Virus svchost.exe

Résolu
jakezz Messages postés 81 Statut Membre -  
jakezz Messages postés 81 Statut Membre -
Bonjour,
depuis quelques semaines, je suis envahi par des virus repérés dans Avast C:\WINDOWS\TEMP\xxxx.tmp\svchost.exe Win32:Malware-gen.
J'ai essayé en regardant sur les forums de m'en débarrasser, mais je ne dois pas faire les choses comme il faut et c'est toujours pareil ( un virus toutes les 10 mn que je mets en quarantaine).
J'ai exécuté MBAM et même combofix, mais j'ai dû faire une bêtise parce que depuis, je n'ai plus de pare feu windows et je n'ai plus accès à windows update, mais bien sûr toujours les virus svchost.exe.
Si vous pouviez m'aider à tout reprendre pas à pas depuis le début, avec la bonne procédure ça serait super. Merci


A voir également:

117 réponses

Précédent
Réponse 21 / 117
jakezz Messages postés 81 Statut Membre
 
Bon, j'ai essayé de faire un scan avec Kapersky, mais ça prenait des heures ( 2% en 25 mn) et c'était interrompu toutes les 5 minutes par avast qui bloquait un svchost.exe.
Alors j'ai fait un scan avec mon antivirus Avast 4 en désactivant ma connexion pour pas être interrompu toutes les 5mn et il y avait 4 fichiers infectés dans C:\System Volume Information\_restore{675546B4-4FFD-91D2-3FF5906D1C52}\RP5\A0001859.exe . Je n'ai pas de rapport parce que je ne l'avais pas programmé.
J'ai mis les fichiers infectés en quarantaine, puis j'ai redémarré après avoir désactivé la restauration système en espérant que ça règlerait le problème.
Mais non, les svchost.exe continuent à arriver toutes les 5 minutes.
Là , je vais me coucher et je verrai demain à refaire un scan avec un rapport que je pourrai mettre ici.
Merci pour ton aide EP44 et bonne nuit ;)
0
Réponse 22 / 117
jakezz Messages postés 81 Statut Membre
 
Voici le rapport d'Avast qui n'a rien trouvé.
J'hésite à faire le scan avec Kapersky, parce que pour le faire, je suis obligé d'arrêter avast qui n'arrêtera plus les svchost.exe et j'ai peur de prendre le risque de véroler encore plus mon pc.

Que faire ?


* Rapport avast!
* Ce fichier est généré automatiquement
*
* Tâche utilisée 'Interface utilisateur simplifiée'
* Débuté le mercredi 14 avril 2010 07:46:08
* VPS : 100413-1, 13/04/2010
*

C:\Documents and Settings\jak\Local Settings\Application Data\Identities\{51825E60-941D-4363-8413-2F5F54497A24}\Microsoft\Outlook Express\Éléments envoyés.dbx\A l-attention de Lionel- mot-tif.eml#723148496\mot-tif-tiff.zip#500167879\mot-tif-4-de-couv.tif [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\Documents and Settings\jak\Local Settings\Application Data\Identities\{51825E60-941D-4363-8413-2F5F54497A24}\Microsoft\Outlook Express\Éléments envoyés.dbx\A l-attention de Lionel- mot-tif.eml#723148496\mot-tif-tiff.zip#500167879\mot-tif-page02.tif [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\Documents and Settings\jak\Local Settings\Application Data\Identities\{51825E60-941D-4363-8413-2F5F54497A24}\Microsoft\Outlook Express\Éléments envoyés.dbx\A l-attention de Lionel- mot-tif.eml#723148496\mot-tif-tiff.zip#500167879\mot-tif-page32.tif [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\Documents and Settings\jak\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\jak\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\jak\ntuser.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\jak\ntuser.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\LocalService\NTUSER.DAT [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\LocalService\ntuser.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\NetworkService\NTUSER.DAT [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\NetworkService\ntuser.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\pagefile.sys [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Program Files\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar\ [E] archive TAR corrompue. (42128)
C:\Program Files\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar\ [E] archive TAR corrompue. (42128)
C:\Program Files\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar\ [E] archive TAR corrompue. (42128)
C:\Program Files\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar\30 atime=1041808783.000000000
30 ctime=1041808783.000000000
30 mtime=1041808783.000000000
11 uid=123 [E] archive TAR corrompue. (42128)
C:\Program Files\Outlook Express\Outlook Express\2008\02\Éléments envoyés.dbx\A l-attention de Lionel- mot-tif.eml#717171536\mot-tif-tiff.zip#500167879\mot-tif-4-de-couv.tif [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\Program Files\Outlook Express\Outlook Express\2008\02\Éléments envoyés.dbx\A l-attention de Lionel- mot-tif.eml#717171536\mot-tif-tiff.zip#500167879\mot-tif-page02.tif [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\Program Files\Outlook Express\Outlook Express\2008\02\Éléments envoyés.dbx\A l-attention de Lionel- mot-tif.eml#717171536\mot-tif-tiff.zip#500167879\mot-tif-page32.tif [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\WINDOWS\system32\CatRoot2\edb.log [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\CatRoot2\tmp.edb [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\default [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\default.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\SAM [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\SAM.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\SECURITY [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\SECURITY.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\software [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\software.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\system [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\system32\config\system.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\Temp\Perflib_Perfdata_4e0.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\Temp\Perflib_Perfdata_5c4.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\WINDOWS\Temp\_avast4_\Webshlock.txt [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
Fichiers infectés : 0
Total des fichiers : 341857
Total des dossiers : 5002
Taille totale : 28,7 GB

*
* Tâche terminée : mercredi 14 avril 2010 08:23:17
* Programme était en exécution 37 minute(s), 9 seconde(s)
0
Réponse 23 / 117
ep44 Messages postés 7432 Statut Contributeur 3
 
Bonjour,

Très bien la suppression des points de restauration a du faire du bien :)

Essaye de refaire un scan en ligne avec Kaspersky et laisse le travailler même si cela prend deux heures.

@+

0
Réponse 24 / 117
jakezz Messages postés 81 Statut Membre
 
Bonjour,
Il faut que j'arrête Avast pendant le scan Kapersky.
Est-ce que je ne vais pas prendre le risque que les virus qu'avast arrête toutes les 5 minutes ( svchost.exe) s'installent d'une manière plus importante ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 117
jakezz Messages postés 81 Statut Membre
 
J'ai finalement réussi à faire un scan Kapersky, le voilà:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Wednesday, April 14, 2010
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Wednesday, April 14, 2010 09:07:15
Records in database: 3942447
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\

Scan statistics:
Objects scanned: 126049
Threats found: 2
Infected objects found: 22
Suspicious objects found: 18
Scan duration: 02:24:55


File name / Threat / Threats count
C:\Program Files\Outlook Express\Outlook Express\03\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 1
C:\Program Files\Outlook Express\Outlook Express\03\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 2
C:\Program Files\Outlook Express\Outlook Express\04\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 10
C:\Program Files\Outlook Express\Outlook Express\04\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 5
C:\Program Files\Outlook Express\Outlook Express\10\Boîte de réception.dbx Suspicious: Exploit.HTML.Iframe.FileDownload 2
E:\outllok\Outlook Express\Outlook Express\03\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 1
E:\outllok\Outlook Express\Outlook Express\03\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 2
E:\outllok\Outlook Express\Outlook Express\04\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 10
E:\outllok\Outlook Express\Outlook Express\04\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 5
E:\outllok\Outlook Express\Outlook Express\10\Boîte de réception.dbx Suspicious: Exploit.HTML.Iframe.FileDownload 2

Selected area has been scanned.


Qu'est ce que je peux faire maintenant ?
Je suis toujours envahi par les svchost.exe ( un toutes les 5 minutes ).
0
Réponse 26 / 117
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Je suis toujours envahi par les svchost.exe ( un toutes les 5 minutes ).

C:\WINDOWS\TEMP\xxxx.tmp\svchost.exe Win32:Malware-gen. = TDSS TLD 3 => https://forum.malekal.com/viewtopic.php?t=22604&start=
0
Réponse 27 / 117
ep44 Messages postés 7432 Statut Contributeur 3
 
Bonjour malekal merci pour le coup de pouce.

Télécharge Combofix de sUBs
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Enregistre-le impérativement sur ton bureau.
* Prends connaissance du tutoriel suivant : http://www.bleepingcomputer.com/combofix/f...iliser-combofix
* Déconnecte-toi du net et désactive ton antivirus pendant la procédure.
* Ferme toutes les fenêtres.
* Double-clique sur combofix.exe
* Clique sur "Oui" pour accepter la limitation de garantie !
--> Si ton pare-feu te demande d'autoriser nircmd.cfexe, accepte.
--> Si ComboFix te demande d'installer la console de récupération, accepte (YES, puis OUI), c'est TRES IMPORTANT !
* Lance le scan (ne clique pas sur la fenêtre qui s'ouvre).
* A la fin du scan (cela peut prendre du temps), un rapport sera créé.
* Poste ce rapport dans ton / tes prochain(s) message(s) (C:\Combofix.txt)


Avertissement important : Cet outil n'est pas un antimalware's généraliste ! Il ne peut être utilisé que par des personnes qualifiées...
0
Réponse 28 / 117
jakezz Messages postés 81 Statut Membre
 
Merci pour le lien Malekal_morte, ça explique bien mon problème, mais ça ne me dit pas ce que je peux faire pour m'en débarrasser ?
Qu'est-ce que je peux faire ?
0
Réponse 29 / 117
ep44 Messages postés 7432 Statut Contributeur 3
 
Passer Combofix comme je t'ai demandé :)
0
Réponse 30 / 117
jakezz Messages postés 81 Statut Membre
 
Voilà le rapport de Combofix:

ComboFix 10-04-13.04 - jak 14/04/2010 18:26:31.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2039.1401 [GMT 2:00]
Lancé depuis: c:\documents and settings\jak\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100414-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.\documents\settings
c:\documents and settings\jak\Application Data\chrtmp
c:\recycler\S-1-5-21-1450397050-4761641095-447192190-3415
E:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-14 au 2010-04-14 ))))))))))))))))))))))))))))))))))))
.

2010-04-13 17:43 . 2010-04-13 17:45 -------- d-----w- C:\Ad-Remover
2010-04-13 13:40 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-13 13:40 . 2010-04-13 13:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-13 13:40 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-13 13:05 . 2010-04-13 13:05 -------- d-----w- C:\_OTM
2010-04-13 07:42 . 2010-04-13 09:43 -------- d-----w- c:\program files\ZHPDiag
2010-04-12 16:20 . 2010-04-12 16:20 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-07 06:41 . 2010-04-07 06:41 -------- d-----w- c:\documents and settings\jak\Application Data\Malwarebytes
2010-04-07 06:41 . 2010-04-07 06:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-06 15:03 . 2010-04-06 15:03 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-04-06 13:08 . 2010-04-06 13:08 -------- d-----w- c:\program files\JRE
2010-04-06 13:08 . 2010-04-06 18:20 -------- d-----w- c:\windows\SxsCaPendDel
2010-03-31 15:50 . 2010-03-31 15:50 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-03-31 08:09 . 2010-03-31 08:09 -------- d-----w- c:\program files\Fichiers communs\Java
2010-03-31 08:08 . 2010-03-31 08:08 503808 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d39ffb3-n\msvcp71.dll
2010-03-31 08:08 . 2010-03-31 08:08 499712 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d39ffb3-n\jmc.dll
2010-03-31 08:08 . 2010-03-31 08:08 348160 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d39ffb3-n\msvcr71.dll
2010-03-31 08:08 . 2010-03-31 08:08 12800 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-53cd1132-n\decora-d3d.dll
2010-03-31 08:08 . 2010-03-31 08:08 61440 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-53cd1132-n\decora-sse.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-14 14:01 . 2009-09-04 07:11 1 ----a-w- c:\documents and settings\jak\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-14 12:00 . 2009-07-26 15:47 318 ----a-w- c:\windows\system32\wacom.dat
2010-04-14 07:25 . 2009-07-27 16:20 -------- d-----w- c:\documents and settings\jak\Application Data\FileZilla
2010-04-12 17:53 . 2009-07-26 15:47 8138 ----a-w- c:\windows\system32\drivers\penclass.sys
2010-04-07 08:53 . 2009-07-27 07:52 24128 ----a-w- c:\documents and settings\jak\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-06 13:08 . 2009-09-04 07:01 -------- d-----w- c:\program files\OpenOffice.org 3
2010-04-06 13:06 . 2009-09-04 07:01 -------- d-----w- c:\program files\Java
2010-04-01 11:13 . 2010-02-28 21:01 -------- d-----w- c:\program files\CCleaner
2010-03-31 08:08 . 2001-09-28 12:00 48856 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-31 08:08 . 2001-09-28 12:00 368076 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-22 05:51 . 2009-08-31 21:16 -------- d-----w- c:\program files\FileZilla FTP Client
2010-03-09 02:28 . 2009-09-04 07:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-07 18:42 . 2010-03-07 18:42 -------- d-----w- c:\documents and settings\jak\Application Data\DivX
2010-03-07 18:41 . 2010-03-07 18:41 -------- d-----w- c:\program files\DivX
2010-03-07 18:41 . 2010-03-07 18:41 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
2010-02-25 06:17 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-17 12:45 . 2009-07-28 11:54 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-02-12 10:03 . 2010-02-26 06:49 293376 ------w- c:\windows\system32\browserchoice.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Media Center"="bye" [X]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2007-10-12 131072]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2007-10-12 163840]
"Persistence"="c:\windows\System32\igfxpers.exe" [2007-10-12 135168]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 16844800]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-10-06 198160]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"EEventManager"="c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
EPSON SMART PANEL for Scanner.lnk - c:\program files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe [2009-7-27 180224]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter\WLANUTL.exe [2009-7-26 925696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/07/2009 18:50 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [15/08/2009 23:46 20560]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [26/07/2009 18:32 402432]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\jak\Application Data\Mozilla\Firefox\Profiles\3afz0akt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-EoEngine - (no file)
AddRemove-HijackThis - c:\program files\hijackthis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-14 18:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys >>UNKNOWN [0x89D338B4]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7ecb8
\Driver\atapi -> atapi.sys @ 0xb9f10852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK

**************************************************************************
.
Heure de fin: 2010-04-14 18:35:39
ComboFix-quarantined-files.txt 2010-04-14 16:35

Avant-CF: 142 722 883 584 octets libres
Après-CF: 142 800 125 952 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 9B2C0703B3DD3D47997EAC22C6AD4F02

C'est bon ?
;)
0
Réponse 31 / 117
ep44 Messages postés 7432 Statut Contributeur 3
 
J'analyse tout ça et je te réponds à la suite ;)
0
Réponse 32 / 117
ep44 Messages postés 7432 Statut Contributeur 3
 
Désolé pour l'attente mais j'avais besoin d'avis.

Pour la suite

1/

* Télécharge mbr.exe de Gmer sur le Bureau,
http://www2.gmer.net/mbr/mbr.exe

* Désactive toutes tes protections résidentes à l'exception du pare-feu (Antivirus, protection du registre etc...),
* Double-clique sur mbr.exe et édite le rapport mbr.log généré.

* Clique sur démarrer>Exécuter>cmd et tape ceci : "%userprofile%\Bureau\mbr" -f
* Un rapport mbr.log est généré. Edite-le.

* Relance mbr.exe et édite le rapport mbr.log généré.

* Supprime mbr.exe et le rapport mbr.log


2/

* Télécharge Load_TDSSkiller de Loup Blanc sur ton Bureau,
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Fais un double-clic sur Load_TDSSkiller (ou sous Vista, fais un clic droit et choisis d'exécuter en tant qu'administrateur),

* L'outil va alors se connecter au net pour télécharger la dernière version de cet outil de Kaspersky,

* A la fin de l'analyse, appuie sur une touche pour continuer, comme l'indique le message dans le fenêtre qui s'affiche à l'écran,

* Le rapport va alors s'afficher automatiquement à l'écran,

* Copie-colle son contenu dans ta prochaine réponse. Il est également enregistré ici : C:\tdsskiller\report.txt

* Redémarre le pc.
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
0
Réponse 33 / 117
jakezz Messages postés 81 Statut Membre
 
Bon, eh bien je crois bien que Combofix a réglé le problème !
Je n'ai plus d'attaque intempestive de svchost.exe .
J'ai refait un scan avec MBAM et j'ai supprimé les 3 ou 4 malwares qui se cachaient encore çà et là;
J'ai redémarré l'ordi et après un nouveau scan tout semble clean.

Merci beaucoup EP44 pour ton aide patiente et avisée (merci aussi à Malekal-morte qui t'a mis sur la voie).

Je vais mettre ce sujet comme résolu.

++
Jakezz
0
Réponse 34 / 117
ep44 Messages postés 7432 Statut Contributeur 3
 
il faut allez jusqu'au bout, cette infection est récente et il faut le maximum d'info.
Peut tu aussi poster le rapport de Malwarebytes.
0
Réponse 35 / 117
jakezz Messages postés 81 Statut Membre
 
Ok, je fais donc ça...
0
Réponse 36 / 117
ep44 Messages postés 7432 Statut Contributeur 3
 
merci :)
0
Réponse 37 / 117
jakezz Messages postés 81 Statut Membre
 
Voilà le rapport de TDSSKiller :


22:43:02:937 2920 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
22:43:02:937 2920 ================================================================================
22:43:02:937 2920 SystemInfo:

22:43:02:937 2920 OS Version: 5.1.2600 ServicePack: 3.0
22:43:02:937 2920 Product type: Workstation
22:43:02:937 2920 ComputerName: JAK-TE6R9BJNHDR
22:43:02:937 2920 UserName: jak
22:43:02:937 2920 Windows directory: C:\WINDOWS
22:43:02:937 2920 Processor architecture: Intel x86
22:43:02:937 2920 Number of processors: 2
22:43:02:937 2920 Page size: 0x1000
22:43:02:937 2920 Boot type: Normal boot
22:43:02:937 2920 ================================================================================
22:43:02:953 2920 UnloadDriverW: NtUnloadDriver error 2
22:43:02:953 2920 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
22:43:02:984 2920 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
22:43:02:984 2920 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:43:02:984 2920 wfopen_ex: Trying to KLMD file open
22:43:02:984 2920 wfopen_ex: File opened ok (Flags 2)
22:43:02:984 2920 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
22:43:02:984 2920 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:43:02:984 2920 wfopen_ex: Trying to KLMD file open
22:43:02:984 2920 wfopen_ex: File opened ok (Flags 2)
22:43:02:984 2920 Initialize success
22:43:02:984 2920
22:43:02:984 2920 Scanning Services ...
22:43:03:375 2920 Raw services enum returned 304 services
22:43:03:375 2920
22:43:03:375 2920 Scanning Kernel memory ...
22:43:03:375 2920 Devices to scan: 7
22:43:03:375 2920
22:43:03:375 2920 Driver Name: Disk
22:43:03:375 2920 IRP_MJ_CREATE : BA0EEBB0
22:43:03:375 2920 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
22:43:03:375 2920 IRP_MJ_CLOSE : BA0EEBB0
22:43:03:375 2920 IRP_MJ_READ : BA0E8D1F
22:43:03:375 2920 IRP_MJ_WRITE : BA0E8D1F
22:43:03:375 2920 IRP_MJ_QUERY_INFORMATION : 804F4562
22:43:03:375 2920 IRP_MJ_SET_INFORMATION : 804F4562
22:43:03:375 2920 IRP_MJ_QUERY_EA : 804F4562
22:43:03:375 2920 IRP_MJ_SET_EA : 804F4562
22:43:03:375 2920 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
22:43:03:375 2920 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
22:43:03:375 2920 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
22:43:03:375 2920 IRP_MJ_DIRECTORY_CONTROL : 804F4562
22:43:03:375 2920 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
22:43:03:375 2920 IRP_MJ_DEVICE_CONTROL : BA0E93BB
22:43:03:375 2920 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
22:43:03:375 2920 IRP_MJ_SHUTDOWN : BA0E92E2
22:43:03:375 2920 IRP_MJ_LOCK_CONTROL : 804F4562
22:43:03:375 2920 IRP_MJ_CLEANUP : 804F4562
22:43:03:375 2920 IRP_MJ_CREATE_MAILSLOT : 804F4562
22:43:03:375 2920 IRP_MJ_QUERY_SECURITY : 804F4562
22:43:03:375 2920 IRP_MJ_SET_SECURITY : 804F4562
22:43:03:375 2920 IRP_MJ_POWER : BA0EAC82
22:43:03:375 2920 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
22:43:03:375 2920 IRP_MJ_DEVICE_CHANGE : 804F4562
22:43:03:375 2920 IRP_MJ_QUERY_QUOTA : 804F4562
22:43:03:375 2920 IRP_MJ_SET_QUOTA : 804F4562
22:43:03:421 2920 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:43:03:421 2920
22:43:03:421 2920 Driver Name: usbstor
22:43:03:421 2920 IRP_MJ_CREATE : 9FBB7218
22:43:03:421 2920 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
22:43:03:421 2920 IRP_MJ_CLOSE : 9FBB7218
22:43:03:421 2920 IRP_MJ_READ : 9FBB723C
22:43:03:421 2920 IRP_MJ_WRITE : 9FBB723C
22:43:03:421 2920 IRP_MJ_QUERY_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_SET_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_QUERY_EA : 804F4562
22:43:03:421 2920 IRP_MJ_SET_EA : 804F4562
22:43:03:421 2920 IRP_MJ_FLUSH_BUFFERS : 804F4562
22:43:03:421 2920 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_DIRECTORY_CONTROL : 804F4562
22:43:03:421 2920 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
22:43:03:421 2920 IRP_MJ_DEVICE_CONTROL : 9FBB7180
22:43:03:421 2920 IRP_MJ_INTERNAL_DEVICE_CONTROL : 9FBB29E6
22:43:03:421 2920 IRP_MJ_SHUTDOWN : 804F4562
22:43:03:421 2920 IRP_MJ_LOCK_CONTROL : 804F4562
22:43:03:421 2920 IRP_MJ_CLEANUP : 804F4562
22:43:03:421 2920 IRP_MJ_CREATE_MAILSLOT : 804F4562
22:43:03:421 2920 IRP_MJ_QUERY_SECURITY : 804F4562
22:43:03:421 2920 IRP_MJ_SET_SECURITY : 804F4562
22:43:03:421 2920 IRP_MJ_POWER : 9FBB65F0
22:43:03:421 2920 IRP_MJ_SYSTEM_CONTROL : 9FBB4A6E
22:43:03:421 2920 IRP_MJ_DEVICE_CHANGE : 804F4562
22:43:03:421 2920 IRP_MJ_QUERY_QUOTA : 804F4562
22:43:03:421 2920 IRP_MJ_SET_QUOTA : 804F4562
22:43:03:421 2920 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:43:03:421 2920
22:43:03:421 2920 Driver Name: Disk
22:43:03:421 2920 IRP_MJ_CREATE : BA0EEBB0
22:43:03:421 2920 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
22:43:03:421 2920 IRP_MJ_CLOSE : BA0EEBB0
22:43:03:421 2920 IRP_MJ_READ : BA0E8D1F
22:43:03:421 2920 IRP_MJ_WRITE : BA0E8D1F
22:43:03:421 2920 IRP_MJ_QUERY_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_SET_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_QUERY_EA : 804F4562
22:43:03:421 2920 IRP_MJ_SET_EA : 804F4562
22:43:03:421 2920 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
22:43:03:421 2920 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
22:43:03:421 2920 IRP_MJ_DIRECTORY_CONTROL : 804F4562
22:43:03:421 2920 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
22:43:03:421 2920 IRP_MJ_DEVICE_CONTROL : BA0E93BB
22:43:03:421 2920 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
22:43:03:421 2920 IRP_MJ_SHUTDOWN : BA0E92E2
22:43:03:421 2920 IRP_MJ_LOCK_CONTROL : 804F4562
22:43:03:421 2920 IRP_MJ_CLEANUP : 804F4562
22:43:03:421 2920 IRP_MJ_CREATE_MAILSLOT : 804F4562
22:43:03:421 2920 IRP_MJ_QUERY_SECURITY : 804F4562
22:43:03:421 2920 IRP_MJ_SET_SECURITY : 804F4562
22:43:03:421 2920 IRP_MJ_POWER : BA0EAC82
22:43:03:421 2920 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
22:43:03:421 2920 IRP_MJ_DEVICE_CHANGE : 804F4562
22:43:03:421 2920 IRP_MJ_QUERY_QUOTA : 804F4562
22:43:03:421 2920 IRP_MJ_SET_QUOTA : 804F4562
22:43:03:437 2920 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:43:03:437 2920
22:43:03:437 2920 Driver Name: Disk
22:43:03:437 2920 IRP_MJ_CREATE : BA0EEBB0
22:43:03:437 2920 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
22:43:03:437 2920 IRP_MJ_CLOSE : BA0EEBB0
22:43:03:437 2920 IRP_MJ_READ : BA0E8D1F
22:43:03:437 2920 IRP_MJ_WRITE : BA0E8D1F
22:43:03:437 2920 IRP_MJ_QUERY_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_SET_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_QUERY_EA : 804F4562
22:43:03:437 2920 IRP_MJ_SET_EA : 804F4562
22:43:03:437 2920 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
22:43:03:437 2920 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_DIRECTORY_CONTROL : 804F4562
22:43:03:437 2920 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
22:43:03:437 2920 IRP_MJ_DEVICE_CONTROL : BA0E93BB
22:43:03:437 2920 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
22:43:03:437 2920 IRP_MJ_SHUTDOWN : BA0E92E2
22:43:03:437 2920 IRP_MJ_LOCK_CONTROL : 804F4562
22:43:03:437 2920 IRP_MJ_CLEANUP : 804F4562
22:43:03:437 2920 IRP_MJ_CREATE_MAILSLOT : 804F4562
22:43:03:437 2920 IRP_MJ_QUERY_SECURITY : 804F4562
22:43:03:437 2920 IRP_MJ_SET_SECURITY : 804F4562
22:43:03:437 2920 IRP_MJ_POWER : BA0EAC82
22:43:03:437 2920 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
22:43:03:437 2920 IRP_MJ_DEVICE_CHANGE : 804F4562
22:43:03:437 2920 IRP_MJ_QUERY_QUOTA : 804F4562
22:43:03:437 2920 IRP_MJ_SET_QUOTA : 804F4562
22:43:03:437 2920 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:43:03:437 2920
22:43:03:437 2920 Driver Name: Disk
22:43:03:437 2920 IRP_MJ_CREATE : BA0EEBB0
22:43:03:437 2920 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
22:43:03:437 2920 IRP_MJ_CLOSE : BA0EEBB0
22:43:03:437 2920 IRP_MJ_READ : BA0E8D1F
22:43:03:437 2920 IRP_MJ_WRITE : BA0E8D1F
22:43:03:437 2920 IRP_MJ_QUERY_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_SET_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_QUERY_EA : 804F4562
22:43:03:437 2920 IRP_MJ_SET_EA : 804F4562
22:43:03:437 2920 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
22:43:03:437 2920 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
22:43:03:437 2920 IRP_MJ_DIRECTORY_CONTROL : 804F4562
22:43:03:437 2920 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
22:43:03:437 2920 IRP_MJ_DEVICE_CONTROL : BA0E93BB
22:43:03:437 2920 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
22:43:03:437 2920 IRP_MJ_SHUTDOWN : BA0E92E2
22:43:03:437 2920 IRP_MJ_LOCK_CONTROL : 804F4562
22:43:03:437 2920 IRP_MJ_CLEANUP : 804F4562
22:43:03:437 2920 IRP_MJ_CREATE_MAILSLOT : 804F4562
22:43:03:437 2920 IRP_MJ_QUERY_SECURITY : 804F4562
22:43:03:437 2920 IRP_MJ_SET_SECURITY : 804F4562
22:43:03:437 2920 IRP_MJ_POWER : BA0EAC82
22:43:03:437 2920 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
22:43:03:437 2920 IRP_MJ_DEVICE_CHANGE : 804F4562
22:43:03:437 2920 IRP_MJ_QUERY_QUOTA : 804F4562
22:43:03:437 2920 IRP_MJ_SET_QUOTA : 804F4562
22:43:03:437 2920 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:43:03:437 2920
22:43:03:437 2920 Driver Name: atapi
22:43:03:437 2920 IRP_MJ_CREATE : 89D1EAC8
22:43:03:437 2920 IRP_MJ_CREATE_NAMED_PIPE : 89D1EAC8
22:43:03:437 2920 IRP_MJ_CLOSE : 89D1EAC8
22:43:03:437 2920 IRP_MJ_READ : 89D1EAC8
22:43:03:437 2920 IRP_MJ_WRITE : 89D1EAC8
22:43:03:437 2920 IRP_MJ_QUERY_INFORMATION : 89D1EAC8
22:43:03:437 2920 IRP_MJ_SET_INFORMATION : 89D1EAC8
22:43:03:437 2920 IRP_MJ_QUERY_EA : 89D1EAC8
22:43:03:437 2920 IRP_MJ_SET_EA : 89D1EAC8
22:43:03:437 2920 IRP_MJ_FLUSH_BUFFERS : 89D1EAC8
22:43:03:437 2920 IRP_MJ_QUERY_VOLUME_INFORMATION : 89D1EAC8
22:43:03:437 2920 IRP_MJ_SET_VOLUME_INFORMATION : 89D1EAC8
22:43:03:437 2920 IRP_MJ_DIRECTORY_CONTROL : 89D1EAC8
22:43:03:437 2920 IRP_MJ_FILE_SYSTEM_CONTROL : 89D1EAC8
22:43:03:437 2920 IRP_MJ_DEVICE_CONTROL : 89D1EAC8
22:43:03:437 2920 IRP_MJ_INTERNAL_DEVICE_CONTROL : 89D1EAC8
22:43:03:437 2920 IRP_MJ_SHUTDOWN : 89D1EAC8
22:43:03:437 2920 IRP_MJ_LOCK_CONTROL : 89D1EAC8
22:43:03:437 2920 IRP_MJ_CLEANUP : 89D1EAC8
22:43:03:437 2920 IRP_MJ_CREATE_MAILSLOT : 89D1EAC8
22:43:03:437 2920 IRP_MJ_QUERY_SECURITY : 89D1EAC8
22:43:03:437 2920 IRP_MJ_SET_SECURITY : 89D1EAC8
22:43:03:437 2920 IRP_MJ_POWER : 89D1EAC8
22:43:03:437 2920 IRP_MJ_SYSTEM_CONTROL : 89D1EAC8
22:43:03:437 2920 IRP_MJ_DEVICE_CHANGE : 89D1EAC8
22:43:03:437 2920 IRP_MJ_QUERY_QUOTA : 89D1EAC8
22:43:03:437 2920 IRP_MJ_SET_QUOTA : 89D1EAC8
22:43:03:437 2920 Driver "atapi" infected by TDSS rootkit!
22:43:03:453 2920 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
22:43:03:453 2920 File "C:\WINDOWS\system32\DRIVERS\atapi.sys" infected by TDSS rootkit ... 22:43:03:453 2920 Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys
22:43:03:453 2920 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
22:43:03:625 2920 vfvi6
22:43:03:750 2920 !dsvbh1
22:43:04:562 2920 dsvbh2
22:43:04:562 2920 fdfb2
22:43:04:562 2920 Backup copy found, using it..
22:43:04:562 2920 will be cured on next reboot
22:43:04:562 2920
22:43:04:562 2920 Driver Name: atapi
22:43:04:562 2920 IRP_MJ_CREATE : B9F146F2
22:43:04:562 2920 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
22:43:04:562 2920 IRP_MJ_CLOSE : B9F146F2
22:43:04:562 2920 IRP_MJ_READ : 804F4562
22:43:04:562 2920 IRP_MJ_WRITE : 804F4562
22:43:04:562 2920 IRP_MJ_QUERY_INFORMATION : 804F4562
22:43:04:562 2920 IRP_MJ_SET_INFORMATION : 804F4562
22:43:04:562 2920 IRP_MJ_QUERY_EA : 804F4562
22:43:04:562 2920 IRP_MJ_SET_EA : 804F4562
22:43:04:562 2920 IRP_MJ_FLUSH_BUFFERS : 804F4562
22:43:04:562 2920 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
22:43:04:562 2920 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
22:43:04:562 2920 IRP_MJ_DIRECTORY_CONTROL : 804F4562
22:43:04:562 2920 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
22:43:04:562 2920 IRP_MJ_DEVICE_CONTROL : B9F14712
22:43:04:562 2920 IRP_MJ_INTERNAL_DEVICE_CONTROL : B9F10852
22:43:04:562 2920 IRP_MJ_SHUTDOWN : 804F4562
22:43:04:562 2920 IRP_MJ_LOCK_CONTROL : 804F4562
22:43:04:562 2920 IRP_MJ_CLEANUP : 804F4562
22:43:04:562 2920 IRP_MJ_CREATE_MAILSLOT : 804F4562
22:43:04:562 2920 IRP_MJ_QUERY_SECURITY : 804F4562
22:43:04:562 2920 IRP_MJ_SET_SECURITY : 804F4562
22:43:04:562 2920 IRP_MJ_POWER : B9F1473C
22:43:04:562 2920 IRP_MJ_SYSTEM_CONTROL : B9F1B336
22:43:04:562 2920 IRP_MJ_DEVICE_CHANGE : 804F4562
22:43:04:562 2920 IRP_MJ_QUERY_QUOTA : 804F4562
22:43:04:562 2920 IRP_MJ_SET_QUOTA : 804F4562
22:43:04:562 2920 C:\WINDOWS\system32\drivers\tskE.tmp - Verdict: 3
22:43:04:562 2920 Reboot required for cure complete..
22:43:04:656 2920 Cure on reboot scheduled successfully
22:43:04:656 2920
22:43:04:656 2920 Completed
22:43:04:656 2920
22:43:04:656 2920 Results:
22:43:04:656 2920 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
22:43:04:656 2920 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
22:43:04:656 2920 File objects infected / cured / cured on reboot: 1 / 0 / 1
22:43:04:656 2920
22:43:04:656 2920 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
22:43:04:656 2920 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
22:43:04:656 2920 UnloadDriverW: NtUnloadDriver error 1
22:43:04:656 2920 KLMD(ARK) unloaded successfully


A la fin du scan, on me demandait de taper y pour redémarrer l'ordi ou n si je ne voulais pas redémarrer. J'ai tapé y, mon pc a redémarré mais il a planté avant d'être complètement ouvert. Alors je l'ai éteint de force et redémarré, il a fallu que je choisisse " dernière configuration connue" pour qu'il veuille bien redémarrer. Donc je ne sais pas si tous les "cured on reboot" ont bien fonctionné...
0
Réponse 38 / 117
jakezz Messages postés 81 Statut Membre
 
Voici le rapport de Malwarebytes du scan rapide que j'avais fait après Combofix et dans lequel il y avait 3 ou 4 malwares:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3987

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/04/2010 19:46:49
mbam-log-2010-04-14 (19-46-49).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 108139
Temps écoulé: 2 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Et voici le rapport Malwarebytes du scan complet que j'ai fait après:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3987

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/04/2010 21:48:49
mbam-log-2010-04-14 (21-48-49).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 228150
Temps écoulé: 36 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 39 / 117
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Salut

J'interviens uniquement pour te demander de refaire un Combofix afin de vérifier que l'infection MBR est partie.

Je laisse ensuite ep44 reprendre la suite ;)
0
Réponse 40 / 117
jakezz Messages postés 81 Statut Membre
 
Voilà le nouveau rapport Combofix :

C'est bon ?


ComboFix 10-04-14.01 - jak 15/04/2010 10:06:42.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2039.1581 [GMT 2:00]
Lancé depuis: c:\documents and settings\jak\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100414-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
.

2010-04-15 04:48 . 2010-04-15 04:48 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2010-04-15 00:15 . 2010-04-15 00:15 -------- d-----w- c:\documents and settings\jak\Local Settings\Application Data\PunkBuster
2010-04-15 00:04 . 2010-04-15 02:25 139456 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-04-15 00:04 . 2010-04-15 00:04 138056 ----a-w- c:\documents and settings\jak\Application Data\PnkBstrK.sys
2010-04-15 00:04 . 2010-04-15 02:25 190160 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-04-15 00:03 . 2010-04-15 00:03 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-04-15 00:03 . 2010-04-15 00:03 2407792 ----a-w- c:\windows\system32\pbsvc_heroes.exe
2010-04-14 23:30 . 2010-04-14 23:30 -------- d-----w- c:\program files\EA Games
2010-04-14 23:30 . 2010-02-26 11:00 1291640 ----a-w- c:\documents and settings\jak\Application Data\Mozilla\Firefox\Profiles\3afz0akt.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\BFHUpdater.exe
2010-04-14 23:30 . 2010-02-26 11:00 724992 ----a-w- c:\documents and settings\jak\Application Data\Mozilla\Firefox\Profiles\3afz0akt.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
2010-04-14 20:43 . 2010-04-14 20:43 -------- d-----w- C:\tdsskiller
2010-04-13 17:43 . 2010-04-13 17:45 -------- d-----w- C:\Ad-Remover
2010-04-13 13:40 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-13 13:40 . 2010-04-13 13:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-13 13:40 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-13 13:05 . 2010-04-13 13:05 -------- d-----w- C:\_OTM
2010-04-13 07:42 . 2010-04-13 09:43 -------- d-----w- c:\program files\ZHPDiag
2010-04-12 16:20 . 2010-04-12 16:20 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-07 06:41 . 2010-04-07 06:41 -------- d-----w- c:\documents and settings\jak\Application Data\Malwarebytes
2010-04-07 06:41 . 2010-04-07 06:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-06 15:03 . 2010-04-06 15:03 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-04-06 13:08 . 2010-04-06 13:08 -------- d-----w- c:\program files\JRE
2010-04-06 13:08 . 2010-04-06 18:20 -------- d-----w- c:\windows\SxsCaPendDel
2010-03-31 15:50 . 2010-03-31 15:50 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-03-31 08:09 . 2010-03-31 08:09 -------- d-----w- c:\program files\Fichiers communs\Java
2010-03-31 08:08 . 2010-03-31 08:08 503808 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d39ffb3-n\msvcp71.dll
2010-03-31 08:08 . 2010-03-31 08:08 499712 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d39ffb3-n\jmc.dll
2010-03-31 08:08 . 2010-03-31 08:08 348160 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d39ffb3-n\msvcr71.dll
2010-03-31 08:08 . 2010-03-31 08:08 12800 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-53cd1132-n\decora-d3d.dll
2010-03-31 08:08 . 2010-03-31 08:08 61440 ----a-w- c:\documents and settings\jak\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-53cd1132-n\decora-sse.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 05:45 . 2009-07-26 15:47 318 ----a-w- c:\windows\system32\wacom.dat
2010-04-14 20:44 . 2009-07-26 15:57 96512 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-04-14 14:01 . 2009-09-04 07:11 1 ----a-w- c:\documents and settings\jak\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-14 07:25 . 2009-07-27 16:20 -------- d-----w- c:\documents and settings\jak\Application Data\FileZilla
2010-04-12 17:53 . 2009-07-26 15:47 8138 ----a-w- c:\windows\system32\drivers\penclass.sys
2010-04-07 08:53 . 2009-07-27 07:52 24128 ----a-w- c:\documents and settings\jak\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-06 13:08 . 2009-09-04 07:01 -------- d-----w- c:\program files\OpenOffice.org 3
2010-04-06 13:06 . 2009-09-04 07:01 -------- d-----w- c:\program files\Java
2010-04-01 11:13 . 2010-02-28 21:01 -------- d-----w- c:\program files\CCleaner
2010-03-31 08:08 . 2001-09-28 12:00 48856 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-31 08:08 . 2001-09-28 12:00 368076 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-22 05:51 . 2009-08-31 21:16 -------- d-----w- c:\program files\FileZilla FTP Client
2010-03-10 06:16 . 2002-08-29 10:45 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 02:28 . 2009-09-04 07:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-07 18:42 . 2010-03-07 18:42 -------- d-----w- c:\documents and settings\jak\Application Data\DivX
2010-03-07 18:41 . 2010-03-07 18:41 -------- d-----w- c:\program files\DivX
2010-03-07 18:41 . 2010-03-07 18:41 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
2010-02-25 06:17 . 2006-06-23 11:28 916480 ------w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2002-08-29 00:59 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:45 . 2009-07-28 11:54 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-02-16 19:06 . 2002-08-29 10:42 2148352 ------w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2002-08-29 11:42 2026496 ------w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-26 06:49 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2006-08-16 12:16 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2002-08-29 00:37 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-04-14_16.33.15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-15 05:45 . 2010-04-15 05:45 16384 c:\windows\Temp\Perflib_Perfdata_c0.dat
+ 2010-04-15 05:45 . 2010-04-15 05:45 16384 c:\windows\Temp\Perflib_Perfdata_454.dat
+ 2010-04-15 06:28 . 2010-04-15 06:28 16384 c:\windows\Temp\Perflib_Perfdata_1e8.dat
+ 2009-08-17 04:51 . 2009-05-26 11:40 18296 c:\windows\system32\spmsg.dll
- 2009-08-17 04:51 . 2008-07-08 13:03 18296 c:\windows\system32\spmsg.dll
+ 2009-03-08 02:33 . 2010-03-10 06:16 420352 c:\windows\system32\dllcache\vbscript.dll
- 2009-03-08 02:33 . 2009-03-08 02:33 420352 c:\windows\system32\dllcache\vbscript.dll
+ 2008-06-20 11:08 . 2010-02-11 12:02 226880 c:\windows\system32\dllcache\tcpip6.sys
+ 2009-07-27 08:27 . 2010-02-24 13:11 455680 c:\windows\system32\dllcache\mrxsmb.sys
+ 2010-02-12 04:34 . 2010-02-12 04:34 100864 c:\windows\system32\dllcache\6to4svc.dll
+ 2010-04-15 05:39 . 2009-03-08 02:33 420352 c:\windows\ie8updates\KB981332-IE8\vbscript.dll
+ 2010-04-15 05:39 . 2009-05-26 11:40 406392 c:\windows\ie8updates\KB981332-IE8\spuninst\updspapi.dll
+ 2010-04-15 05:39 . 2009-05-26 11:40 234872 c:\windows\ie8updates\KB981332-IE8\spuninst\spuninst.exe
+ 2009-07-27 08:27 . 2010-02-24 13:11 455680 c:\windows\Driver Cache\i386\mrxsmb.sys
+ 2009-07-27 08:27 . 2010-02-17 12:07 2192000 c:\windows\system32\dllcache\ntoskrnl.exe
+ 2009-07-27 08:27 . 2010-02-16 19:06 2026496 c:\windows\system32\dllcache\ntkrpamp.exe
+ 2009-02-10 17:06 . 2010-02-16 19:07 2068864 c:\windows\system32\dllcache\ntkrnlpa.exe
+ 2009-07-27 08:27 . 2010-02-16 19:06 2148352 c:\windows\system32\dllcache\ntkrnlmp.exe
+ 2009-07-27 08:27 . 2010-02-17 12:07 2192000 c:\windows\Driver Cache\i386\ntoskrnl.exe
+ 2009-07-27 08:27 . 2010-02-16 19:06 2026496 c:\windows\Driver Cache\i386\ntkrpamp.exe
+ 2009-02-10 17:06 . 2010-02-16 19:07 2068864 c:\windows\Driver Cache\i386\ntkrnlpa.exe
+ 2009-07-27 08:27 . 2010-02-16 19:06 2148352 c:\windows\Driver Cache\i386\ntkrnlmp.exe
+ 2009-07-27 08:53 . 2010-04-06 17:52 31971272 c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Media Center"="bye" [X]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2007-10-12 131072]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2007-10-12 163840]
"Persistence"="c:\windows\System32\igfxpers.exe" [2007-10-12 135168]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 16844800]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-10-06 198160]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"EEventManager"="c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
EPSON SMART PANEL for Scanner.lnk - c:\program files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe [2009-7-27 180224]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter\WLANUTL.exe [2009-7-26 925696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/07/2009 18:50 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [15/08/2009 23:46 20560]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [26/07/2009 18:32 402432]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\jak\Application Data\Mozilla\Firefox\Profiles\3afz0akt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\documents and settings\jak\Application Data\Mozilla\Firefox\Profiles\3afz0akt.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2076)
c:\windows\System32\tabhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-04-15 10:15:32
ComboFix-quarantined-files.txt 2010-04-15 08:15
ComboFix2.txt 2010-04-14 16:35

Avant-CF: 141 516 890 112 octets libres
Après-CF: 141 966 495 744 octets libres

- - End Of File - - 90FC8A46D1A0CA85C1876748E16A58B5
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Pour moi oui. Je laisse ep44 continuer avec toi ;)
Tchô
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses