PC infecté / Internet
Fermé
Guill4ume
Messages postés
2
Date d'inscription
jeudi 15 avril 2010
Statut
Membre
Dernière intervention
16 avril 2010
-
15 avril 2010 à 22:14
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 19 avril 2010 à 08:49
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 19 avril 2010 à 08:49
A voir également:
- PC infecté / Internet
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Audacity enregistrer son pc - Guide
19 réponses
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
Modifié par InfernO.vir le 15/04/2010 à 22:26
Modifié par InfernO.vir le 15/04/2010 à 22:26
Salut,
Tu es sur XP a ce que je vois ?
En effet tu as une infeciton deja au demarrage de ton PC :
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOCUME~1\Pepino\LOCALS~1\Temp\Uv1.exe
? Télécharge Combofix de sUBs
? et enregistre le sur le Bureau.
? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
? Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
-----------------------
Puis :
Utilise ce logiciel de diagnostic :
* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Lutte Anti Malware Francaise: Il va y avoir du sport !! 8°)
Tu es sur XP a ce que je vois ?
En effet tu as une infeciton deja au demarrage de ton PC :
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOCUME~1\Pepino\LOCALS~1\Temp\Uv1.exe
? Télécharge Combofix de sUBs
? et enregistre le sur le Bureau.
? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
? Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
-----------------------
Puis :
Utilise ce logiciel de diagnostic :
* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Lutte Anti Malware Francaise: Il va y avoir du sport !! 8°)
Guill4ume
Messages postés
2
Date d'inscription
jeudi 15 avril 2010
Statut
Membre
Dernière intervention
16 avril 2010
16 avril 2010 à 00:20
16 avril 2010 à 00:20
Tout d'abord merci beaucoup et désolé pour le retard ! Voici tout d'abord le lien du site avec ZHPDIag.txt hébergé :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijdDYa9kG.txt
Voici maintenant mon rapport de ComboFix :
ComboFix 10-04-14.04 - Pepino 15/04/2010 23:45:17.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.3036.2428 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pepino\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
.
2010-04-12 23:00 . 2010-04-13 19:38 -------- d-----w- C:\StarcraftII_Maps
2010-04-12 22:33 . 2010-04-13 13:27 -------- d-----w- c:\program files\StarCraft II bêta
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\documents and settings\Pepino\Local Settings\Application Data\Blizzard Entertainment
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment
2010-04-12 22:32 . 2010-04-12 22:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard
2010-04-07 13:58 . 2010-04-07 14:05 -------- d-----w- c:\documents and settings\Pepino\vhdl.sym
2010-03-31 20:59 . 2010-03-31 20:59 -------- d-----w- c:\program files\LogMeIn Hamachi
2010-03-27 15:02 . 2010-03-27 15:02 -------- d-----w- c:\documents and settings\Pepino\Local Settings\Application Data\cache
2010-03-25 20:59 . 2010-03-25 21:01 -------- d-----w- c:\documents and settings\Pepino\Application Data\PhotoFiltre
2010-03-25 20:59 . 2010-03-25 20:59 -------- d-----w- c:\program files\PhotoFiltre
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 21:54 . 2010-02-01 10:55 -------- d-----w- c:\documents and settings\Pepino\Application Data\LimeWire
2010-04-15 21:54 . 2010-01-07 18:55 -------- d-----w- c:\documents and settings\Pepino\Application Data\uTorrent
2010-04-15 21:03 . 2008-07-02 13:59 -------- d-----w- c:\program files\OCS Inventory Agent
2010-04-15 10:20 . 2006-12-04 14:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-11 18:05 . 2010-02-02 13:31 -------- d-----w- c:\program files\PokerStars
2010-04-11 18:04 . 2010-02-02 18:41 -------- d-----w- c:\program files\Full Tilt Poker
2010-04-10 17:54 . 2009-12-16 21:19 -------- d-----w- c:\documents and settings\Pepino\Application Data\dvdcss
2010-03-10 15:29 . 2009-12-08 12:03 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-10 06:15 . 2001-08-23 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 11:24 . 2009-12-23 23:58 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-03-09 11:24 . 2009-12-23 23:58 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-03-09 11:12 . 2009-12-23 23:58 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-03-09 11:12 . 2009-12-23 23:58 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-03-09 11:09 . 2009-12-23 23:58 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-03-09 11:08 . 2009-12-23 23:58 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-03-09 11:08 . 2009-12-23 23:58 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-03-09 11:08 . 2009-12-23 23:58 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-03-09 11:08 . 2009-12-23 23:58 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-03-06 17:23 . 2010-01-18 20:51 -------- d-----w- c:\program files\Bonjour
2010-02-27 17:35 . 2009-10-21 12:46 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
2010-02-25 06:24 . 2001-08-23 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2001-08-23 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-20 17:48 . 2010-01-18 20:52 -------- d-----w- c:\documents and settings\Pepino\Application Data\Apple Computer
2010-02-19 08:41 . 2010-02-19 08:41 48640 ------w- c:\windows\AKDeInstall.exe
2010-02-17 14:14 . 2010-02-17 14:14 -------- d-----w- c:\program files\Symphony EDA
2010-02-16 14:08 . 2001-08-23 12:00 2146304 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 13:25 . 2001-08-17 13:48 2024448 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-24 18:40 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2001-08-23 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2001-08-23 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-03 13:56 . 2009-10-28 22:05 26176 ---ha-w- c:\windows\system32\hamachi.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-01-07 289584]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\program files\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"WatchDog"="c:\program files\InterVideo\DVD Check\DVDCheck.exe" [2008-05-23 197904]
"NuTCSetupEnviron"="c:\progra~1\RATIONAL\RATION~1\NUTCROOT\bin\ncoeenv.exe" [2001-01-02 16384]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-06 148888]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-12-11 1044480]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"picon"="c:\program files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-06-02 367128]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Pepino\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]
OpenOffice.org 3.0.lnk - c:\apps\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]
DVD Check.lnk - c:\program files\InterVideo\DVD Check\DVDCheck.exe [2006-11-27 197904]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SAS\\SAS 9.1\\sas.exe"=
"c:\\Apps\\Zoiper\\Zoiper.exe"=
"c:\\Apps\\Java\\jre1.6.0_07\\bin\\java.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Apps\\Java\\jdk1.6.0_07\\bin\\java.exe"=
"c:\\Apps\\Xming\\Xming.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\StarCraft II bêta\\Versions\\Base14803\\SC2.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 0 (0x0)
"AllowOutboundDestinationUnreachable"= 0 (0x0)
"AllowInboundTimestampRequest"= 0 (0x0)
"AllowInboundMaskRequest"= 0 (0x0)
"AllowInboundRouterRequest"= 0 (0x0)
"AllowOutboundSourceQuench"= 0 (0x0)
"AllowOutboundParameterProblem"= 0 (0x0)
"AllowOutboundTimeExceeded"= 0 (0x0)
"AllowRedirect"= 0 (0x0)
"AllowOutboundPacketTooBig"= 0 (0x0)
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/10/2009 14:50 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24/12/2009 01:58 162640]
R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [07/05/2009 09:41 181120]
R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [07/05/2009 09:41 51072]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24/12/2009 01:58 19024]
R2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\AtService.exe [12/06/2008 12:21 1164536]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [30/03/2010 11:16 1107336]
R2 NuTCRACKERService;NuTCRACKER Service;c:\windows\system32\nutsrv4.exe [07/12/2006 12:00 277272]
R2 OCS INVENTORY;OCS INVENTORY SERVICE;c:\program files\OCS Inventory Agent\OcsService.exe [27/02/2007 21:32 61440]
R2 OracleOrads9iAgent;OracleOrads9iAgent;c:\oracle\orads9i\bin\agntsrvc.exe [31/05/2002 15:51 28944]
R2 OracleServiceXE;OracleServiceXE;c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE --> c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [?]
R2 OracleXETNSListener;OracleXETNSListener;c:\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE [02/02/2006 01:49 204800]
R2 rma;Radia Management Agent;c:\novadigm\ManagementAgent\nvdkit.exe [19/09/2005 10:02 1968446]
R2 Tardis;Tardis time service;c:\windows\system32\tardisnt.exe [07/12/2006 15:47 185856]
R2 UNS;Intel(R) Active Management Technology User Notification Service;c:\program files\Common Files\Intel\Privacy Icon\UNS\UNS.exe [05/05/2009 13:37 2058776]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [12/06/2008 14:40 477696]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [27/03/2008 11:42 244368]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/10/2005 12:19 41216]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14/01/2008 12:06 21632]
R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [16/07/2008 14:41 47616]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24/12/2009 01:58 133104]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [24/11/2006 17:12 88192]
S3 OracleOrads9iClientCache;OracleOrads9iClientCache;c:\oracle\orads9i\bin\ONRSD.EXE [30/04/2002 12:38 425808]
S3 Tomcat6;Apache Tomcat;c:\apps\Apache\Tomcat 6.0\bin\tomcat6.exe [22/07/2008 02:01 57344]
S4 OracleJobSchedulerXE;OracleJobSchedulerXE;c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE --> c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [?]
.
Contenu du dossier 'Tâches planifiées'
2010-03-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-23 23:58]
2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-23 23:58]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = proxy.cergy.eisti.fr:3128
uInternet Settings,ProxyOverride = 172.16.*;172.17.*;42.*;1.1.1.1;*.eisti.fr;192.168.*;localhost;www.eistiens.net;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: %SystemRoot%\system32\PrxerDrv.dll
LSP: %SystemRoot%\system32\nutafun4.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\Pepino\Application Data\Mozilla\Firefox\Profiles\fibmj99c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://1.1.1.1/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - plugin: c:\documents and settings\Pepino\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - c:\apps\Eudora\EuShlExt.dll
AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-15 23:53
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ???Xa??????(?@???????@
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll ACPI.sys iaStor.sys spwk.sys >>UNKNOWN [0x8AFC2938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9e74cb8
\Driver\atapi -> atapi.sys @ 0xb9debb40
\Driver\iaStor -> iaStor.sys @ 0xb9d51d10
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rma]
"ImagePath"="C:/Novadigm/ManagementAgent/nvdkit.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rma]
"ImagePath"="C:/Novadigm/ManagementAgent/nvdkit.exe"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1704)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(5972)
c:\windows\system32\WININET.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\apps\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Intel\AMT\LMS.exe
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\apps\CDBurnerXP\NMSAccessU.exe
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
c:\oracle\orads9i\bin\dbsnmp.exe
c:\windows\system32\SearchIndexer.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\apps\OpenOffice.org 3\program\soffice.exe
c:\apps\OpenOffice.org 3\program\soffice.bin
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Heure de fin: 2010-04-16 00:00:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-15 22:00
Avant-CF: 16 187 797 504 bytes free
Après-CF: 17 762 377 728 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
- - End Of File - - F7C1BE451BED27FCD3FCE9360B19BF7F
http://www.cijoint.fr/cjlink.php?file=cj201004/cijdDYa9kG.txt
Voici maintenant mon rapport de ComboFix :
ComboFix 10-04-14.04 - Pepino 15/04/2010 23:45:17.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.3036.2428 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pepino\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
.
2010-04-12 23:00 . 2010-04-13 19:38 -------- d-----w- C:\StarcraftII_Maps
2010-04-12 22:33 . 2010-04-13 13:27 -------- d-----w- c:\program files\StarCraft II bêta
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\documents and settings\Pepino\Local Settings\Application Data\Blizzard Entertainment
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment
2010-04-12 22:32 . 2010-04-12 22:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard
2010-04-07 13:58 . 2010-04-07 14:05 -------- d-----w- c:\documents and settings\Pepino\vhdl.sym
2010-03-31 20:59 . 2010-03-31 20:59 -------- d-----w- c:\program files\LogMeIn Hamachi
2010-03-27 15:02 . 2010-03-27 15:02 -------- d-----w- c:\documents and settings\Pepino\Local Settings\Application Data\cache
2010-03-25 20:59 . 2010-03-25 21:01 -------- d-----w- c:\documents and settings\Pepino\Application Data\PhotoFiltre
2010-03-25 20:59 . 2010-03-25 20:59 -------- d-----w- c:\program files\PhotoFiltre
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 21:54 . 2010-02-01 10:55 -------- d-----w- c:\documents and settings\Pepino\Application Data\LimeWire
2010-04-15 21:54 . 2010-01-07 18:55 -------- d-----w- c:\documents and settings\Pepino\Application Data\uTorrent
2010-04-15 21:03 . 2008-07-02 13:59 -------- d-----w- c:\program files\OCS Inventory Agent
2010-04-15 10:20 . 2006-12-04 14:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-11 18:05 . 2010-02-02 13:31 -------- d-----w- c:\program files\PokerStars
2010-04-11 18:04 . 2010-02-02 18:41 -------- d-----w- c:\program files\Full Tilt Poker
2010-04-10 17:54 . 2009-12-16 21:19 -------- d-----w- c:\documents and settings\Pepino\Application Data\dvdcss
2010-03-10 15:29 . 2009-12-08 12:03 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-10 06:15 . 2001-08-23 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 11:24 . 2009-12-23 23:58 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-03-09 11:24 . 2009-12-23 23:58 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-03-09 11:12 . 2009-12-23 23:58 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-03-09 11:12 . 2009-12-23 23:58 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-03-09 11:09 . 2009-12-23 23:58 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-03-09 11:08 . 2009-12-23 23:58 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-03-09 11:08 . 2009-12-23 23:58 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-03-09 11:08 . 2009-12-23 23:58 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-03-09 11:08 . 2009-12-23 23:58 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-03-06 17:23 . 2010-01-18 20:51 -------- d-----w- c:\program files\Bonjour
2010-02-27 17:35 . 2009-10-21 12:46 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
2010-02-25 06:24 . 2001-08-23 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2001-08-23 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-20 17:48 . 2010-01-18 20:52 -------- d-----w- c:\documents and settings\Pepino\Application Data\Apple Computer
2010-02-19 08:41 . 2010-02-19 08:41 48640 ------w- c:\windows\AKDeInstall.exe
2010-02-17 14:14 . 2010-02-17 14:14 -------- d-----w- c:\program files\Symphony EDA
2010-02-16 14:08 . 2001-08-23 12:00 2146304 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 13:25 . 2001-08-17 13:48 2024448 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-24 18:40 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2001-08-23 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2001-08-23 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-03 13:56 . 2009-10-28 22:05 26176 ---ha-w- c:\windows\system32\hamachi.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-01-07 289584]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\program files\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"WatchDog"="c:\program files\InterVideo\DVD Check\DVDCheck.exe" [2008-05-23 197904]
"NuTCSetupEnviron"="c:\progra~1\RATIONAL\RATION~1\NUTCROOT\bin\ncoeenv.exe" [2001-01-02 16384]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-06 148888]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-12-11 1044480]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"picon"="c:\program files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-06-02 367128]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Pepino\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]
OpenOffice.org 3.0.lnk - c:\apps\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]
DVD Check.lnk - c:\program files\InterVideo\DVD Check\DVDCheck.exe [2006-11-27 197904]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SAS\\SAS 9.1\\sas.exe"=
"c:\\Apps\\Zoiper\\Zoiper.exe"=
"c:\\Apps\\Java\\jre1.6.0_07\\bin\\java.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Apps\\Java\\jdk1.6.0_07\\bin\\java.exe"=
"c:\\Apps\\Xming\\Xming.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\StarCraft II bêta\\Versions\\Base14803\\SC2.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 0 (0x0)
"AllowOutboundDestinationUnreachable"= 0 (0x0)
"AllowInboundTimestampRequest"= 0 (0x0)
"AllowInboundMaskRequest"= 0 (0x0)
"AllowInboundRouterRequest"= 0 (0x0)
"AllowOutboundSourceQuench"= 0 (0x0)
"AllowOutboundParameterProblem"= 0 (0x0)
"AllowOutboundTimeExceeded"= 0 (0x0)
"AllowRedirect"= 0 (0x0)
"AllowOutboundPacketTooBig"= 0 (0x0)
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/10/2009 14:50 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24/12/2009 01:58 162640]
R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [07/05/2009 09:41 181120]
R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [07/05/2009 09:41 51072]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24/12/2009 01:58 19024]
R2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\AtService.exe [12/06/2008 12:21 1164536]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [30/03/2010 11:16 1107336]
R2 NuTCRACKERService;NuTCRACKER Service;c:\windows\system32\nutsrv4.exe [07/12/2006 12:00 277272]
R2 OCS INVENTORY;OCS INVENTORY SERVICE;c:\program files\OCS Inventory Agent\OcsService.exe [27/02/2007 21:32 61440]
R2 OracleOrads9iAgent;OracleOrads9iAgent;c:\oracle\orads9i\bin\agntsrvc.exe [31/05/2002 15:51 28944]
R2 OracleServiceXE;OracleServiceXE;c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE --> c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [?]
R2 OracleXETNSListener;OracleXETNSListener;c:\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE [02/02/2006 01:49 204800]
R2 rma;Radia Management Agent;c:\novadigm\ManagementAgent\nvdkit.exe [19/09/2005 10:02 1968446]
R2 Tardis;Tardis time service;c:\windows\system32\tardisnt.exe [07/12/2006 15:47 185856]
R2 UNS;Intel(R) Active Management Technology User Notification Service;c:\program files\Common Files\Intel\Privacy Icon\UNS\UNS.exe [05/05/2009 13:37 2058776]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [12/06/2008 14:40 477696]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [27/03/2008 11:42 244368]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/10/2005 12:19 41216]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14/01/2008 12:06 21632]
R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [16/07/2008 14:41 47616]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24/12/2009 01:58 133104]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [24/11/2006 17:12 88192]
S3 OracleOrads9iClientCache;OracleOrads9iClientCache;c:\oracle\orads9i\bin\ONRSD.EXE [30/04/2002 12:38 425808]
S3 Tomcat6;Apache Tomcat;c:\apps\Apache\Tomcat 6.0\bin\tomcat6.exe [22/07/2008 02:01 57344]
S4 OracleJobSchedulerXE;OracleJobSchedulerXE;c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE --> c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [?]
.
Contenu du dossier 'Tâches planifiées'
2010-03-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-23 23:58]
2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-23 23:58]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = proxy.cergy.eisti.fr:3128
uInternet Settings,ProxyOverride = 172.16.*;172.17.*;42.*;1.1.1.1;*.eisti.fr;192.168.*;localhost;www.eistiens.net;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: %SystemRoot%\system32\PrxerDrv.dll
LSP: %SystemRoot%\system32\nutafun4.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\Pepino\Application Data\Mozilla\Firefox\Profiles\fibmj99c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://1.1.1.1/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - plugin: c:\documents and settings\Pepino\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - c:\apps\Eudora\EuShlExt.dll
AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-15 23:53
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ???Xa??????(?@???????@
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll ACPI.sys iaStor.sys spwk.sys >>UNKNOWN [0x8AFC2938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9e74cb8
\Driver\atapi -> atapi.sys @ 0xb9debb40
\Driver\iaStor -> iaStor.sys @ 0xb9d51d10
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rma]
"ImagePath"="C:/Novadigm/ManagementAgent/nvdkit.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rma]
"ImagePath"="C:/Novadigm/ManagementAgent/nvdkit.exe"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1704)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(5972)
c:\windows\system32\WININET.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\apps\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Intel\AMT\LMS.exe
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\apps\CDBurnerXP\NMSAccessU.exe
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
c:\oracle\orads9i\bin\dbsnmp.exe
c:\windows\system32\SearchIndexer.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\apps\OpenOffice.org 3\program\soffice.exe
c:\apps\OpenOffice.org 3\program\soffice.bin
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Heure de fin: 2010-04-16 00:00:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-15 22:00
Avant-CF: 16 187 797 504 bytes free
Après-CF: 17 762 377 728 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
- - End Of File - - F7C1BE451BED27FCD3FCE9360B19BF7F
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
16 avril 2010 à 07:54
16 avril 2010 à 07:54
Bonjour :) ,
J'ai bien peur que tu es un patch de fichiers systeme, c'est a dire qu'une infection a remplacé un fichier systeme pour mieux s'infiltrer et agir, si c'est le cas, je vais te demander de ne pas accepter la supression par Avast sinon, il va virer le fichier systeme et la ca peut causer des degats.
Je vais me renseigner jreviens te donner une procedure dans peu e temps ;-)
J'ai bien peur que tu es un patch de fichiers systeme, c'est a dire qu'une infection a remplacé un fichier systeme pour mieux s'infiltrer et agir, si c'est le cas, je vais te demander de ne pas accepter la supression par Avast sinon, il va virer le fichier systeme et la ca peut causer des degats.
Je vais me renseigner jreviens te donner une procedure dans peu e temps ;-)
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
16 avril 2010 à 08:03
16 avril 2010 à 08:03
Me revoila,
Tu es victime d'un rootkit TDSS qui patche donc les fichiers systeme, fait ceci stp :
* Télécharger http://www.esagelab.com/files/tdss_remover_latest.rar
* Il se peut que le programme demande a redémarrer => faire "Yes"
* Lancer le programme, le scan débute.
* Les programmes cachés apparaissent, les selectionner et faire "Delete Selected"
* Le programme demande a redémarrer le PC, faire "Yes"
* Poste le rapport si possible.
Tu es victime d'un rootkit TDSS qui patche donc les fichiers systeme, fait ceci stp :
* Télécharger http://www.esagelab.com/files/tdss_remover_latest.rar
* Il se peut que le programme demande a redémarrer => faire "Yes"
* Lancer le programme, le scan débute.
* Les programmes cachés apparaissent, les selectionner et faire "Delete Selected"
* Le programme demande a redémarrer le PC, faire "Yes"
* Poste le rapport si possible.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour à toi !
En tout cas merci pour ton aide et ta patience !
Si j'ai bien compris le principe de TDSS je dois uniquement supprimer les fichiers de types "Hidden Object" (Alert Type) et aucun des fichiers de type "No Access" (Alert Type) ?
Merci d'avance !
En tout cas merci pour ton aide et ta patience !
Si j'ai bien compris le principe de TDSS je dois uniquement supprimer les fichiers de types "Hidden Object" (Alert Type) et aucun des fichiers de type "No Access" (Alert Type) ?
Merci d'avance !
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
16 avril 2010 à 12:55
16 avril 2010 à 12:55
Excuse moi je me suis absenté,
Coche hidden stp, et fais delete selected
Coche hidden stp, et fais delete selected
Peut être que ce scan est plus interessant pardon :
Last_scan.log :
##########################################################################
#
# TDSS Remover detected objects log
# Copyright (c) 2009-2010 eSage Lab
#
# http://www.esagelab.com/
# support@esagelab.com
#
# Program Version: 1.7.0.0
# OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
#
# Computer Name: MASTERXP8530
#
# Log File Date/Time: 16.04.2010/14:10:08
#
##########################################################################
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Alert Type: No Access
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\aswBoot.exe
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\avastSS.scr
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\log.txt
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aavmker4.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswFsBlk.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswmon.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswmon2.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswRdr.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswSP.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswTdi.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\sptd.sys
Last_scan.log :
##########################################################################
#
# TDSS Remover detected objects log
# Copyright (c) 2009-2010 eSage Lab
#
# http://www.esagelab.com/
# support@esagelab.com
#
# Program Version: 1.7.0.0
# OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
#
# Computer Name: MASTERXP8530
#
# Log File Date/Time: 16.04.2010/14:10:08
#
##########################################################################
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Alert Type: No Access
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\aswBoot.exe
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\avastSS.scr
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\log.txt
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aavmker4.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswFsBlk.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswmon.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswmon2.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswRdr.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswSP.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswTdi.sys
Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\sptd.sys
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
Modifié par InfernO.vir le 16/04/2010 à 15:22
Modifié par InfernO.vir le 16/04/2010 à 15:22
hum... rien de bien mechant !
Fait ceci :
https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits#premiere-methode-en-utilisant-gmer
Jattends ton rapport Gmer.
Fait ceci :
https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits#premiere-methode-en-utilisant-gmer
Jattends ton rapport Gmer.
Merci pour tout. Je lance le scan ! En attendant je pars en Allemagne et je reviens demain donc voilà je te posterai le résultat demain !
Merci beaucoup !
Merci beaucoup !
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
16 avril 2010 à 19:15
16 avril 2010 à 19:15
Pas de soucis je ne t'oublie pas ;-)
Bon "voyage" et a demain .
Bon "voyage" et a demain .
Bonjour !
Enfin de retour !
J'ai lancé le scan et je te le poste dès que le scan est terminé !
Merci d'avance !
Enfin de retour !
J'ai lancé le scan et je te le poste dès que le scan est terminé !
Merci d'avance !
Voici le rapport de MBAM :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3997
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
18/04/2010 16:24:16
mbam-log-2010-04-18 (16-24-16).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 404746
Temps écoulé: 1 heure(s), 4 minute(s), 26 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{C19B634F-10EE-4821-9F15-2A30669578F9}\RP265\A0093399.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3997
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
18/04/2010 16:24:16
mbam-log-2010-04-18 (16-24-16).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 404746
Temps écoulé: 1 heure(s), 4 minute(s), 26 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{C19B634F-10EE-4821-9F15-2A30669578F9}\RP265\A0093399.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
18 avril 2010 à 16:48
18 avril 2010 à 16:48
Heu, je ne crois pas t'avoir demandé de faire MBAM ? mais Gmer stp ;-)
Bizarre sur mon gmail j'ai eu des explications claires et précises sur MBAM ^^.
Je lance Gmer alors !
Je lance Gmer alors !
C'est le troisième scan que je lance et c'est la troisième fois que GMER plante lorsqu'il analyse :
"SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Compo..." (Je n'ai pas le nom complet)
"SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Compo..." (Je n'ai pas le nom complet)
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
Modifié par InfernO.vir le 18/04/2010 à 17:10
Modifié par InfernO.vir le 18/04/2010 à 17:10
Comment ca il "plante"
Il se fige ? message d'erreur ? essaye en mode sans echec sinon .
Lutte Anti Malware Francaise: Il va y avoir du sport !! 8°)
Il se fige ? message d'erreur ? essaye en mode sans echec sinon .
Lutte Anti Malware Francaise: Il va y avoir du sport !! 8°)
Oui il se fige ! Impossible d'ouvrir même le gestionnaire des tâches !
Tout autre programme est bloqué ... etc !
En tout cas les symptômes sont disparus si ça peut te rassurer mais il est vrai que j'aimerais bien me débarasser de ce rootkit ! :)
Tout autre programme est bloqué ... etc !
En tout cas les symptômes sont disparus si ça peut te rassurer mais il est vrai que j'aimerais bien me débarasser de ce rootkit ! :)
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
18 avril 2010 à 17:31
18 avril 2010 à 17:31
Fais Gmer en mode sans echec et poste le rapport a moins qu'il bloque aussi en mode sans echec .
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
18 avril 2010 à 19:34
18 avril 2010 à 19:34
PS : Je pars demain et reviens seulement vendredi
Aucun problème !
En tout cas GMER bloque également en mode sans échec !
Je vais essayer de m'instruire sur les rootkit en ton absence ;).
Bonne semaine !
En tout cas GMER bloque également en mode sans échec !
Je vais essayer de m'instruire sur les rootkit en ton absence ;).
Bonne semaine !
InfernO.vir
Messages postés
159
Date d'inscription
vendredi 19 février 2010
Statut
Membre
Dernière intervention
27 octobre 2010
2
18 avril 2010 à 20:32
18 avril 2010 à 20:32
J'ai appelé du renfort, il ou elle te prendra en charge cette semaine pour contourner mon absence, ca m'embete de te laisser une semaine :).
A+ bon app et bonne soirée.
A+ bon app et bonne soirée.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
19 avril 2010 à 08:49
19 avril 2010 à 08:49
Salut
Je prend la suite sur demande de Inferno.vir
C'est normal que Gmer plante tu as des lecteurs virtuels Daemon / alcohol.
Telécharge sur le bureau http://www.jpshortstuff.247fixes.com/Defogger.exe
= Double click sur Defogger
= Une fenêtre apparait clique Disable
= Redemarre ton PC si demandé
Puis refait un Gmer
Je prend la suite sur demande de Inferno.vir
C'est normal que Gmer plante tu as des lecteurs virtuels Daemon / alcohol.
Telécharge sur le bureau http://www.jpshortstuff.247fixes.com/Defogger.exe
= Double click sur Defogger
= Une fenêtre apparait clique Disable
= Redemarre ton PC si demandé
Puis refait un Gmer