Virus
gilles
-
Destrio5 Messages postés 99820 Statut Modérateur -
Destrio5 Messages postés 99820 Statut Modérateur -
bonsoir
je suis infecté voici mon log hijack Merci
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:57, on 4/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Proximedia\mdygti.exe \s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [iierd] C:\WINDOWS\system32\iierd.exe \u
O4 - HKLM\..\Run: [47853734] C:\DOCUME~1\ALLUSE~1\APPLIC~1\47853734\47853734.exe
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: Hard Disk Noise Control (HDDFC) - Fujitsu Siemens Computers - c:\Program Files\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
je suis infecté voici mon log hijack Merci
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:57, on 4/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Proximedia\mdygti.exe \s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [iierd] C:\WINDOWS\system32\iierd.exe \u
O4 - HKLM\..\Run: [47853734] C:\DOCUME~1\ALLUSE~1\APPLIC~1\47853734\47853734.exe
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: Hard Disk Noise Control (HDDFC) - Fujitsu Siemens Computers - c:\Program Files\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
A voir également:
- Virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
3 réponses
Bonjour,
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
Merci Signaler Destrio5
voici le log
ComboFix 10-05-04.01 - Proximedia 04/05/2010 22:04:17.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.502.172 [GMT 2:00]
Lancé depuis: c:\documents and settings\Proximedia\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100504-2] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Proximedia\mdygti.exe
.
---- Exécution préalable -------
.
c:\documents and settings\All Users\Application Data\47853734\47853734.exe
c:\documents and settings\Proximedia\Bureau\Security Tool.lnk
c:\documents and settings\Proximedia\csrss.exe
c:\documents and settings\Proximedia\secupdat.dat
c:\windows\system32\908261.exe
c:\windows\system32\drivers\125.exe
c:\windows\system32\drivers\171.exe
c:\windows\system32\drivers\328.exe
c:\windows\system32\drivers\359.exe
c:\windows\system32\drivers\421.exe
c:\windows\system32\drivers\484.exe
c:\windows\system32\drivers\531.exe
c:\windows\system32\drivers\578.exe
c:\windows\system32\drivers\625.exe
c:\windows\system32\drivers\703.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\regedit.exe
c:\windows\system32\secupdat.dat
c:\windows\system32\wpcap.dll
Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\ndis.sys
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Service_NPF
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
.
2010-05-04 17:40 . 2010-05-04 17:40 -------- d-----w- c:\program files\Trend Micro
2010-05-04 17:14 . 1999-01-20 03:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL
2010-05-04 17:13 . 2010-05-04 17:16 -------- d-----w- c:\program files\ZebHelpProcess
2010-05-04 17:06 . 2010-05-04 17:06 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2010-05-04 16:52 . 2008-04-14 01:33 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-05-04 16:52 . 2008-04-14 01:33 21504 ----a-w- c:\windows\system32\dllcache\hidserv.dll
2010-05-04 16:52 . 2008-04-14 01:05 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2010-05-04 16:52 . 2008-04-14 01:05 14720 ----a-w- c:\windows\system32\dllcache\kbdhid.sys
2010-05-04 16:52 . 2001-08-23 15:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-05-04 16:52 . 2001-08-23 15:04 12288 ----a-w- c:\windows\system32\dllcache\mouhid.sys
2010-04-22 07:56 . 2010-04-22 07:56 29536 ----a-w- c:\windows\system32\drivers\wcscd.sys
2010-04-22 06:26 . 2010-04-22 06:26 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-04-21 15:30 . 2010-04-27 06:24 -------- d-----w- c:\documents and settings\All Users\Application Data\37892938
2010-04-08 05:07 . 2008-04-13 17:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-08 05:07 . 2008-04-13 17:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-08 05:07 . 2008-04-13 17:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-04-08 05:07 . 2008-04-13 17:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-04-05 13:46 . 2008-05-02 08:41 3493888 ---ha-w- c:\documents and settings\Proximedia\Application Data\U3\temp\Launchpad Removal.exe
2010-04-05 13:46 . 2007-10-02 16:14 25896 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\skypeshutdown.exe
2010-04-05 13:46 . 2007-10-02 16:14 241664 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\U3Action.exe
2010-04-05 13:46 . 2007-10-02 16:14 24064 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\hostClnUpNoOp.exe
2010-04-05 13:46 . 2007-10-02 16:14 22882088 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\Skype.exe
2010-04-05 13:46 . 2010-04-05 13:46 -------- d-----w- c:\documents and settings\Proximedia\Application Data\U3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 13:52 . 2005-08-10 09:08 -------- d-----w- c:\program files\CCleaner
2010-04-10 05:04 . 2005-08-10 08:53 -------- d-----w- c:\program files\OpenOffice.org1.1.4
2010-03-30 15:59 . 2010-03-30 15:59 -------- d-----w- c:\program files\Quintezz
2010-03-30 15:59 . 2005-08-10 08:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-30 15:58 . 2005-08-10 08:23 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-03-29 05:12 . 2004-09-15 15:44 84766 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-29 05:12 . 2004-09-15 15:44 510742 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-10 06:16 . 2004-09-15 15:44 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-09-15 15:44 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-09-15 15:45 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2004-09-15 15:43 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-09-15 15:43 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-08 12:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2004-09-15 15:43 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-09-15 15:45 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
1999-04-06 12:27 . 1999-04-06 12:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 . 1998-12-09 02:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 . 1998-12-09 02:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
"RTHDCPL"="RTHDCPL.EXE" [2005-03-23 14202368]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Symantec Fax Starter Edition Port.lnk - c:\program files\Microsoft Office\Office\1036\OLFSNT40.EXE [1999-4-6 46080]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\PVSW\\Bin\\w3dbsmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\EBP\\Paye13.1\\WinPaye.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\EBP\\Paye14.0\\WinPaye.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [11/01/2010 17:49 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [11/01/2010 17:49 20560]
R2 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [11/01/2010 16:22 32768]
R2 HDDFC;Hard Disk Noise Control;c:\program files\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe [22/03/2005 10:51 155745]
R3 SMBus_2k;SMBus_2k;c:\windows\system32\drivers\SMBus_2k.sys [10/08/2005 10:23 14208]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-syncman - c:\documents and settings\proximedia\wuaucldt.exe
HKLM-Run-syncman - c:\windows\system32\wuaucldt.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 22:10
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'Explorer.EXE'(1648)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\HPZipm12.exe
c:\pvsw\BIN\W3dbsmgr.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-05-04 22:13:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-04 20:13
Avant-CF: 45.029.572.608 octets libres
Après-CF: 44.996.501.504 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - D4165C94640CA4156CDDC1A45D676181
voici le log
ComboFix 10-05-04.01 - Proximedia 04/05/2010 22:04:17.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.502.172 [GMT 2:00]
Lancé depuis: c:\documents and settings\Proximedia\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100504-2] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Proximedia\mdygti.exe
.
---- Exécution préalable -------
.
c:\documents and settings\All Users\Application Data\47853734\47853734.exe
c:\documents and settings\Proximedia\Bureau\Security Tool.lnk
c:\documents and settings\Proximedia\csrss.exe
c:\documents and settings\Proximedia\secupdat.dat
c:\windows\system32\908261.exe
c:\windows\system32\drivers\125.exe
c:\windows\system32\drivers\171.exe
c:\windows\system32\drivers\328.exe
c:\windows\system32\drivers\359.exe
c:\windows\system32\drivers\421.exe
c:\windows\system32\drivers\484.exe
c:\windows\system32\drivers\531.exe
c:\windows\system32\drivers\578.exe
c:\windows\system32\drivers\625.exe
c:\windows\system32\drivers\703.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\regedit.exe
c:\windows\system32\secupdat.dat
c:\windows\system32\wpcap.dll
Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\ndis.sys
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Service_NPF
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
.
2010-05-04 17:40 . 2010-05-04 17:40 -------- d-----w- c:\program files\Trend Micro
2010-05-04 17:14 . 1999-01-20 03:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL
2010-05-04 17:13 . 2010-05-04 17:16 -------- d-----w- c:\program files\ZebHelpProcess
2010-05-04 17:06 . 2010-05-04 17:06 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2010-05-04 16:52 . 2008-04-14 01:33 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-05-04 16:52 . 2008-04-14 01:33 21504 ----a-w- c:\windows\system32\dllcache\hidserv.dll
2010-05-04 16:52 . 2008-04-14 01:05 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2010-05-04 16:52 . 2008-04-14 01:05 14720 ----a-w- c:\windows\system32\dllcache\kbdhid.sys
2010-05-04 16:52 . 2001-08-23 15:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-05-04 16:52 . 2001-08-23 15:04 12288 ----a-w- c:\windows\system32\dllcache\mouhid.sys
2010-04-22 07:56 . 2010-04-22 07:56 29536 ----a-w- c:\windows\system32\drivers\wcscd.sys
2010-04-22 06:26 . 2010-04-22 06:26 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-04-21 15:30 . 2010-04-27 06:24 -------- d-----w- c:\documents and settings\All Users\Application Data\37892938
2010-04-08 05:07 . 2008-04-13 17:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-08 05:07 . 2008-04-13 17:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-08 05:07 . 2008-04-13 17:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-04-08 05:07 . 2008-04-13 17:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-04-05 13:46 . 2008-05-02 08:41 3493888 ---ha-w- c:\documents and settings\Proximedia\Application Data\U3\temp\Launchpad Removal.exe
2010-04-05 13:46 . 2007-10-02 16:14 25896 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\skypeshutdown.exe
2010-04-05 13:46 . 2007-10-02 16:14 241664 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\U3Action.exe
2010-04-05 13:46 . 2007-10-02 16:14 24064 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\hostClnUpNoOp.exe
2010-04-05 13:46 . 2007-10-02 16:14 22882088 ----a-w- c:\documents and settings\Proximedia\Application Data\U3\000018444470DE28\0DE4F643-C398-46ec-9339-2362F2311932\Exec\Skype.exe
2010-04-05 13:46 . 2010-04-05 13:46 -------- d-----w- c:\documents and settings\Proximedia\Application Data\U3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 13:52 . 2005-08-10 09:08 -------- d-----w- c:\program files\CCleaner
2010-04-10 05:04 . 2005-08-10 08:53 -------- d-----w- c:\program files\OpenOffice.org1.1.4
2010-03-30 15:59 . 2010-03-30 15:59 -------- d-----w- c:\program files\Quintezz
2010-03-30 15:59 . 2005-08-10 08:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-30 15:58 . 2005-08-10 08:23 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-03-29 05:12 . 2004-09-15 15:44 84766 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-29 05:12 . 2004-09-15 15:44 510742 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-10 06:16 . 2004-09-15 15:44 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-09-15 15:44 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-09-15 15:45 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2004-09-15 15:43 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-09-15 15:43 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-08 12:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2004-09-15 15:43 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-09-15 15:45 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
1999-04-06 12:27 . 1999-04-06 12:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 . 1998-12-09 02:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 . 1998-12-09 02:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
"RTHDCPL"="RTHDCPL.EXE" [2005-03-23 14202368]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Symantec Fax Starter Edition Port.lnk - c:\program files\Microsoft Office\Office\1036\OLFSNT40.EXE [1999-4-6 46080]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\PVSW\\Bin\\w3dbsmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\EBP\\Paye13.1\\WinPaye.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\EBP\\Paye14.0\\WinPaye.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [11/01/2010 17:49 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [11/01/2010 17:49 20560]
R2 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [11/01/2010 16:22 32768]
R2 HDDFC;Hard Disk Noise Control;c:\program files\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe [22/03/2005 10:51 155745]
R3 SMBus_2k;SMBus_2k;c:\windows\system32\drivers\SMBus_2k.sys [10/08/2005 10:23 14208]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-syncman - c:\documents and settings\proximedia\wuaucldt.exe
HKLM-Run-syncman - c:\windows\system32\wuaucldt.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 22:10
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'Explorer.EXE'(1648)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\HPZipm12.exe
c:\pvsw\BIN\W3dbsmgr.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-05-04 22:13:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-04 20:13
Avant-CF: 45.029.572.608 octets libres
Après-CF: 44.996.501.504 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - D4165C94640CA4156CDDC1A45D676181
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
