exe
c:\program files\Common Files\Symantec Shared\ccSetMgr.exe
c:\program files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\basfipm.exe
c:\windows\system32\crypserv.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Dell\QuickSet\NICCONFIGSVC.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\program files\apoint\apoint .exe
c:\windows\system32\dla\tfswctrl .exe
c:\program files\common files\symantec shared\ccapp .exe
c:\program files\Apoint\HidFind.exe
c:\program files\windows defender\msascui .exe
c:\program files\Apoint\Apntex.exe
c:\program files\intel\wireless\bin\zcfgsvc .exe
c:\program files\intel\wireless\bin\ifrmewrk .exe
c:\program files\quicktime\qttask .exe
c:\program files\windows media player\wmpnscfg .exe
c:\progra~1\symant~1\vptray .exe
c:\windows\system32\wscntfy.exe
c:\program files\Intel\Wireless\Bin\Dot1XCfg.exe
c:\program files\dell\quickset\quickset .exe
.
**************************************************************************
.
Completion time: 2010-04-12 14:01:08 - machine was rebooted
ComboFix-quarantined-files.txt 2010-04-12 12:00

Pre-Run: 69,170,589,696 bytes free
Post-Run: 67,937,665,024 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 2CCDB658170541D57E2A17365424C5E5
0
Utilisateur anonyme
12 avril 2010 à 14:26
▶ Télécharge UsbFix

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
alèdoscour Messages postés 25 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 14 avril 2010
12 avril 2010 à 14:59
j'ai lancé USBfix en le telechargeant directement depuis mon portable. Il semble donc que combofix a déjà du éliminer certains problèmes puisqu'il n'est plus tout à fait bloqué.

Par contre une fenêtre s'est ouverte :

the instruction at "0x1000157e" referenced memory at "0x001a0000". The memory could notbe "read". Click on OK to terminate the program.

J'ai cliqué et USBfix s'est relancé.

Depuis il me semble que le scan est très lent même s'il suit son cours.
Est-ce normal?

De plus cela fait trois fois qu'une fenêtre "auto-protect results" s'ouvre pour me dire que trojan.gen a été mis en quarantaine.
Normal aussi?
0
Utilisateur anonyme
12 avril 2010 à 15:22
laissons-le finir....

non je ne connais pas cette fenetre
0