skitiwi
-
20 avril 2010 à 14:00
fix200
Messages postés3243Date d'inscriptiondimanche 28 décembre 2008StatutContributeur sécuritéDernière intervention 7 février 2011
-
20 avril 2010 à 14:06
Bonjour tt le monde,
J'ai un TAZABAMA et un HOOK sur mon PC. J'ai effectué un scan avec COMBO FIX mais il n'arrive pas à les supprimer. HELP PLEAAAASE! Voici le rapport:
ComboFix 10-04-18.04 - skitiwi 19/04/2010 23:59:05.4.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.535 [GMT 0:00]
Lancé depuis: d:\documents and settings\skitiwi\Mes documents\Téléchargements\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\zPharaoh.exe
D:\autorun.inf
d:\documents and settings.\hook.dl_
d:\documents and settings.\tazebama.dl_
d:\documents and settings.\tazebama.dll
d:\documents and settings\skitiwi\Application Data\msn.exe
d:\documents and settings\skitiwi\Application Data\tazebama
d:\documents and settings\skitiwi\Application Data\tazebama\tazebama.log
d:\documents and settings\skitiwi\Application Data\tazebama\zPharaoh.dat
d:\windows\system32\winxp.exe
D:\zPharaoh.exe
d:\documents and settings.\hook.dl_ . . . . impossible à supprimer
d:\documents and settings.\tazebama.dl_ . . . . impossible à supprimer
d:\documents and settings.\tazebama.dll . . . . impossible à supprimer
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-20 au 2010-04-20 ))))))))))))))))))))))))))))))))))))
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-04-20 00:17
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(2860)
d:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
d:\program files\Java\jre6\bin\jqs.exe
d:\windows\system32\wbem\wmiapsrv.exe
d:\windows\AGRSMMSG.exe
d:\windows\RTHDCPL.EXE
d:\documents and settings\tazebama.dl_
.
**************************************************************************
.
Heure de fin: 2010-04-20 00:23:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-20 00:23
ComboFix2.txt 2010-04-03 15:13
fix200
Messages postés3243Date d'inscriptiondimanche 28 décembre 2008StatutContributeur sécuritéDernière intervention 7 février 2011158 Modifié par fix200 le 20/04/2010 à 14:11
Salut
T Mal gavé ...
/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.
▶ Copie le texte ci-dessous :
KILLALL::
Rootkit::
d:\documents and settings\tazebama.dl_
d:\documents and settings\tazebama.dll
D:\zPharaoh.exe
d:\documents and settings.\hook.dl_
Folder::
d:\documents and settings\skitiwi\Application Data\tazebama
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\ ▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
-> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé /!\
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
=============================================
Télécharge UsbFix (de C_XX, El Desaparecido, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 ( Suppression )
▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.
▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .
▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .
▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...
Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^