Help me ! Ordi infecté par ICCP foundation

potrikal Messages postés 45 Statut Membre -  
 Utilisateur anonyme -



Bonjour à tous, j'en appelle aujourd'hui à votre collaboration et votre bienveillance pour m'aider à nettoyer mon ordi. A désinfecter même ! LOL !

Je vous expose mon problème plus en détail.

Cela faisait déjà quelques temps que mon ordi ramait, il était lent. Je ne sais pas si c'était lié, mais je suspectais la présence de logiciels espions qui me faisaient ouvrir des pages internet sans mon consentement.

Et puis, hier, alors que je surfais en toute tranquillité, Avira m'alerte de la présence de virus, à plusieurs reprises, à plusieurs reprises j'ai cliqué sur supprimer. Et puis, je constate que sur le bureau de l'ordi, un raccourci ARManager s'est installé. Puis l'ordi redémarre de lui meme.

Au redémarrage, stupeur ! L'ordi devient inutilisable, un message inquiétant me signale que j'ai sur l'ordi plusieurs torrents ou des fichiers qui contreviennent aux lois internationales du téléchargement légal, il m'invite à régler par carte bancaire une certaine somme. Je ne suis pas dupe. Je sais que c'est un VIRUS (cheval de troie ?). Je constate sur les forums que plusieurs internautes ont eu affaire à cette bestiole.

Ordi inutilisable donc en l'état. PS : c'est le compte admin qui en devenait donc inutilisable. Que fais-je alors ? Je me connecte via une autre session admininistrateur, et je supprime le programme ARManager de l'ordi. Pas en mode sans échec. Je sais pas trop y faire !

Résulat : quand je démarre avec la session infecté, maintenant je me retrouve avec le dossier Mes document ouvert au démarrage, je n'ai pas le Bureau. Quand je suis sur internet, les pages ne sont pas convenablement redirigées, des pages de faux scans de virus s'ouvrent inopportunément, ...

En bref c'est la galère !

Que dois je faire ? Par où commencer ... Pleeeeease !
A voir également:

91 réponses

Précédent
Réponse 21 / 91
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
bon ok ben moment de grace te fera taper un peu plus fort a son retour je pense...bonne suite

ca c'est un code !

(sourire)


Portrikal



Télécharge rkill

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe
https://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.scr

Rkill PIF: Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif
http://download.bleepingcomputer.com/grinler/rkill.pif

une fois qu'il aura terminé


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. [b]Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam





Je cherche beaucoup...et maintenant je trouve !
(sourire)
0
Réponse 22 / 91
potrikal
 
Première partie sur RKIll, je vais aussi faire le truc avec Malware truc muche lol :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as **** on 03/05/2010 at 23:12:29.


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\****\Bureau\rkill.exe


Rkill completed on 03/05/2010 at 23:13:27.
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

en attente du rapport MBAM
0
Réponse 23 / 91
potrikal
 
Voici le rapport (c'était long j'ai du m'y prendre à 2 reprises !!!)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4063

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05/05/2010 00:18:04
mbam-log-2010-05-05 (00-18-04).txt

Scan type: Full scan (C:\|)
Objects scanned: 608236
Time elapsed: 10 hour(s), 15 minute(s), 11 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 8
Registry Values Infected: 4
Registry Data Items Infected: 2
Folders Infected: 1
Files Infected: 35

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Rogue.ARManager) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\documents and settings\mumu\application data\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\MUMU\Application Data\sdra64.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Folders Infected:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Files Infected:
C:\Qoobox\Quarantine\C\WINDOWS\system32\akeknnrd.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cugvdujs.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fuahtvgf.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\gmqycaqe.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\iifcBqpO.dll.vir.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lllzet.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mlrfgfbb.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ogpivo.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\Suchspur.dll.vir (AdWare.Stud) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ttktsn.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vlsnbc.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wkdiemxk.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wlkoiexq.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wocrxw.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wqcsdp.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\zyvatv.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Rosetta Stone\Rosetta.Stone.V3.Patch.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\Mozilla\Firefox\Profiles\y1ne24z8.default\Cache\BE3AC802d01 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\smoaxncwre.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\Udj.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\Udl.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\MSXBN0S7\kkemu[1].htm (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\smoaxncwre.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\stp03625.exe (Trojan.FraudTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\Udj.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\Udl.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\Udk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\Documents and Settings\MUMU\Local Settings\Temp\emaosrncxw.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Application Data\sdra64.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Application Data\sdra64.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
0
Réponse 24 / 91
potrikal
 
Voici le rapport (c'était long j'ai du m'y prendre à 2 reprises !!!)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4063

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05/05/2010 00:18:04
mbam-log-2010-05-05 (00-18-04).txt

Scan type: Full scan (C:\|)
Objects scanned: 608236
Time elapsed: 10 hour(s), 15 minute(s), 11 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 8
Registry Values Infected: 4
Registry Data Items Infected: 2
Folders Infected: 1
Files Infected: 35

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Rogue.ARManager) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\documents and settings\mumu\application data\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\MUMU\Application Data\sdra64.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Folders Infected:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Files Infected:
C:\Qoobox\Quarantine\C\WINDOWS\system32\akeknnrd.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cugvdujs.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fuahtvgf.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\gmqycaqe.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\iifcBqpO.dll.vir.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lllzet.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mlrfgfbb.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ogpivo.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\Suchspur.dll.vir (AdWare.Stud) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ttktsn.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vlsnbc.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wkdiemxk.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wlkoiexq.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wocrxw.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wqcsdp.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\zyvatv.dll.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Rosetta Stone\Rosetta.Stone.V3.Patch.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\Mozilla\Firefox\Profiles\y1ne24z8.default\Cache\BE3AC802d01 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\smoaxncwre.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\Udj.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\Udl.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\MSXBN0S7\kkemu[1].htm (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\smoaxncwre.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\stp03625.exe (Trojan.FraudTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\Udj.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\Udl.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\Udk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Local Settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\Documents and Settings\MUMU\Local Settings\Temp\emaosrncxw.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\MUMU\Application Data\sdra64.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Application Data\sdra64.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 91
potrikal
 
Quelques précisions complémentaires, ça mange pas de pain !
Suite au scan et à la suppresion des Malware par MBAM, j'ai redémarré l'ordi :
* le bureau est réapparu ainsi que la barre démarrer,
* l'ordi est lent
* l'espace sur le disque dur se réduit encore, malgré les suppressions de gros fichiers, comme si je téléchargeais " en fond " quelque chose de volumineux, alors que non.
* je soupçonne que l'infection n'est pas éradiquée, car j'ai eu tout à l'heure une tentative d'intrusion, une fenêtre "windows installer" fort suspecte s'est ouverte d'elle même comme la dernière fois où ça a planté.
* j'ai fermé direct l'ordi, et je viens de redémarrer, juste pour taper ce feedback.
0
Réponse 26 / 91
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
je vois que tu as utilisé combofix

postes son rapport stp
0
Réponse 27 / 91
potrikal
 
nan je l'avais pas utilisé...

(pas cette fois ci, peut-être lors d'une autre desinfection)...

Ah oui, et je constate qu'il y'a dans le C:\ un fichier que j'ai supprimé et qui réapparait appelé Qoobox, il me semble suspect.

Entre temps, de l'espace disque dur encore grignoté...


Mais je l'ai lancé, et voici son rapport ComboFix : ...

ComboFix 10-05-04.06 - MUMU 05/05/2010 22:40:20.4.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.382.83 [GMT 2:00]
Lancé depuis: c:\documents and settings\MUMU\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

Une copie infectée de c:\windows\system32\drivers\wmiacpi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))
.

2010-05-01 23:40 . 2010-05-01 23:45 -------- d-----w- c:\program files\ZHPDiag
2010-05-01 23:22 . 2010-05-02 19:36 -------- d-----w- C:\Kill'em
2010-05-01 23:10 . 2010-05-02 21:10 -------- d-----w- c:\program files\List_Kill'em
2010-05-01 21:57 . 2010-05-03 23:11 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-05-01 17:47 . 2010-05-01 17:47 -------- d-----w- c:\documents and settings\MUMU\Application Data\Malwarebytes
2010-05-01 04:13 . 2010-05-01 04:13 -------- d-----w- c:\documents and settings\HelpAssistant\LocalLow
2010-05-01 03:18 . 2010-05-01 03:18 -------- d-----w- c:\documents and settings\HelpAssistant\.homeplayer
2010-05-01 03:18 . 2010-05-01 03:18 -------- d-----w- c:\documents and settings\HelpAssistant\.GalleryRemote
2010-04-30 21:07 . 2010-04-30 21:07 203568 ----a-w- c:\documents and settings\TEMP.MURAT\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-30 20:52 . 2010-04-30 20:53 -------- d-----w- c:\documents and settings\TEMP.MURAT\Local Settings\Application Data\Adobe
2010-04-30 20:02 . 2010-04-30 20:02 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2010-04-30 19:28 . 2010-04-30 19:28 -------- d-----w- c:\documents and settings\TEMP.MURAT\Local Settings\Application Data\Mozilla
2010-04-30 19:23 . 2010-04-30 19:23 -------- d-----w- c:\documents and settings\TEMP.MURAT\Application Data\3M
2010-04-30 19:14 . 2005-04-29 00:40 135 ----a-w- c:\documents and settings\TEMP.MURAT\Local Settings\Application Data\fusioncache.dat
2010-04-30 18:29 . 2010-04-30 18:29 -------- d-s---w- c:\documents and settings\LocalService\UserData
2010-04-30 18:22 . 2004-08-03 20:59 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-30 18:21 . 2004-08-03 21:00 8192 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-04-30 18:21 . 2004-08-03 21:00 8192 ----a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-04-30 18:21 . 2004-08-03 21:00 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-04-30 18:21 . 2004-08-03 21:00 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-04-29 01:42 . 2010-04-29 01:43 -------- d-----w- c:\program files\WinFreeTV
2010-04-26 00:17 . 2010-04-26 00:17 -------- d-----w- c:\program files\MSECache
2010-04-23 18:10 . 2010-04-23 18:52 -------- d-----w- c:\documents and settings\MUMU\Application Data\DAEMON Tools Lite
2010-04-23 18:10 . 2010-04-23 18:10 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-22 14:30 . 2010-04-22 14:45 -------- d-----w- c:\documents and settings\MUMU\Application Data\dvdcss
2010-04-12 21:50 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-04-11 14:09 . 2010-04-11 14:09 -------- d-----w- c:\documents and settings\MUMU\Local Settings\Application Data\Apple
2010-04-11 14:07 . 2010-04-11 14:07 203568 ----a-w- c:\documents and settings\MUMU\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-08 01:23 . 2010-04-22 14:14 -------- d-----w- c:\documents and settings\MUMU\Application Data\vlc
2010-04-07 22:03 . 2010-04-14 22:56 -------- d-----w- c:\documents and settings\MUMU\Local Settings\Application Data\Adobe
2010-04-07 21:02 . 2010-04-07 21:02 -------- d-----w- c:\documents and settings\MUMU\Local Settings\Application Data\Mozilla
2010-04-07 20:59 . 2005-04-29 01:29 -------- d-----w- c:\documents and settings\MUMU\Local Settings\Application Data\LightScribe
2010-04-07 20:59 . 2005-04-29 00:42 -------- d-----w- c:\documents and settings\MUMU\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150020}
2010-04-07 20:59 . 2010-04-29 21:07 -------- d-s---w- c:\documents and settings\MUMU\Mes documents
2010-04-07 20:59 . 2005-04-29 08:16 -------- d--h--w- c:\documents and settings\MUMU\Voisinage réseau
2010-04-07 20:59 . 2005-04-29 08:16 -------- d--h--w- c:\documents and settings\MUMU\Voisinage d'impression
2010-04-07 20:59 . 2005-04-29 08:16 -------- d--h--w- c:\documents and settings\MUMU\Modèles
2010-04-07 20:59 . 2005-04-29 08:16 -------- d-----r- c:\documents and settings\MUMU\Menu Démarrer
2010-04-07 20:59 . 2010-05-01 18:33 -------- d-----w- c:\documents and settings\MUMU

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 21:21 . 2008-08-23 21:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-30 21:58 . 2005-12-09 18:10 -------- d-----w- c:\program files\eMule
2010-04-29 13:39 . 2008-08-23 21:02 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2008-08-23 21:02 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-26 02:29 . 2010-04-07 20:59 127 ----a-w- c:\documents and settings\MUMU\Local Settings\Application Data\fusioncache.dat
2010-04-23 18:12 . 2006-03-27 22:41 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-23 02:35 . 2010-04-07 20:59 -------- d-----w- c:\documents and settings\MUMU\Application Data\Apple Computer
2010-04-20 19:07 . 2005-10-28 18:46 -------- d-----w- c:\program files\Google
2010-04-07 21:12 . 2008-11-28 18:59 -------- d-----w- c:\program files\Microsoft ActiveSync
2010-04-07 21:01 . 2010-04-07 21:01 -------- d-----w- c:\documents and settings\MUMU\Application Data\3M
2010-04-04 16:37 . 2004-08-17 09:31 85842 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-04 16:37 . 2004-08-17 09:31 513736 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-26 02:42 . 2005-10-21 17:49 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-03-10 08:03 . 2004-08-05 08:00 417792 ----a-w- c:\windows\system32\vbscript.dll
2010-02-26 16:39 . 2007-12-21 00:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-02-26 06:12 . 2004-08-05 08:00 666112 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 06:12 . 2004-08-05 08:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 12:31 . 2004-08-05 08:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2004-08-05 08:00 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:33 . 2004-08-05 08:00 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:46 . 2004-08-05 08:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2004-08-05 08:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-10 02:18 . 2009-11-04 01:12 1496576 ---h--w- c:\windows\system32\wodfamop.dll
2008-02-23 21:52 . 2005-05-13 15:12 217073 --sha-r- c:\windows\meta4.exe
2005-07-14 10:31 . 2005-07-14 10:31 27648 --sha-r- c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 . 2005-06-26 13:32 616448 --sha-r- c:\windows\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37 45568 --sha-r- c:\windows\system32\cygz.dll
2007-11-17 21:02 . 2007-11-17 21:02 23 --sha-w- c:\windows\system32\defdd2_g.dll
2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r- c:\windows\system32\i420vfw.dll
2005-02-28 11:16 . 2005-02-28 11:16 240128 --sha-r- c:\windows\system32\x.264.exe
2004-01-24 22:00 . 2004-01-24 22:00 70656 --sha-r- c:\windows\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-01 794624]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2008-09-16 07:44 174328 ----a-w- c:\program files\Stardock\Object Desktop\WindowBlinds\WbSrv.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-09-21 14:36 305440 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\RosettaStoneLtdServices.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\iPhone Tunnel Suite 2.6 BETA\\iTunnel\\iTunnel.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Java\\jre1.6.0_02\\bin\\javaw.exe"=
"c:\\Program Files\\iPresenter PC Software\\iPresenter.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"15978:TCP"= 15978:TCP:NortonAV
"15513:TCP"= 15513:TCP:NortonAV
"15943:TCP"= 15943:TCP:NortonAV
"16160:TCP"= 16160:TCP:NortonAV
"16278:TCP"= 16278:TCP:NortonAV
"16406:TCP"= 16406:TCP:NortonAV
"18270:TCP"= 18270:TCP:NortonAV
"13784:TCP"= 13784:TCP:NortonAV
"18894:TCP"= 18894:TCP:NortonAV
"14320:TCP"= 14320:TCP:NortonAV
"14860:TCP"= 14860:TCP:NortonAV
"14266:TCP"= 14266:TCP:NortonAV
"13436:TCP"= 13436:TCP:NortonAV
"14357:TCP"= 14357:TCP:NortonAV
"17032:TCP"= 17032:TCP:NortonAV
"15705:TCP"= 15705:TCP:NortonAV
"14977:TCP"= 14977:TCP:NortonAV
"18661:TCP"= 18661:TCP:NortonAV
"18685:TCP"= 18685:TCP:NortonAV
"14254:TCP"= 14254:TCP:NortonAV
"14346:TCP"= 14346:TCP:NortonAV
"14533:TCP"= 14533:TCP:NortonAV
"13019:TCP"= 13019:TCP:NortonAV
"14762:TCP"= 14762:TCP:NortonAV
"17726:TCP"= 17726:TCP:NortonAV
"17311:TCP"= 17311:TCP:NortonAV
"13422:TCP"= 13422:TCP:NortonAV
"14637:TCP"= 14637:TCP:NortonAV
"14181:TCP"= 14181:TCP:NortonAV
"13610:TCP"= 13610:TCP:NortonAV
"8080:TCP"= 8080:TCP:freebox
"1234:UDP"= 1234:UDP:freeplayer udp
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"<NO NAME>"=
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"7129:TCP"= 7129:TCP:Services
"7128:TCP"= 7128:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R2 musm3gld;musm3gld;c:\windows\system32\drivers\musm3gld.sys [19/08/2008 00:24 5513]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [06/11/2009 02:10 33792]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [13/10/2005 04:18 200192]
S0 xmasscsi;xmasscsi;c:\windows\system32\Drivers\xmasscsi.sys --> c:\windows\system32\Drivers\xmasscsi.sys [?]
S2 ASTSRV;Nalpeiron Licensing Service;c:\windows\system32\ASTSRV.EXE [24/05/2009 05:29 57344]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [04/04/2010 00:27 136176]
S3 Ca100v;2Mega Camera, WDM Video Capture;c:\windows\system32\Drivers\Ca100v.sys --> c:\windows\system32\Drivers\Ca100v.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;\??\c:\windows\system32\FsUsbExDisk.SYS --> c:\windows\system32\FsUsbExDisk.SYS [?]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [19/10/2009 19:05 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [19/10/2009 19:05 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [19/10/2009 19:05 121856]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28/03/2006 00:41 691696]
.
Contenu du dossier 'Tâches planifiées'

2010-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-03 22:26]

2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-03 22:26]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=laptop
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=laptop
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
FF - ProfilePath - c:\documents and settings\MUMU\Application Data\Mozilla\Firefox\Profiles\y1ne24z8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npyaxmpb.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

ActiveSetup-Nitro PDF Professional - (no file)
AddRemove-A Smaller GIF - c:\program files\Pedagoguery Software\A Smaller GIF\DeIsL1.isu
AddRemove-HijackThis - c:\program files\Trend Micro\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-05 23:07
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8358EEE4]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75e0fc3
\Driver\ACPI -> ACPI.sys @ 0xf7452cb8
\Driver\atapi -> atapi.sys @ 0xf73ec7b4
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: Broadcom 802.11b/g WLAN -> SendCompleteHandler -> NDIS.sys @ 0xf72e5ba0
PacketIndicateHandler -> NDIS.sys @ 0xf72d4a0b
SendHandler -> NDIS.sys @ 0xf72e8b31
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
c:\program files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll

- - - - - - - > 'explorer.exe'(496)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
c:\windows\system32\browselc.dll
c:\program files\Microsoft Office\OFFICE11\msohev.dll
c:\program files\Malwarebytes' Anti-Malware\mbamext.dll
c:\program files\WinRAR\rarext.dll
c:\program files\ewido anti-spyware 4.0\context.dll
c:\program files\iColorFolder\CMExt.dll
c:\program files\7-Zip\7-zip.dll
c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\program files\PC Connectivity Solution\ConnAPI.DLL
c:\windows\system32\MSVCP71.dll
c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\program files\WinSCP\DragExt.dll
.
Heure de fin: 2010-05-05 23:26:14
ComboFix-quarantined-files.txt 2010-05-05 21:26

Avant-CF: 80 068 608 octets libres
Après-CF: 288 546 816 octets libres

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - 2188B3BA9C38808F1BFA1F65ABEC28F5
0
Réponse 28 / 91
Utilisateur anonyme
 
bonjour moment de grace risque de ne pas pouvoir finir ce topic , il a des empechements veux-tu que je finisse le travail car il m'a demandé de rattraper au vol ses topics que je croise
0
Réponse 29 / 91
potrikal
 
Oui, s'il te plait ! un grand merci à toi !
0
Réponse 30 / 91
Utilisateur anonyme
 
bon ok je relis tout et j'envoie la suite :)
0
Réponse 31 / 91
Utilisateur anonyme
 
desactive toutes les protections possibles :

▶ Télécharge : Gmer (by Przemyslaw Gmerek)


▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0
Réponse 32 / 91
potrikal Messages postés 45 Statut Membre
 
j'ai scanné, j'ai le rapport mais il est tellement long que j'ai l'impression que quand je le colle et essaie de valider le post, ça passe pas.

Gmer n'a pas indiqué de lignes rouges par contre lors du scan
0
Réponse 33 / 91
Utilisateur anonyme
 
passe le par cijoint.fr
0
Réponse 34 / 91
potrikal Messages postés 45 Statut Membre
 
http://www.cijoint.fr/cjlink.php?file=cj201005/cijPeYk0sd.txt
0
Réponse 35 / 91
Utilisateur anonyme
 
tu as touché quelque chose dans les reglages de gmer ?
0
Réponse 36 / 91
potrikal Messages postés 45 Statut Membre
 
nan, du tout !

le scan était long, donc j'avais laissé tourné l'ordi la nuit, au matin, l'ordi était comme saturé, j'avais pas accès au programmes ni rien, j'ai pu sauvegardé durement le fichier .log

Mais moi ça me semble bizarre, parce que le logiciel précédent ComboFix avait du redémarrer le système à plusieurs reprises, j'avais un message du genre "le système doit redémarrer présence d'un rootkit détecté".
0
Réponse 37 / 91
Utilisateur anonyme
 
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\meta4.exe
c:\windows\system32\AVSredirect.dll

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
0
Réponse 38 / 91
potrikal Messages postés 45 Statut Membre
 
Pour c:\windows\meta4.exe


Fichier meta4.exe reçu le 2010.05.06 21:07:03 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.05.06 -
AhnLab-V3 2010.05.07.00 2010.05.06 -
AntiVir 8.2.1.236 2010.05.06 -
Antiy-AVL 2.0.3.7 2010.05.06 Backdoor/win32.Graybird.gen
Authentium 5.2.0.5 2010.05.06 -
Avast 4.8.1351.0 2010.05.06 -
Avast5 5.0.332.0 2010.05.06 -
AVG 9.0.0.787 2010.05.06 -
BitDefender 7.2 2010.05.06 -
CAT-QuickHeal 10.00 2010.05.04 Trojan.Agent.IRC
ClamAV 0.96.0.3-git 2010.05.06 -
Comodo 4783 2010.05.06 -
DrWeb 5.0.2.03300 2010.05.06 -
eSafe 7.0.17.0 2010.05.06 Suspicious File
eTrust-Vet 35.2.7472 2010.05.06 -
F-Prot 4.5.1.85 2010.05.06 -
F-Secure 9.0.15370.0 2010.05.06 -
Fortinet 4.0.14.0 2010.05.05 -
GData 21 2010.05.06 -
Ikarus T3.1.1.84.0 2010.05.06 -
Jiangmin 13.0.900 2010.05.06 -
Kaspersky 7.0.0.125 2010.05.06 -
McAfee 5.400.0.1158 2010.05.06 -
McAfee-GW-Edition 2010.1 2010.05.06 -
Microsoft 1.5703 2010.05.06 -
NOD32 5092 2010.05.06 -
Norman 6.04.12 2010.05.06 -
nProtect 2010-05-06.02 2010.05.06 Trojan/W32.Agent.217073
Panda 10.0.2.7 2010.05.06 -
PCTools 7.0.3.5 2010.05.06 -
Prevx 3.0 2010.05.06 -
Rising 22.46.03.04 2010.05.06 -
Sophos 4.53.0 2010.05.06 -
Sunbelt 6271 2010.05.06 -
Symantec 20091.2.0.41 2010.05.06 -
TheHacker 6.5.2.0.277 2010.05.06 -
TrendMicro 9.120.0.1004 2010.05.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.06 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.6.2304 2010.05.06 Trojan.Win32.Agent.217073
VirusBuster 5.0.27.0 2010.05.06 -
Information additionnelle
File size: 217073 bytes
MD5...: 5e31190c15959ac36b93baf20d82e69a
SHA1..: 3a1795797240a40d7c8bb86b6cd7fbc3ca346180
SHA256: acbf1100858227ffa74bec2dda7f1c40e0b92b5e72d9e53ac0ab4aa186acff3c
ssdeep: 6144:23v6nrDwW/2lNjZOLtZPfWC5pT0hrG7rGf:23vmIWCN8/P95lkxf<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xca540<br>timedatestamp.....: 0x3f624be0 (Fri Sep 12 22:42:40 2003)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x99000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.data 0x9a000 0x31000 0x30800 7.64 6ce4ec47baa8be574bc676d1d1289646<br>.rdata 0xcb000 0x1000 0x200 1.46 d221ad615082a40dbddfbb1887007f98<br><br>( 2 imports ) <br>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess<br>> msvcrt.dll: _iob<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
trid..: Win32 EXE Yoda's Crypter (56.8%)<br>Win32 Executable Generic (18.2%)<br>Win32 Dynamic Link Library (generic) (16.2%)<br>Generic Win/DOS Executable (4.2%)<br>DOS Executable Generic (4.2%)
pdfid.: -
packers (Kaspersky): UPX
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
packers (F-Prot): UPX
packers (Antiy-AVL): UPX 0.89.6 - 1.02 / 1.05 - 1.22
0
Réponse 39 / 91
potrikal Messages postés 45 Statut Membre
 
Pour c:\windows\system32\AVSredirect.dll


Fichier AVSredirect.dll reçu le 2010.05.06 21:10:30 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.05.06 -
AhnLab-V3 2010.05.07.00 2010.05.06 -
AntiVir 8.2.1.236 2010.05.06 -
Antiy-AVL 2.0.3.7 2010.05.06 -
Authentium 5.2.0.5 2010.05.06 -
Avast 4.8.1351.0 2010.05.06 -
Avast5 5.0.332.0 2010.05.06 -
AVG 9.0.0.787 2010.05.06 -
BitDefender 7.2 2010.05.06 -
CAT-QuickHeal 10.00 2010.05.04 -
ClamAV 0.96.0.3-git 2010.05.06 PUA.Packed.tElock1.Private
Comodo 4783 2010.05.06 -
DrWeb 5.0.2.03300 2010.05.06 -
eSafe 7.0.17.0 2010.05.06 Suspicious File
eTrust-Vet 35.2.7472 2010.05.06 -
F-Prot 4.5.1.85 2010.05.06 -
F-Secure 9.0.15370.0 2010.05.06 -
Fortinet 4.0.14.0 2010.05.05 -
GData 21 2010.05.06 -
Ikarus T3.1.1.84.0 2010.05.06 -
Jiangmin 13.0.900 2010.05.06 -
Kaspersky 7.0.0.125 2010.05.06 -
McAfee 5.400.0.1158 2010.05.06 -
McAfee-GW-Edition 2010.1 2010.05.06 -
Microsoft 1.5703 2010.05.06 -
NOD32 5092 2010.05.06 -
Norman 6.04.12 2010.05.06 -
nProtect 2010-05-06.02 2010.05.06 -
Panda 10.0.2.7 2010.05.06 -
PCTools 7.0.3.5 2010.05.06 -
Prevx 3.0 2010.05.06 -
Rising 22.46.03.04 2010.05.06 -
Sophos 4.53.0 2010.05.06 -
Sunbelt 6271 2010.05.06 -
Symantec 20091.2.0.41 2010.05.06 -
TheHacker 6.5.2.0.277 2010.05.06 -
TrendMicro 9.120.0.1004 2010.05.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.06 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.6.2304 2010.05.06 -
VirusBuster 5.0.27.0 2010.05.06 -
Information additionnelle
File size: 27648 bytes
MD5...: 39854962ade636403358ab8a2edeab6b
SHA1..: 06668003859bed01486ee9137f14dcba04fb7468
SHA256: 699c9881650feefc8c5a33abca02c12f010a40be10ce4bfccd6b45892a18f920
ssdeep: 768:8Gu1AkHYBq4SNtctRtEitEIYkzKTw3VGNx9bVqCm0r:8Gu934Sbc7tPyIvzJ<br>lCXVq0r<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xcbd6<br>timedatestamp.....: 0x41ee513f (Wed Jan 19 12:23:27 2005)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br> 0x1000 0x6000 0x3600 7.98 c492057e2de0c90212b445cadc7c3dcb<br> 0x7000 0x2000 0x800 7.90 fb2c7e18c4fabd608dc21126141d54a1<br> 0x9000 0x1000 0x200 7.61 5194c6d8bf27628551b61e54c5ddd516<br> 0xa000 0x1000 0x600 7.88 e06994a4b6d7f0df3dea5a5eda551ebf<br> 0xb000 0x3000 0x2200 7.69 c5b1702ae584ff3ab3d55cb387d730e6<br><br>( 2 imports ) <br>> kernel32.dll: GetModuleHandleA<br>> user32.dll: MessageBoxA<br><br>( 6 exports ) <br>_avs_close@8, _avs_create@0, _avs_getaframe@16, _avs_getlasterror@8, _avs_getvframe@16, _avs_open@12<br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: tElock compressed/encrypted Win32 executable (76.1%)<br>Win32 Dynamic Link Library (generic) (15.5%)<br>Generic Win/DOS Executable (4.1%)<br>DOS Executable Generic (4.1%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): PE_Patch, TeLock
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
packers (F-Prot): TeLock
0
Réponse 40 / 91
Utilisateur anonyme
 
tu peux les supprimer manuellement ?
0