Rootkit.gen / Autorun.axpv

Résolu
Beeblebrox -  
 Utilisateur anonyme -
Bonjour :)

J'aimerais vous solliciter pour mon petit soucis de virus. J'ai en effet un (ou plusieurs) compagnon clandestin assez peu courtois....

Antivir a détecté: Rootkit.gen et Autorun.axpv, impossible à supprimer bien sûr.
Malware bytes rien
AVG anti rootkit rien
RAV d'Evosla rien

Cela pose un problème au démarrage de l'ordinateur (impossible de démarrer en mode normal, sans échec, débogage: l'ordinateur reboot de lui même. Seul démarrer avec la dernière bonne configuration connue fonctionne)

Et je ne peux plus activer d'antivirus: le guard d'antivir reste inactif quoi que je fasse, impossible d'activer la protection d'avast également.

J'ai généré un log hijackthis (mais je n'y comprends pas grand chose):

<ital>
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:21, on 25/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Robin\Bureau\thejack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.net-studio.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

40 réponses

Précédent
  • 1
  • 2
Réponse 21 / 40
Utilisateur anonyme
 
okay toi aussi.....à demain
0
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour , toujours pas fini le Dr.Web !!
0
Réponse 22 / 40
Utilisateur anonyme
 
hello ca a pas l'air ! ;)
0
Réponse 23 / 40
Beeblebrox
 
Hello !
Désolé j'ai du m'éloigner de mon PC en speed l'autre fois donc je relance le scan pour le rapport là. On sera fixés demain :)

Bonne nuit à vous deux
0
Réponse 24 / 40
Utilisateur anonyme
 
ok ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 40
Beeblebrox
 
Bonjour

Voici le rapport de DrWeb. Une vingtaine de détections la fois précédente et juste une cette fois (https://www.filedropper.com/ !
0
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, ton lien de nous donnes pas le rapport !!
0
Beeblebrox
 
J'avoue qu'en cliquant dessus il me renvoie aussi à la racine du site. En rajoutant /drweb derrière ça marche par contre, original.

http://www.filefactory.com/error.php?code=251

Celui là devrait marcher.
0
Utilisateur anonyme
 
j'arrive pas à l avoir perso
0
Beeblebrox
 
http://www.yourfilehost.com/media.php?cat=other&file=DrWeb.csv

On va y arriver :)
Celui marche également chez moi
0
Beeblebrox
 
ygdze.sys;C:\WINDOWS\system32\drivers;Trojan.NtRootKit.6360;Supprimé.;

Voilà ce qu'il y a dedans en fait j'ai pu l'ouvrir ><
0
Réponse 26 / 40
Utilisateur anonyme
 

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Beeblebrox
 
J'ai désinstallé Antivir pour le remettre après (au cas où tu te poses la question à la vue du rapport).

Voilà le rapport en 2 parties :

ComboFix 10-04-30.03 - Robin 01/05/2010 17:56:31.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1672 [GMT 2:00]
Lancé depuis: c:\documents and settings\Robin\Bureau\ROBIN.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Internet Explorer\SET12F.tmp
c:\program files\Internet Explorer\SET130.tmp
c:\program files\Internet Explorer\SET131.tmp

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-01 au 2010-05-01 ))))))))))))))))))))))))))))))))))))
.

2010-05-01 14:51 . 2010-05-01 16:01 574464 ----a-w- c:\windows\system32\drivers\gzfeuate.sys
2010-05-01 14:25 . 2010-05-01 14:46 574464 ----a-w- c:\windows\system32\drivers\pxadq.sys
2010-05-01 14:17 . 2010-05-01 14:17 54016 ----a-w- c:\windows\system32\drivers\rfyxew.sys
2010-05-01 08:11 . 2010-05-01 14:21 200432 ----a-w- c:\windows\system32\drivers\dwshd.sys
2010-04-30 22:25 . 2010-04-29 15:56 699512 ----a-w- c:\documents and settings\Robin\Application Data\Mozilla\Firefox\Profiles\bpqppfdh.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-04-30 22:25 . 2010-04-29 15:56 863312 ----a-w- c:\documents and settings\Robin\Application Data\Mozilla\Firefox\Profiles\bpqppfdh.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-04-28 20:56 . 2010-04-28 21:32 -------- d-----w- c:\documents and settings\Robin\DoctorWeb
2010-04-27 21:03 . 2009-12-10 18:02 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-27 20:21 . 2010-04-27 20:21 -------- d-----w- c:\program files\QuickTime
2010-04-27 20:21 . 2010-04-27 20:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-04-27 20:20 . 2010-04-27 20:20 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-04-27 20:20 . 2010-04-27 20:20 -------- d-----w- c:\program files\Apple Software Update
2010-04-27 20:20 . 2010-04-27 20:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-04-27 19:59 . 2008-12-25 23:08 135168 ----a-w- c:\windows\system32\nvcodins.dll
2010-04-27 19:59 . 2008-12-25 23:08 135168 ----a-w- c:\windows\system32\nvcod.dll
2010-04-27 19:58 . 2008-12-25 23:08 9412608 ----a-w- c:\windows\system32\nvoglnt.dll
2010-04-27 19:58 . 2010-04-03 22:55 2183470 ----a-w- c:\windows\system32\nvdata.bin
2010-04-27 19:58 . 2010-04-03 22:55 2030184 ----a-w- c:\windows\system32\nvcuvid.dll
2010-04-27 19:58 . 2010-04-03 22:55 2646632 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-04-27 19:58 . 2008-12-25 23:08 1560576 ----a-w- c:\windows\system32\nvcuda.dll
2010-04-27 19:58 . 2010-04-03 22:55 11647592 ----a-w- c:\windows\system32\nvcompiler.dll
2010-04-27 19:58 . 2008-12-25 23:08 663552 ----a-w- c:\windows\system32\nvapi.dll
2010-04-27 19:58 . 2010-04-03 22:55 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-04-27 19:58 . 2008-12-25 23:08 6168960 ----a-w- c:\windows\system32\nv4_disp.dll
2010-04-27 19:58 . 2008-12-25 23:08 6301344 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-04-27 19:17 . 2010-04-27 19:17 -------- d-----w- c:\program files\FileHippo.com
2010-04-27 19:10 . 2010-04-27 19:10 503808 ----a-w- c:\documents and settings\Robin\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-6094f1ca-n\msvcp71.dll
2010-04-27 19:10 . 2010-04-27 19:10 499712 ----a-w- c:\documents and settings\Robin\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-6094f1ca-n\jmc.dll
2010-04-27 19:10 . 2010-04-27 19:10 348160 ----a-w- c:\documents and settings\Robin\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-6094f1ca-n\msvcr71.dll
2010-04-27 19:10 . 2010-04-27 19:10 61440 ----a-w- c:\documents and settings\Robin\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42753e7b-n\decora-sse.dll
2010-04-27 19:10 . 2010-04-27 19:10 12800 ----a-w- c:\documents and settings\Robin\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42753e7b-n\decora-d3d.dll
2010-04-27 19:10 . 2010-04-27 19:09 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-27 18:46 . 2010-05-01 14:52 -------- d-----w- c:\windows\LastGood
2010-04-26 19:54 . 2010-04-26 20:47 -------- d-----w- C:\Kill'em
2010-04-26 19:54 . 2010-04-27 19:21 -------- d-----w- c:\program files\List_Kill'em
2010-04-26 19:45 . 2010-04-26 19:45 54016 ----a-w- c:\windows\system32\drivers\trhk.sys
2010-04-26 17:49 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-26 17:49 . 2010-04-26 17:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-26 17:49 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-26 16:56 . 2010-04-27 19:06 -------- d-----w- C:\UsbFix
2010-04-25 21:35 . 2010-04-25 21:35 -------- d-----w- c:\windows\ie8updates
2010-04-25 21:34 . 2010-04-27 19:30 -------- dc-h--w- c:\windows\ie8
2010-04-25 21:32 . 2010-04-27 19:06 -------- d-----w- c:\program files\trend micro
2010-04-25 21:32 . 2010-02-25 06:17 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-04-25 21:32 . 2010-02-25 06:17 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-04-25 21:32 . 2010-02-25 06:17 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-04-25 21:32 . 2010-02-25 06:17 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-04-25 21:32 . 2010-02-25 06:17 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-04-25 21:30 . 2010-02-16 04:50 64000 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-04-25 20:19 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2010-04-25 18:34 . 2010-04-25 18:34 -------- d-----w- c:\documents and settings\All Users\Application Data\NVIDIA Corporation
2010-04-25 18:34 . 2010-04-25 18:34 -------- d-----w- c:\program files\NVIDIA Corporation
2010-04-25 18:33 . 2010-04-03 22:55 10232128 -c--a-w- c:\windows\system32\dllcache\nv4_mini.sys
2010-04-20 20:34 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-04-20 19:17 . 2010-04-20 19:17 98304 ----a-w- c:\windows\system32CmdLineExt.dll
2010-04-20 19:09 . 2010-04-20 19:10 -------- d-----w- c:\program files\SystemRequirementsLab
2010-04-20 19:09 . 2010-04-20 19:09 -------- d-----w- c:\documents and settings\Robin\Application Data\SystemRequirementsLab
2010-04-20 19:09 . 2010-04-20 19:09 290816 ----a-w- c:\documents and settings\Robin\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2010-04-20 19:09 . 2010-04-20 19:09 290816 ----a-w- c:\documents and settings\Robin\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2010-04-20 19:09 . 2010-04-20 19:09 290816 ----a-w- c:\documents and settings\Robin\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2010-04-20 19:09 . 2010-04-20 19:09 290816 ----a-w- c:\documents and settings\Robin\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2010-04-20 19:06 . 2010-04-20 22:44 -------- d-----w- c:\program files\Fichiers communs\Akamai
2010-04-20 18:23 . 2010-04-27 19:22 -------- d-----w- c:\program files\CCleaner
2010-04-20 18:18 . 2010-04-20 18:18 -------- d-----w- c:\program files\Avira
2010-04-20 17:28 . 2010-04-27 20:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-20 17:28 . 2010-04-20 17:28 -------- d-----w- c:\program files\Alwil Software
2010-04-20 17:25 . 2010-04-20 17:26 -------- d-----w- c:\documents and settings\Martine\.gimp-2.6
2010-04-20 16:39 . 2010-04-27 15:27 -------- d-----w- c:\windows\LastGood.Tmp
2010-04-16 20:04 . 2010-04-16 20:04 54016 ----a-w- c:\windows\system32\drivers\culgyoft.sys
2010-04-03 17:23 . 2010-04-03 17:23 278120 ----a-w- c:\windows\system32\nvmccs.dll
2010-04-03 17:23 . 2010-04-03 17:23 154216 ----a-w- c:\windows\system32\nvsvc32.exe
2010-04-03 17:23 . 2010-04-03 17:23 145000 ----a-w- c:\windows\system32\nvcolor.exe
2010-04-03 17:23 . 2010-04-03 17:23 13670504 ----a-w- c:\windows\system32\nvcpl.dll
2010-04-03 17:23 . 2010-04-03 17:23 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-04-03 17:23 . 2010-04-03 17:23 229376 ----a-w- c:\windows\system32\nvrszhc.dll
2010-04-03 17:23 . 2010-04-03 17:23 126976 ----a-w- c:\windows\system32\nvrszht.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-01 16:01 . 2010-02-19 22:28 802304 ----a-w- c:\windows\system32\drivers\ygdze.sys
2010-05-01 15:26 . 2008-03-23 19:38 -------- d-----w- c:\documents and settings\Robin\Application Data\OpenOffice.org2
2010-05-01 14:55 . 2008-03-23 19:38 1 ----a-w- c:\documents and settings\Robin\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-04-29 08:55 . 2010-02-27 16:45 -------- d-----w- c:\documents and settings\Robin\Application Data\gtk-2.0
2010-04-28 23:23 . 2009-03-29 23:04 -------- d-----w- c:\program files\Windows Live Safety Center
2010-04-27 21:37 . 2009-01-13 19:38 -------- d-----w- c:\program files\Steam
2010-04-27 19:21 . 2008-03-20 09:03 -------- d-----w- c:\program files\Fichiers communs\Java
2010-04-27 19:09 . 2008-03-20 09:03 -------- d-----w- c:\program files\Java
2010-04-26 21:03 . 2006-03-24 12:00 84766 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-26 21:03 . 2006-03-24 12:00 510742 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-25 20:43 . 2010-02-26 20:32 -------- d-----w- c:\documents and settings\Robin\Application Data\QuickScan
2010-04-21 18:36 . 2008-03-20 09:05 -------- d-----w- c:\documents and settings\Martine\Application Data\OpenOffice.org2
2010-04-20 22:21 . 2008-03-20 09:12 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-20 18:24 . 2008-04-12 17:36 -------- d-----w- c:\program files\Fichiers communs\Real
2010-04-20 18:20 . 2009-09-15 00:53 -------- d-----w- c:\program files\BitComet
2010-04-16 05:45 . 2008-03-20 09:10 1 ----a-w- c:\documents and settings\Martine\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-04-03 22:55 . 2010-04-27 19:58 6432128 ----a-w- c:\windows\system32\SETD.tmp
2010-04-03 22:55 . 2010-04-27 19:58 227944 ----a-w- c:\windows\system32\SET28.tmp
2010-04-03 22:55 . 2008-03-20 10:53 600680 -c--a-w- c:\windows\system32\nvudisp.exe
2010-04-02 14:54 . 2009-01-14 08:25 600680 ----a-w- c:\windows\system32\NVUNINST.EXE
2010-03-28 22:57 . 2010-03-28 22:56 -------- d-----w- c:\documents and settings\Robin\Application Data\ManyCam
2010-03-25 21:15 . 2009-03-15 21:43 -------- d-----w- c:\program files\Fichiers communs\DVDVideoSoft
2010-03-25 21:14 . 2008-12-06 10:11 -------- d-----w- c:\program files\Tremulous
2010-03-25 21:14 . 2009-04-27 13:01 -------- d-----w- c:\program files\Pando Networks
2010-03-25 21:04 . 2009-04-27 14:57 401408 -c--a-w- c:\documents and settings\All Users\Application Data\NexonUS\NGM\NGMResource.dll
2010-03-25 21:03 . 2009-05-17 16:50 -------- d-----w- c:\program files\Lexmark
2010-03-24 18:17 . 2010-03-24 08:04 952768 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\26664\AdobeARM.exe
2010-03-24 18:17 . 2010-03-24 08:04 952768 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\24228\AdobeARM.exe
2010-03-24 18:17 . 2010-03-24 08:04 70584 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\26664\AdobeExtractFiles.dll
2010-03-24 18:17 . 2010-03-24 08:04 70584 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\24228\AdobeExtractFiles.dll
2010-03-24 18:17 . 2010-03-24 08:04 326056 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\26664\ReaderUpdater.exe
2010-03-24 18:17 . 2010-03-24 08:04 326056 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\26664\AcrobatUpdater.exe
2010-03-24 18:17 . 2010-03-24 08:04 326056 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\24228\ReaderUpdater.exe
2010-03-24 18:17 . 2010-03-24 08:04 326056 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\24228\AcrobatUpdater.exe
2010-03-21 01:35 . 2010-03-21 01:33 21296624 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\rp\RealPlayerSPGold_fr.exe
2010-03-21 01:33 . 2010-03-21 01:33 8405312 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2010-03-21 01:33 . 2010-03-21 01:33 149000 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\chr_helper\LaunchHelper.exe
2010-03-21 01:33 . 2010-03-21 01:32 10309448 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\chr\ChromeInstaller.exe
2010-03-21 01:32 . 2010-03-21 01:32 79368 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\RUP\vista.exe
2010-03-21 01:32 . 2010-03-21 01:32 64000 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\RUP\inst_config\gcapi_dll.dll
2010-03-21 01:32 . 2010-03-21 01:32 52288 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\RUP\inst_config\gtapi.dll
2010-03-21 01:32 . 2010-03-21 01:32 50688 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\RUP\inst_config\fftbapi.dll
2010-03-21 01:32 . 2010-03-21 01:32 49152 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\RUP\inst_config\CarboniteCompatibility.dll
2010-03-21 01:32 . 2010-03-21 01:32 118784 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\RUP\inst_config\compat.dll
2010-03-20 19:31 . 2010-03-20 19:31 443912 ----a-w- c:\documents and settings\Martine\Application Data\Real\Update\setup3.10\setup.exe
2010-03-20 17:32 . 2010-03-20 17:32 443912 ----a-w- c:\documents and settings\Robin\Application Data\Real\Update\setup3.10\setup.exe
2010-03-09 11:10 . 2006-03-24 12:00 430080 ------w- c:\windows\system32\vbscript.dll
2010-02-26 05:42 . 2006-03-24 12:00 671232 ------w- c:\windows\system32\wininet.dll
2010-02-25 09:47 . 2010-02-25 09:47 11070976 ------w- c:\windows\system32\SET5D.tmp
2010-02-25 06:17 . 2010-04-25 21:32 916480 ------w- c:\windows\system32\SET57.tmp
2010-02-25 06:17 . 2010-04-25 21:32 1209344 ------w- c:\windows\system32\SET58.tmp
2010-02-25 06:17 . 2010-04-25 21:32 5944832 ------w- c:\windows\system32\SET59.tmp
2010-02-25 06:17 . 2010-04-25 21:32 55296 ------w- c:\windows\system32\SET5A.tmp
2010-02-25 06:17 . 2010-04-25 21:32 594432 ------w- c:\windows\system32\SET5B.tmp
2010-02-25 06:17 . 2010-04-25 21:32 1985536 ------w- c:\windows\system32\SET5C.tmp
2010-02-24 13:11 . 2006-03-24 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2006-03-24 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-08-04 00:49 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:34 . 2006-03-24 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2006-03-24 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

0
Beeblebrox
 
Deuxième partie:


[HKLM\~\startupfolder\C:^Documents and Settings^Martine^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\Martine\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Robin^Menu Démarrer^Programmes^Démarrage^monnid32.exe]
path=c:\documents and settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe
backup=c:\windows\pss\monnid32.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 17:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-08-05 12:34 64512 ------w- c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
2007-05-07 18:10 312240 ----a-w- c:\program files\Lexmark\Lexmark Fax Solutions\fm3032.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxdiamon]
2007-03-05 12:40 20480 ----a-w- c:\program files\Lexmark\Lexmark 3500-4500 Series\lxdiamon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxdimon.exe]
2007-05-07 18:07 435120 ----a-w- c:\program files\Lexmark\Lexmark 3500-4500 Series\lxdimon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 --sh--w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-04-03 17:23 13670504 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-04-03 17:23 110696 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-02-13 13:31 16857600 ----a-w- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-04-27 14:32 1238352 ----a-w- c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TapiSrv"=3 (0x3)
"Schedule"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"aawservice"=2 (0x2)
"usnjsvc"=3 (0x3)
"WZCSVC"=2 (0x2)
"usprserv"=3 (0x3)
"upnphost"=2 (0x2)
"TermService"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"seclogon"=2 (0x2)
"SCardSvr"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"RDSessMgr"=3 (0x3)
"McrdSvc"=2 (0x2)
"ERSvc"=2 (0x2)
"ehSched"=2 (0x2)
"ehRecvr"=2 (0x2)
"aspnet_state"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\lxdicoms.exe"=
"c:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"=
"c:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Microsoft Games\\Halo\\halo.exe"=
"c:\\Documents and Settings\\Robin\\Bureau\\Mes jeux\\Blobby\\volley.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Documents and Settings\\Robin\\Bureau\\Mes jeux\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars\\etqw.exe"=
"c:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars\\etqwded.exe"=
"c:\\Documents and Settings\\Robin\\Bureau\\Mes jeux\\Age of Empires II\\EMPIRES2.EXE"=
"c:\\Documents and Settings\\Robin\\Bureau\\Mes jeux\\Age of Empires II\\age2_x1\\AGE_OF_E.EXE"=
"c:\\Documents and Settings\\Robin\\Bureau\\Mes jeux\\Battlefield 2\\BF2.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Savage 2 - A Tortured Soul\\savage2.exe"=
"c:\\Program Files\\Steam\\steamapps\\devil379\\condition zero\\hl.exe"=
"c:\\Program Files\\Steam\\steamapps\\urmarcht\\day of defeat\\hl.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Steam\\steamapps\\devil379\\counter-strike\\hl.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=
"c:\\Program Files\\Lexmark\\Lexmark 3500-4500 Series\\lxdimon.exe"=
"c:\\Program Files\\Lexmark\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
"c:\\Program Files\\Lexmark\\Lexmark 3500-4500 Series\\App4R.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdiwbgw.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Steam\\steamapps\\urmarcht\\counter-strike\\hl.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16419:TCP"= 16419:TCP:BitComet 16419 TCP
"16419:UDP"= 16419:UDP:BitComet 16419 UDP

R2 lxdi_device;lxdi_device;c:\windows\system32\lxdicoms.exe -service --> c:\windows\system32\lxdicoms.exe -service [?]
R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdiserv.exe [17/05/2009 18:53 99248]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [27/02/2010 16:04 135664]
S3 AsAudioDevice_349;AsAudioDevice_349;c:\windows\system32\drivers\asaudiodevice_349.sys [01/03/2009 14:45 16640]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - GZFEUATE
*Deregistered* - gzfeuate
*Deregistered* - ygdze

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'

2010-04-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-03-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6c5554e88b2.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-27 14:04]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
FF - ProfilePath - c:\documents and settings\Robin\Application Data\Mozilla\Firefox\Profiles\bpqppfdh.default\
FF - component: c:\documents and settings\Robin\Application Data\Mozilla\Firefox\Profiles\bpqppfdh.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - plugin: c:\documents and settings\All Users\Application Data\NexonUS\NGM\npNxGameUS.dll
FF - plugin: c:\documents and settings\Robin\Application Data\Mozilla\Firefox\Profiles\bpqppfdh.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-48414223 - c:\docume~1\ALLUSE~1\APPLIC~1\48414223\48414223.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-avgnt - c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
MSConfigStartUp-NeroFilterCheck - c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe
MSConfigStartUp-nwiz - nwiz.exe
MSConfigStartUp-Pando Media Booster - c:\program files\Pando Networks\Media Booster\PMB.exe
MSConfigStartUp-TkBellExe - c:\program files\Fichiers communs\Real\Update_OB\realsched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-01 18:01
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet044\Services\gzfeuate]
0
Réponse 27 / 40
Utilisateur anonyme
 
il manque la fin

le rapport etant long fais-le parvenir par cijoint.fr stp et done le lien obtenu en échange
0
Beeblebrox
 
Tu as raison, le voilà: http://www.cijoint.fr/cjlink.php?file=cj201005/cijEQtYmN4.txt
0
Réponse 28 / 40
Utilisateur anonyme
 

__________________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Collect::[4]
c:\windows\system32\drivers\gzfeuate.sys
c:\windows\system32\drivers\pxadq.sys
c:\windows\system32\drivers\rfyxew.sys
c:\windows\system32\drivers\dwshd.sys
c:\windows\system32\drivers\trhk.sys
c:\windows\system32\drivers\culgyoft.sys
c:\windows\system32\drivers\ygdze.sys
c:\windows\pss\monnid32.exeStartup
c:\documents and settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe

:Files
c:\windows\system32\SET*.tmp

Driver::
GZFEUATE
ygdze

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"=1

SkipFix::
------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Beeblebrox
 
Voilà :http://www.cijoint.fr/cjlink.php?file=cj201005/cijKd7R1VY.txt
0
Réponse 29 / 40
Utilisateur anonyme
 
tu es sure d'avoir mis tout ce qu'il y avait entre les lignes jusqu'à SkipFix:: dans le CFscript ?
0
Beeblebrox
 
Oui tout ce qu'il y a entre les 2 lignes. Je l'ai pris et déposer sur l'icone de ComboFix.
0
Réponse 30 / 40
Utilisateur anonyme
 
refais avec ceci :


KillAll::

Rootkit::
c:\windows\system32\drivers\ygdze.sys
c:\documents and settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe

Driver::
ygdze

SkipFix::
0
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

Gen, il doit y avoir quelque chose à faire avec :

[HKLM\~\startupfolder\C:^Documents and Settings^Robin^Menu Démarrer^Programmes^Démarrage^monnid32.exe]
path=c:\documents and settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe
backup=c:\windows\pss\monnid32.exeStartup

(clé [HKLM\~\startupfolder\C:^Documents and Settings^Robin^Menu Démarrer^Programmes^Démarrage^monnid32.exe] et fichier c:\windows\pss\monnid32.exeStartup )

@+
0
Beeblebrox
 
Bonjour

voilà le log généré :http://www.cijoint.fr/cjlink.php?file=cj201005/cij30pzGQS.txt
0
Réponse 31 / 40
Utilisateur anonyme
 
ok merci je vais voir avec rsit ensuite pour retrouver la clé HKLM\~\startupf......

je la trouve pas dans mon reg....^^
0
Réponse 32 / 40
Utilisateur anonyme
 
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

! Déconnecte toi et FERME TOUTES TES APPLICATIONS EN COURS !

Double-clique sur " RSIT.exe " pour le lancer .

▶ Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

▶ Devant l'option "List files/folders created ..." , tu choisis : 2 months

▶ clique ensuite sur " Continue " pour lancer l'analyse ...


▶ laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
0
Beeblebrox
 
Log.txt: http://www.cijoint.fr/cjlink.php?file=cj201005/cijgXrn408.txt
Info.txt: http://www.cijoint.fr/cjlink.php?file=cj201005/cijRW8T6q0.txt

Je continue à faire comme ça vu qu'avec la connexion en carton que j'ai par moment je n'arrive pas à coller directement
0
Réponse 33 / 40
Utilisateur anonyme
 
ok :

1/ un petit service stp , j'ai besoin d'etudier ce fichier de plus près :

c:\documents and settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe

clic droit dessus , envoyer vers / dossiers compresses puis tu me joints l'archive par cijoint.fr
_________________________________________________________
2/ Re-CFScript :
----------------------------------------------------------
KillAll::

Rootkit::
c:\windows\system32\drivers\pznert.sys
c:\windows\system32\drivers\rmeioy.sys
c:\windows\system32\drivers\stfa.sys
c:\windows\system32\drivers\ygdze.sys

File::
C:\Documents and Settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe
C:\WINDOWS\system32\SET*.tmp
c:\windows\pss\monnid32.exe
c:\windows\system32\drivers\pznert.sys
c:\windows\system32\drivers\rmeioy.sys
c:\windows\system32\drivers\stfa.sys
c:\windows\system32\drivers\ygdze.sys

Folder::
C:\WINDOWS\LastGood.Tmp

Driver::
PZNERT
pznert
ygdze

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Robin^Menu Démarrer^Programmes^Démarrage^monnid32.exe]
[-HKEY_LOCAL_MACHINE\System\ControlSet046\Services\pznert]
[-HKEY_LOCAL_MACHINE\System\ControlSet046\Services\ygdze]
------------------------------------------------------------------

? Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
? Quitte le Bloc Notes

? Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

? Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
? Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
? Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

3/
? Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

? clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\system32\deployJava1.dll
C:\WINDOWS\system32CmdLineExt.dll

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
?G3?-?@¢??@?(TM)©®?
0
Beeblebrox
 
Ok !
Par contre au chemin demandé c:\documents and settings\Robin\Menu Démarrer\Programmes\Démarrage je n'ai pas (ou plus ?) de monnid32.exe, plus qu'un desktop.ini.
Je laisse telle quelle la suite quand même ?
0
Beeblebrox
 
le rapport ComboFix: http://www.cijoint.fr/cjlink.php?file=cj201005/cij6FEqXzi.txt
0
Beeblebrox
 
Les rapports respectifs de virus total: http://www.cijoint.fr/cjlink.php?file=cj201005/cijnn8eX6N.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijswJJ076.txt
0
Réponse 34 / 40
Utilisateur anonyme
 
on l'a eu ^^
0
Beeblebrox
 
Aah joli :) Le PC a redémarré sans planter du coup.
Donc tout est bon là ?
0
Réponse 35 / 40
Utilisateur anonyme
 
tu peux m'envoyer celui-ci dans cce cas avec la meme methode , dossier compressé , etc....?

il doit etre dans C:\Qoobox\Quarantine\C\Documents and Settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe.vir

ensuite :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



? Télécharge :

Malwarebytes

ou :

Malwarebytes

? Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

? Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

? Lance Malwarebyte's .

Fais un examen dit "Complet" .

? Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
? à la fin tu cliques sur "résultat" .
? Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

? Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


? Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


?G3?-?@¢??@?(TM)©®?
0
Réponse 36 / 40
Beeblebrox
 
Salut !

Désolé du retard, je cours un peu partout en ce moment.

Voici le premier log (2 infections): http://www.cijoint.fr/cjlink.php?file=cj201005/cijveYUXZm.txt

Et le log de l'analyse suivante (plus rien): http://www.cijoint.fr/cjlink.php?file=cj201005/cijO3lIhoy.txt


Aucune trace de monnid32 sur le disque par contre, je ne le trouve nul part :/

Grâce à vous j'ai récupéré ma connexion et le PC démarre normalement mais j'aimerais encore te demander ce que tu penses du problème d'antivirus: je ne peux toujours pas l'activer. Je joins 2 captures d'écran qui expliqueront mieux que moi je pense (l'état du guard d'antivir : http://www.cijoint.fr/cjlink.php?file=cj201005/cijCu3ZDQ2.jpg et la mise à jour : http://www.cijoint.fr/cjlink.php?file=cj201005/cijAtJWFF0.jpg


Bonne soirée
0
Réponse 37 / 40
Utilisateur anonyme
 
bonsoir

desinstalle puis reinstalle antivir
0
Beeblebrox
 
Arf c'est vrai je n'ai pas pensé à le faire depuis que le virus est parti.

Un grand grand merci à toi et à jacques.gache pour votre aide efficace !

Passe une bonne soirée et au plaisir :)
0
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, oui comme lme dis gen-hacman réinstalle ton anti-virus car des fois après une désinfection il y a deschoses comme cela qui on subit des dégats !!

gen , merci d'avoir mené à bien la désinfection comme d'abitude !! je te remercie pour répondre présent quand j'ai besoin !!!

désolé lyonnais 92, je t'avais zappé !! merci à toi aussi
0
Réponse 38 / 40
Utilisateur anonyme
 
tu peux remercier Lyonnais pour son intervention aussi :)

Pour nettoyer les outils utilsés et mieux sécuriser ton pc
--------------------------------------------------------------

▶---> Télécharge ToolsCleaner2sur ton Bureau.
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
___________________________________________________

Tu peux supprimer ToolCleaner
___________________________________________________

▶ Télécharge :ATF Cleaner par Atribune

Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected a
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
__________________________________________________

Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés
__________________________________________________

▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
* Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman)
__________________________________________________

Attention : ne pas toucher au PC pendant qu'il travaille !

▶ Nettoyage et Défragmentation de tes Disques

*Nettoyage :

Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Cliques sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques
________________________________________________

*Vérifications des erreurs :

Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...

--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques
________________________________________________

ensuite toujours dans le même onglet tu choisis :

*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques
_______________________________________________

Note : si tu as un utilitaire pour défragmenter , utilises le à la place

pour ce faire Defraggler est proposé
_________________________________________________

▶ Peux-tu vérifier ta Console Java ? :

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).

voici pour desinstaller :

JavaRa

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
_________________________________________________

▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure)
__________________________________________________

▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu :

Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/
___________________________________________________

▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul
_____________________________________________________

▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine :

* Lance le programme puis clique sur <Quarantaine>.
* Sélectionne tous les éléments puis clique sur <supprimer>.
* Quitte le programme.
______________________________________________________

si tu as installé Antivir :

Configuration
________________________________________________________

▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait
______________________________________________________

▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien :

Lien XP

Lien Vista

Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Quelques conseils et recommandations pour l'avenir :

▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC.
▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser.
* Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise))
_____________

▶ Pour bien protéger ton PC :
[1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)]

Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT
Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT

PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect....
Les virus utilisent les failles de ton PC pour infecter un système

dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens :

Desinstaller Avast
Desinstaller BitDefender
Desinstaller Norton
Desinstaller Kaspersky
Desinstaller AVG

ou tout en un :

Désinstallation Antivirus , Parefeu , Antispyware
_____________

Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC)
___________

Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver
___________

si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché"

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Décoche Afficher les fichiers et dossiers cachés
* - coche Masquer les extensions des fichiers dont le type est connu
* - coche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.
____________

Voila,

Bonne lecture, à bientot , une fois tout ceci fait,

tu peux mettre le topic en resolu

Bonne continuation et surtout , prudence et bon surf :)

0
Réponse 39 / 40
Beeblebrox
 
En effet merci à toi aussi Lyonnais92 !

Merci pour les conseils finaux que je vais suivre au passage et bonne continuation à vous :)
0
Réponse 40 / 40
Utilisateur anonyme
 
je t'en prie !!
0