Xwetia.exe virus ? Dossier windows disparu
MRphotoshop
Messages postés
204
Statut
Membre
-
MRphotoshop Messages postés 204 Statut Membre -
MRphotoshop Messages postés 204 Statut Membre -
Bonjour,
Tout d'abord une petite introduction historique lol :
Il y a qques jours le notebook de ma copine a été victime d'une infection virale. Antivir me détectait au moins dix fois d'affilée un virus appelé sshnas21.dll.
J'ai donc effectué un scan avec Malwarebytes qui a réussi à m'en virer plus d'une dizaine. A la suite de ça antivir me laissait tranquille. Mais aujourd hui :
1er problème : ma copine a constaté que des pubs s'ouvraient via Internet Eplorer (Bien qu'elle soit sur Firefox...)
2ème problème il arrive fréquemment qu'un écran bleu apparaisse (Kernell_data_inpage error [...] début du vidage de la mémoire physique)
En lisant sur internet j'ai lu qu'il fallait peut être défragmenter la mémoire, ce que j'ai fait mais à présent je pense qu'il ne s'agit pas de ça mais plutôt d'un virus.
En regardant dans le gestionnaire de taches, il y a un processus qui attire mon attention quant à la mémoire qu'il occupe, et j'ai constaté qu'en fermant une de ces pubs indésirables, un de ces multiples processus se ferme aussi.
Il s'agit de "Xwetia.exe" qui est localisé dans Windows. J'ai donc essayé d'aller dans Windows pour le virer et là !!!!!!!
3ème problème : le dossier Windows a disparu !!! Donc ça devient un peu inquiétant là lol.
Merci de me donner conseil, ça serait cool.
Tout d'abord une petite introduction historique lol :
Il y a qques jours le notebook de ma copine a été victime d'une infection virale. Antivir me détectait au moins dix fois d'affilée un virus appelé sshnas21.dll.
J'ai donc effectué un scan avec Malwarebytes qui a réussi à m'en virer plus d'une dizaine. A la suite de ça antivir me laissait tranquille. Mais aujourd hui :
1er problème : ma copine a constaté que des pubs s'ouvraient via Internet Eplorer (Bien qu'elle soit sur Firefox...)
2ème problème il arrive fréquemment qu'un écran bleu apparaisse (Kernell_data_inpage error [...] début du vidage de la mémoire physique)
En lisant sur internet j'ai lu qu'il fallait peut être défragmenter la mémoire, ce que j'ai fait mais à présent je pense qu'il ne s'agit pas de ça mais plutôt d'un virus.
En regardant dans le gestionnaire de taches, il y a un processus qui attire mon attention quant à la mémoire qu'il occupe, et j'ai constaté qu'en fermant une de ces pubs indésirables, un de ces multiples processus se ferme aussi.
Il s'agit de "Xwetia.exe" qui est localisé dans Windows. J'ai donc essayé d'aller dans Windows pour le virer et là !!!!!!!
3ème problème : le dossier Windows a disparu !!! Donc ça devient un peu inquiétant là lol.
Merci de me donner conseil, ça serait cool.
A voir également:
- Xwetia.exe virus ? Dossier windows disparu
- Dossier appdata - Guide
- Dossier démarrage windows - Guide
- Clé d'activation windows 10 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
39 réponses
ça y est t'as le lien en message, par contre y'a pas d'"extra"... Sinon suite au redémarrage après le sans échec ==> série de tentatives d'intrusion, détectées par Antivir. J'ai fait "refuser l'accès" (se souvenir) pour tous. Pami eux, le fameux Xwetia.exe qui voulait revenir !
Il me rend dingue celui-là. Mais le bon côté, apparemment pas de signe de pubs, et le dossier Windows qui est revenu.
Il me rend dingue celui-là. Mais le bon côté, apparemment pas de signe de pubs, et le dossier Windows qui est revenu.
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\
________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok. Désolé j galère un peu pour fermer le processus de mon antivirus. J'ai essayé à partir de "services.msc", du gestionnaire de taches etc mais rien à faire. Je jette un coup d'oeil sur le net et si t'es déjà parti j patienterai jusqu'à demain si t'es là, c'est pas grave.
oulaaa apparemment y'a pas moyen de désactiver Antivir sans le désinstaller. Tant pis je vais lancer combofix comme ça. Antivir se ferme oui, mais il y a toujours le processus en fond. Ca commence à stresser toutes ces galères !!! En plus en désactivant antivir j'ai subi un genre d'attaque sur le net, en 1 seconde y'a plein de boites de dialogue qui se sont ouvertes et j'ai vu un nombre genre 520 etc...
pfffffff. Pu;;;n de mer.....
pfffffff. Pu;;;n de mer.....
okay je viens de revenir gen.
J vais faire ça j'espère que t'es là...
(au fait même en mode sans échec il m'avertit quand même qu'il détecte mon antivir guard), je l'ai fait hier. Je recommence pour le rapport. En tout cas le PC a l'air déjà plus sain y'a pas photo. je refais...
@+
J vais faire ça j'espère que t'es là...
(au fait même en mode sans échec il m'avertit quand même qu'il détecte mon antivir guard), je l'ai fait hier. Je recommence pour le rapport. En tout cas le PC a l'air déjà plus sain y'a pas photo. je refais...
@+
je suis là mais je m'absente invitation à un barbec !!! :S
je repasse plus tard lire ce rapport
passe outre l avertissement pour l antivirus , il n'est pas actif dans ce mode,c'est un defaut de combofix
je repasse plus tard lire ce rapport
passe outre l avertissement pour l antivirus , il n'est pas actif dans ce mode,c'est un defaut de combofix
mdr moi aussi barbeuk, mais à la maison hmmmm je me suis blindé le ventre!!!
Maintenant je suis d'attaque lol j'ai lancé le scan.
@+ gen jte posterai le rapport
Maintenant je suis d'attaque lol j'ai lancé le scan.
@+ gen jte posterai le rapport
ok retour ^^ ^^ ^^
barbeuk.......très cuit on dira....oui...très cuit.....lol ^^
on a oublié quelques trucs sur le feu...^^....bref....je crois que toi aussi ^^
et bref...j'attends donc le rapport !!
barbeuk.......très cuit on dira....oui...très cuit.....lol ^^
on a oublié quelques trucs sur le feu...^^....bref....je crois que toi aussi ^^
et bref...j'attends donc le rapport !!
Et... Bon appétit biensuuuuur !!! lol
pfff laisse tomber il m'a encore fait un écran bleu pendant le scan lol, c'était l'écran bleu de trop, il m'a soulé. Je lâche l'affaire, car avec tes procédures tous les virus ont été éradiqués t'as assuré gen. Le pc a l'air sain, plus de pubs et plus d'alertes antivir. Y'a toujours ce problème d'écran bleu quand le processeur est trop sollicité (genre scan antivirus). Il ne me reste plus qu'à te demander si tu penses que ça craint ou pas à ton avis. Ou bien si j peux laisser comme ça. C'est un notebook qui sert le plus souvent à surfer sur internet et regarder des vidéos rien de plus.
je reviens en fin d'après midi normalement, @ plus et bonne journée.
pfff laisse tomber il m'a encore fait un écran bleu pendant le scan lol, c'était l'écran bleu de trop, il m'a soulé. Je lâche l'affaire, car avec tes procédures tous les virus ont été éradiqués t'as assuré gen. Le pc a l'air sain, plus de pubs et plus d'alertes antivir. Y'a toujours ce problème d'écran bleu quand le processeur est trop sollicité (genre scan antivirus). Il ne me reste plus qu'à te demander si tu penses que ça craint ou pas à ton avis. Ou bien si j peux laisser comme ça. C'est un notebook qui sert le plus souvent à surfer sur internet et regarder des vidéos rien de plus.
je reviens en fin d'après midi normalement, @ plus et bonne journée.
salut gen ça roule ?
Voilà le rapport combofix :
ComboFix 10-04-17.02 - m 18/04/2010 6:03.3.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1013.738 [GMT 2:00]
Lancé depuis: c:\documents and settings\m\Bureau\entretien PC\bibabou.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-18 au 2010-04-18 ))))))))))))))))))))))))))))))))))))
.
2010-04-17 14:48 . 2010-04-17 14:55 -------- d-----w- c:\windows\system32\Adobe
2010-04-16 20:31 . 2010-04-16 20:32 -------- d-----w- c:\program files\Unlocker
2010-04-16 14:07 . 2010-04-16 21:11 -------- d-----w- C:\UsbFix
2010-04-15 17:44 . 2010-04-15 17:44 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-04-14 23:54 . 2010-04-14 23:54 -------- d-----w- c:\documents and settings\m\Application Data\Malwarebytes
2010-04-14 23:53 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-14 23:53 . 2010-04-14 23:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-14 23:53 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-14 23:53 . 2010-04-14 23:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-14 23:39 . 2010-04-16 12:32 -------- d-----w- C:\zaza
2010-04-14 01:12 . 2010-04-15 01:40 -------- d-----w- c:\program files\Portrait Professional Studio 9
2010-04-13 14:31 . 2010-04-13 14:34 -------- d-----w- c:\documents and settings\m\Application Data\PhotoFiltre
2010-04-13 14:31 . 2010-04-13 14:31 -------- d-----w- c:\program files\PhotoFiltre
2010-03-19 21:58 . 2010-03-19 21:58 -------- d-----w- c:\program files\Bullfrog
2010-03-19 21:57 . 2010-03-19 21:57 -------- d-----w- c:\documents and settings\m\Application Data\Ulead Systems
2010-03-19 08:30 . 2010-04-15 01:43 -------- d-----w- c:\program files\Arena
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 18:06 . 2005-01-03 07:39 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-15 18:06 . 2005-01-03 07:39 503894 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-15 15:58 . 2010-03-18 23:18 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-04-03 19:42 . 2009-11-04 18:40 -------- d-----w- c:\documents and settings\m\Application Data\vlc
2010-03-30 20:39 . 2010-01-30 09:42 -------- d-----w- c:\documents and settings\m\Application Data\dvdcss
2010-03-26 23:43 . 2010-03-19 00:30 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{A87EB928-0C6C-4071-AEF1-59E32BAEDF1B}
2010-03-19 21:57 . 2005-01-03 01:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Ulead Systems
2010-03-19 11:31 . 2010-03-10 22:07 -------- d-----w- c:\program files\Theme Hospital (jeu)
2010-03-19 11:27 . 2008-09-29 17:24 70040 ----a-w- c:\documents and settings\m\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-19 00:30 . 2010-03-19 00:30 -------- d-----w- c:\documents and settings\m\Application Data\Stardock
2010-03-19 00:11 . 2005-01-03 04:35 -------- d-----w- c:\program files\Activation Assistant for the 2007 Microsoft Office suites
2010-03-19 00:03 . 2010-03-19 00:03 -------- d-----w- c:\program files\Revo Uninstaller
2010-03-18 23:54 . 2010-03-18 23:54 -------- d-----w- c:\program files\EVEREST Home Edition
2010-03-18 23:27 . 2010-03-18 23:18 -------- d-----w- c:\program files\Your Uninstaller 2008
2010-03-18 23:18 . 2010-03-18 23:18 -------- d-----w- c:\documents and settings\m\Application Data\URSoft
2010-03-18 22:12 . 2010-03-18 22:12 603904 ----a-w- c:\windows\system32\TUProgSt.exe
2010-03-18 22:12 . 2010-03-18 22:12 360192 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2010-03-18 22:12 . 2010-03-18 22:12 -------- d-----w- c:\documents and settings\m\Application Data\TuneUp Software
2010-03-18 22:12 . 2010-03-18 22:11 -------- d-----w- c:\program files\TuneUp Utilities 2009
2010-03-18 22:11 . 2010-03-18 22:11 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2010-03-18 22:11 . 2010-03-18 22:11 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2010-03-11 01:14 . 2005-01-03 04:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-10 22:04 . 2010-03-10 21:53 -------- d-----w- c:\documents and settings\m\Application Data\DAEMON Tools Lite
2010-03-10 21:53 . 2010-03-10 21:53 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-03-10 21:53 . 2010-03-10 21:53 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-03-10 21:53 . 2010-03-10 21:52 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-02-12 10:03 . 2010-03-04 21:51 293376 ------w- c:\windows\system32\browserchoice.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-04-16_20.57.36 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-12 05:54 . 2010-01-12 05:54 98304 c:\windows\system32\Macromed\Shockwave 10\SwOnce.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 86016 c:\windows\system32\Macromed\Shockwave 10\SwMenuX.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 77824 c:\windows\system32\Macromed\Shockwave 10\SwInit.exe
+ 2010-01-12 05:54 . 2010-01-12 05:54 24576 c:\windows\system32\Macromed\Shockwave 10\DynaPlayer.dll
+ 2010-04-17 14:48 . 2010-04-17 14:48 87716 c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
+ 2010-04-01 12:46 . 2010-04-01 12:46 94208 c:\windows\system32\Adobe\Shockwave 11\SwMenu.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 79488 c:\windows\system32\Adobe\Shockwave 11\gtapi.dll
+ 2010-04-01 13:01 . 2010-04-01 13:01 65816 c:\windows\system32\Adobe\Director\SWDNLD.EXE
+ 2010-04-01 12:48 . 2010-04-01 12:48 9216 c:\windows\system32\Adobe\Shockwave 11\DynaPlayer.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 136568 c:\windows\system32\Macromed\Shockwave 10\SYMCCHECKER.DLL
+ 2010-01-12 05:54 . 2010-01-12 05:54 180224 c:\windows\system32\Macromed\Shockwave 10\Proj.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 475136 c:\windows\system32\Macromed\Shockwave 10\PluginPing.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 339968 c:\windows\system32\Macromed\Shockwave 10\Plugin.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 606208 c:\windows\system32\Macromed\Shockwave 10\iml32X.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 753152 c:\windows\system32\Macromed\Shockwave 10\gi.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 471040 c:\windows\system32\Macromed\Shockwave 10\Control.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 136568 c:\windows\system32\Adobe\Shockwave 11\SYMCCHECKER.DLL
+ 2010-04-01 12:46 . 2010-04-01 12:46 114688 c:\windows\system32\Adobe\Shockwave 11\SwInit.exe
+ 2010-04-01 12:59 . 2010-04-01 12:59 459032 c:\windows\system32\Adobe\Shockwave 11\SwHelper_1156606.exe
+ 2010-04-01 12:49 . 2010-04-01 12:49 446464 c:\windows\system32\Adobe\Shockwave 11\Proj.dll
+ 2010-04-01 12:47 . 2010-04-01 12:47 372736 c:\windows\system32\Adobe\Shockwave 11\Plugin.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 753152 c:\windows\system32\Adobe\Shockwave 11\gi.dll
+ 2010-04-01 12:46 . 2010-04-01 12:46 503808 c:\windows\system32\Adobe\Shockwave 11\Control.dll
+ 2010-04-01 13:00 . 2010-04-01 13:00 213272 c:\windows\system32\Adobe\Director\SwDir.dll
+ 2010-04-01 12:48 . 2010-04-01 12:48 131072 c:\windows\system32\Adobe\Director\np32dsw.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 1490944 c:\windows\system32\Macromed\Shockwave 10\dirapiX.dll
+ 2010-04-01 12:20 . 2010-04-01 12:20 1011712 c:\windows\system32\Adobe\Shockwave 11\iml32.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 1975408 c:\windows\system32\Adobe\Shockwave 11\gt.exe
+ 2010-04-01 12:25 . 2010-04-01 12:25 1798144 c:\windows\system32\Adobe\Shockwave 11\dirapi.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [03/01/2005 07:51 156160]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10/03/2010 23:53 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/09/2009 11:55 108289]
S2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [03/01/2005 08:39 159744]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [15/04/2010 01:53 38224]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2010-04-18 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 14:04]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\m\Application Data\Mozilla\Firefox\Profiles\dnplwf09.default\
FF - prefs.js: browser.search.selectedEngine - Fast Browser Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: ui.submenuDelay - 65000
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-18 06:08
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(332)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-04-18 06:10:57
ComboFix-quarantined-files.txt 2010-04-18 04:10
ComboFix2.txt 2010-04-16 21:31
ComboFix3.txt 2010-04-16 20:59
Avant-CF: 22 313 025 536 octets libres
Après-CF: 22 975 201 280 octets libres
- - End Of File - - E6B5C4EFAF7DA56BEEB29ED3AD5D602B
petite précision : zaza.exe c'est hijackthis renommé ainsi que bibabou.exe. ^^
Voilà le rapport combofix :
ComboFix 10-04-17.02 - m 18/04/2010 6:03.3.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1013.738 [GMT 2:00]
Lancé depuis: c:\documents and settings\m\Bureau\entretien PC\bibabou.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-18 au 2010-04-18 ))))))))))))))))))))))))))))))))))))
.
2010-04-17 14:48 . 2010-04-17 14:55 -------- d-----w- c:\windows\system32\Adobe
2010-04-16 20:31 . 2010-04-16 20:32 -------- d-----w- c:\program files\Unlocker
2010-04-16 14:07 . 2010-04-16 21:11 -------- d-----w- C:\UsbFix
2010-04-15 17:44 . 2010-04-15 17:44 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-04-14 23:54 . 2010-04-14 23:54 -------- d-----w- c:\documents and settings\m\Application Data\Malwarebytes
2010-04-14 23:53 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-14 23:53 . 2010-04-14 23:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-14 23:53 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-14 23:53 . 2010-04-14 23:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-14 23:39 . 2010-04-16 12:32 -------- d-----w- C:\zaza
2010-04-14 01:12 . 2010-04-15 01:40 -------- d-----w- c:\program files\Portrait Professional Studio 9
2010-04-13 14:31 . 2010-04-13 14:34 -------- d-----w- c:\documents and settings\m\Application Data\PhotoFiltre
2010-04-13 14:31 . 2010-04-13 14:31 -------- d-----w- c:\program files\PhotoFiltre
2010-03-19 21:58 . 2010-03-19 21:58 -------- d-----w- c:\program files\Bullfrog
2010-03-19 21:57 . 2010-03-19 21:57 -------- d-----w- c:\documents and settings\m\Application Data\Ulead Systems
2010-03-19 08:30 . 2010-04-15 01:43 -------- d-----w- c:\program files\Arena
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 18:06 . 2005-01-03 07:39 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-15 18:06 . 2005-01-03 07:39 503894 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-15 15:58 . 2010-03-18 23:18 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-04-03 19:42 . 2009-11-04 18:40 -------- d-----w- c:\documents and settings\m\Application Data\vlc
2010-03-30 20:39 . 2010-01-30 09:42 -------- d-----w- c:\documents and settings\m\Application Data\dvdcss
2010-03-26 23:43 . 2010-03-19 00:30 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{A87EB928-0C6C-4071-AEF1-59E32BAEDF1B}
2010-03-19 21:57 . 2005-01-03 01:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Ulead Systems
2010-03-19 11:31 . 2010-03-10 22:07 -------- d-----w- c:\program files\Theme Hospital (jeu)
2010-03-19 11:27 . 2008-09-29 17:24 70040 ----a-w- c:\documents and settings\m\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-19 00:30 . 2010-03-19 00:30 -------- d-----w- c:\documents and settings\m\Application Data\Stardock
2010-03-19 00:11 . 2005-01-03 04:35 -------- d-----w- c:\program files\Activation Assistant for the 2007 Microsoft Office suites
2010-03-19 00:03 . 2010-03-19 00:03 -------- d-----w- c:\program files\Revo Uninstaller
2010-03-18 23:54 . 2010-03-18 23:54 -------- d-----w- c:\program files\EVEREST Home Edition
2010-03-18 23:27 . 2010-03-18 23:18 -------- d-----w- c:\program files\Your Uninstaller 2008
2010-03-18 23:18 . 2010-03-18 23:18 -------- d-----w- c:\documents and settings\m\Application Data\URSoft
2010-03-18 22:12 . 2010-03-18 22:12 603904 ----a-w- c:\windows\system32\TUProgSt.exe
2010-03-18 22:12 . 2010-03-18 22:12 360192 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2010-03-18 22:12 . 2010-03-18 22:12 -------- d-----w- c:\documents and settings\m\Application Data\TuneUp Software
2010-03-18 22:12 . 2010-03-18 22:11 -------- d-----w- c:\program files\TuneUp Utilities 2009
2010-03-18 22:11 . 2010-03-18 22:11 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2010-03-18 22:11 . 2010-03-18 22:11 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2010-03-11 01:14 . 2005-01-03 04:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-10 22:04 . 2010-03-10 21:53 -------- d-----w- c:\documents and settings\m\Application Data\DAEMON Tools Lite
2010-03-10 21:53 . 2010-03-10 21:53 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-03-10 21:53 . 2010-03-10 21:53 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-03-10 21:53 . 2010-03-10 21:52 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-02-12 10:03 . 2010-03-04 21:51 293376 ------w- c:\windows\system32\browserchoice.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-04-16_20.57.36 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-12 05:54 . 2010-01-12 05:54 98304 c:\windows\system32\Macromed\Shockwave 10\SwOnce.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 86016 c:\windows\system32\Macromed\Shockwave 10\SwMenuX.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 77824 c:\windows\system32\Macromed\Shockwave 10\SwInit.exe
+ 2010-01-12 05:54 . 2010-01-12 05:54 24576 c:\windows\system32\Macromed\Shockwave 10\DynaPlayer.dll
+ 2010-04-17 14:48 . 2010-04-17 14:48 87716 c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
+ 2010-04-01 12:46 . 2010-04-01 12:46 94208 c:\windows\system32\Adobe\Shockwave 11\SwMenu.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 79488 c:\windows\system32\Adobe\Shockwave 11\gtapi.dll
+ 2010-04-01 13:01 . 2010-04-01 13:01 65816 c:\windows\system32\Adobe\Director\SWDNLD.EXE
+ 2010-04-01 12:48 . 2010-04-01 12:48 9216 c:\windows\system32\Adobe\Shockwave 11\DynaPlayer.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 136568 c:\windows\system32\Macromed\Shockwave 10\SYMCCHECKER.DLL
+ 2010-01-12 05:54 . 2010-01-12 05:54 180224 c:\windows\system32\Macromed\Shockwave 10\Proj.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 475136 c:\windows\system32\Macromed\Shockwave 10\PluginPing.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 339968 c:\windows\system32\Macromed\Shockwave 10\Plugin.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 606208 c:\windows\system32\Macromed\Shockwave 10\iml32X.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 753152 c:\windows\system32\Macromed\Shockwave 10\gi.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 471040 c:\windows\system32\Macromed\Shockwave 10\Control.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 136568 c:\windows\system32\Adobe\Shockwave 11\SYMCCHECKER.DLL
+ 2010-04-01 12:46 . 2010-04-01 12:46 114688 c:\windows\system32\Adobe\Shockwave 11\SwInit.exe
+ 2010-04-01 12:59 . 2010-04-01 12:59 459032 c:\windows\system32\Adobe\Shockwave 11\SwHelper_1156606.exe
+ 2010-04-01 12:49 . 2010-04-01 12:49 446464 c:\windows\system32\Adobe\Shockwave 11\Proj.dll
+ 2010-04-01 12:47 . 2010-04-01 12:47 372736 c:\windows\system32\Adobe\Shockwave 11\Plugin.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 753152 c:\windows\system32\Adobe\Shockwave 11\gi.dll
+ 2010-04-01 12:46 . 2010-04-01 12:46 503808 c:\windows\system32\Adobe\Shockwave 11\Control.dll
+ 2010-04-01 13:00 . 2010-04-01 13:00 213272 c:\windows\system32\Adobe\Director\SwDir.dll
+ 2010-04-01 12:48 . 2010-04-01 12:48 131072 c:\windows\system32\Adobe\Director\np32dsw.dll
+ 2010-01-12 05:54 . 2010-01-12 05:54 1490944 c:\windows\system32\Macromed\Shockwave 10\dirapiX.dll
+ 2010-04-01 12:20 . 2010-04-01 12:20 1011712 c:\windows\system32\Adobe\Shockwave 11\iml32.dll
+ 2010-04-01 12:09 . 2010-04-01 12:09 1975408 c:\windows\system32\Adobe\Shockwave 11\gt.exe
+ 2010-04-01 12:25 . 2010-04-01 12:25 1798144 c:\windows\system32\Adobe\Shockwave 11\dirapi.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [03/01/2005 07:51 156160]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10/03/2010 23:53 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/09/2009 11:55 108289]
S2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [03/01/2005 08:39 159744]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [15/04/2010 01:53 38224]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2010-04-18 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 14:04]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\m\Application Data\Mozilla\Firefox\Profiles\dnplwf09.default\
FF - prefs.js: browser.search.selectedEngine - Fast Browser Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: ui.submenuDelay - 65000
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-18 06:08
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(332)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-04-18 06:10:57
ComboFix-quarantined-files.txt 2010-04-18 04:10
ComboFix2.txt 2010-04-16 21:31
ComboFix3.txt 2010-04-16 20:59
Avant-CF: 22 313 025 536 octets libres
Après-CF: 22 975 201 280 octets libres
- - End Of File - - E6B5C4EFAF7DA56BEEB29ED3AD5D602B
petite précision : zaza.exe c'est hijackthis renommé ainsi que bibabou.exe. ^^
