Sujet Précédent Sujet Suivant

Pc infecté trojan + autre

Fermé
lm03 - 15 mai 2010 à 22:45
 Utilisateur anonyme - 16 mai 2010 à 12:27
Bonjour,

mon pc est infecté par différents virus. il ya qq semaines j'ai été infecté par antimalware doctor, je pensais l'avoir supprimé, mais depuis j'ai d'autres virus des trojans, et j'ai d'autres problèmes, des pages de pub, fermeture de pages internet...

merci de m'aider.

voici le rapport antivir, suivi du rapport malwarebytes'antimalware .

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 15 mai 2010 20:27

La recherche porte sur 2118977 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : YOUR-XSHSQH1EKM

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:17:56
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:15:23
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:28:41
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:01:42
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 18:13:37
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 18:13:37
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 18:13:37
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 18:13:37
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 18:13:38
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 18:13:38
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 18:13:38
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 18:13:38
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 18:13:38
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 18:42:17
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 18:53:39
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 11:46:12
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 17:54:48
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 18:07:05
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 18:58:29
VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 17:58:11
VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 17:11:42
VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 19:09:19
VBASE023.VDF : 7.10.7.100 125440 Bytes 13/05/2010 11:53:51
VBASE024.VDF : 7.10.7.101 2048 Bytes 13/05/2010 11:53:51
VBASE025.VDF : 7.10.7.102 2048 Bytes 13/05/2010 11:53:51
VBASE026.VDF : 7.10.7.103 2048 Bytes 13/05/2010 11:53:51
VBASE027.VDF : 7.10.7.104 2048 Bytes 13/05/2010 11:53:52
VBASE028.VDF : 7.10.7.105 2048 Bytes 13/05/2010 11:53:52
VBASE029.VDF : 7.10.7.106 2048 Bytes 13/05/2010 11:53:52
VBASE030.VDF : 7.10.7.107 2048 Bytes 13/05/2010 11:53:52
VBASE031.VDF : 7.10.7.111 68096 Bytes 14/05/2010 15:14:25
Version du moteur : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 11:46:18
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 13/05/2010 08:59:52
AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 08:59:50
AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 11:46:19
AERDL.DLL : 8.1.4.6 541043 Bytes 18/04/2010 18:13:49
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 17:47:58
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13/05/2010 08:59:49
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06/05/2010 17:11:53
AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 15:40:25
AEGEN.DLL : 8.1.3.9 377203 Bytes 13/05/2010 08:59:48
AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 11:46:16
AECORE.DLL : 8.1.15.3 192886 Bytes 13/05/2010 08:59:47
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 11:46:15
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 19:00:20
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 15 mai 2010 20:27

La recherche d'objets cachés commence.
'39395' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wltuser.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iviRegMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Reader_sl.exe' - '1' module(s) sont contrôlés
Module infecté -> 'C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe'
Processus de recherche 'SuperHybridEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BTTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MsMpEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
Le processus 'Reader_sl.exe' est arrêté
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.36864.LJ
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4fe888.qua' !

'44' processus ont été contrôlés avec '43' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '68' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{9308199C-7FF4-4840-A577-7D106F5BB1A3}\RP16\A0000026.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.36864.LJ
C:\WINDOWS\system32\mvflnwn.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\orfqqkr.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
C:\WINDOWS\Temp\ecvf.tmp\svchost.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.36864.LJ
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\System Volume Information\_restore{9308199C-7FF4-4840-A577-7D106F5BB1A3}\RP16\A0000026.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.36864.LJ
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
C:\WINDOWS\system32\mvflnwn.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c54f1fc.qua' !
C:\WINDOWS\system32\orfqqkr.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
C:\WINDOWS\Temp\ecvf.tmp\svchost.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.36864.LJ
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c51f4f0.qua' !


Fin de la recherche : samedi 15 mai 2010 21:22
Temps nécessaire: 41:01 Minute(s)

La recherche a été effectuée intégralement

4964 Les répertoires ont été contrôlés
253497 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
253490 Fichiers non infectés
10688 Les archives ont été contrôlées
4 Avertissements
6 Consignes
39395 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés


rapport malwarebytes' :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4056

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/05/2010 22:22:23
mbam-log-2010-05-15 (22-22-23).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 160752
Temps écoulé: 54 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Documents and Settings/léa/Local Settings/Temp/xzmyahjo.dat (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xzmyahjo.dat (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xzmyahjo.dat (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\léa\Local Settings\Temp\xzmyahjo.dat (Rootkit.Agent) -> No action taken.


QUE DOIS-JE FAIRE?????
merci d'avance

A voir également:

4 réponses

Réponse 1 / 4
Utilisateur anonyme
15 mai 2010 à 23:12
Salut lm03


Je te prépare un script et te donne la marche à suivre...

Patiente un peu stp...

Je reviens....

a+
0
Réponse 2 / 4
Utilisateur anonyme
Modifié par archet9 le 15/05/2010 à 23:46
Télécharge The Avenger par Swandog46 sur ton Bureau:

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau


. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):


Files to delete:
C:\WINDOWS\system32\mvflnwn.dll
C:\WINDOWS\system32\orfqqkr.dll
C:\WINDOWS\Temp\ecvf.tmp\svchost.exe
C:\Documents and Settings\léa\Local Settings\Temp\xzmyahjo.dat

Registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xzmyahjo.dat

. Colle ce texte (Ctrl+V) dans le cadre

:Input script here
.
Appuie sur Execute

. Le pc va redémarrer

. Colle le rapport qui aparaitra.


a+












........
0
lm03
16 mai 2010 à 10:55
merci beaucoup pour les démarches, voici le rapport Avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\WINDOWS\system32\mvflnwn.dll"
Deletion of file "C:\WINDOWS\system32\mvflnwn.dll" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "C:\WINDOWS\system32\orfqqkr.dll"
Deletion of file "C:\WINDOWS\system32\orfqqkr.dll" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: file "C:\WINDOWS\Temp\ecvf.tmp\svchost.exe" not found!
Deletion of file "C:\WINDOWS\Temp\ecvf.tmp\svchost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Documents and Settings\léa\Local Settings\Temp\xzmyahjo.dat"
Deletion of file "C:\Documents and Settings\léa\Local Settings\Temp\xzmyahjo.dat" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xzmyahjo.dat" for deletion
Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xzmyahjo.dat" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.


que dois-je faire maintenant, c'est terminé?
merci encore,
0
Réponse 3 / 4
Utilisateur anonyme
16 mai 2010 à 11:00
que dois-je faire maintenant, c'est terminé?

==>Non


---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
lm03
16 mai 2010 à 12:07
voici le rapport combofix :
ComboFix 10-05-15.02 - léa 16/05/2010 11:19:07.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.629 [GMT 2:00]
Lancé depuis: c:\documents and settings\léa\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\DdQ82yOu.exe
c:\documents and settings\léa\Application Data\CD73CF850AB4589B0221C21A2FA3E951
c:\documents and settings\léa\Application Data\CD73CF850AB4589B0221C21A2FA3E951\enemies-names.txt
c:\documents and settings\léa\Application Data\CD73CF850AB4589B0221C21A2FA3E951\lsrslt.ini
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\cyydjcsv.sys
c:\windows\system32\drivers\ykwaztlj.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\mvflnwn.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\orfqqkr.dll
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\Thumbs.db
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_UZPDBHYU
-------\Legacy_YKWAZTLJ
-------\Service_uzpdbhyu
-------\Service_ykwaztlj


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-16 au 2010-05-16 ))))))))))))))))))))))))))))))))))))
.

2010-05-14 12:03 . 2010-05-14 12:03 -------- d-sh--w- c:\documents and settings\NetworkService\PrivacIE
2010-05-14 08:03 . 2010-05-14 08:03 22016 ----a-w- c:\windows\system32\opaqcx.dll
2010-05-02 10:30 . 2010-05-02 10:30 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-05-02 10:30 . 2010-05-02 10:30 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-05-01 11:52 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-01 11:52 . 2010-05-01 11:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-01 11:52 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-01 11:51 . 2010-05-01 12:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-21 19:43 . 2010-05-14 12:03 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2010-04-20 19:14 . 2010-04-21 16:40 -------- d-----w- c:\windows\SxsCaPendDel
2010-04-20 16:54 . 2005-05-26 13:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll
2010-04-20 16:50 . 2010-04-20 16:54 -------- d--h--w- c:\windows\msdownld.tmp
2010-04-20 16:50 . 2010-04-20 16:50 -------- d-----w- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 09:41 . 2008-07-07 15:39 85842 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-16 09:41 . 2008-07-07 15:39 513736 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-15 18:26 . 2010-05-01 11:56 112 ----a-w- c:\documents and settings\All Users\Application Data\V2O045.dat
2010-05-02 11:26 . 2010-01-16 15:53 -------- d-----w- c:\program files\Windows Defender
2010-04-21 18:41 . 2009-12-27 18:16 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-14 18:04 . 2009-04-09 19:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-10 06:16 . 2008-07-07 15:39 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-07-07 15:39 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-07-07 15:39 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-24 08:16 . 2010-01-16 15:55 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-16 19:06 . 2008-04-13 19:07 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2008-05-07 14:34 . 2008-07-07 15:25 15523560 ----a-w- c:\program files\U1 Setup.exe
.
[code]<pre>
c:\program files\Adobe\Reader 8.0\Reader\Reader_sl .exe
c:\program files\EeePC\ACPI\AsAcpiSvr .exe
c:\program files\EeePC\ACPI\AsEPCMon .exe
c:\program files\EeePC\ACPI\AsTray .exe
c:\program files\Fichiers communs\InstallShield\UpdateService\issch .exe
c:\program files\Java\jre1.6.0_03\bin\jusched .exe
c:\program files\Windows Defender\MSASCui .exe
</pre>/code

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-15 39408]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [N/A]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [N/A]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-16 16806400]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [N/A]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [N/A]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [N/A]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [N/A]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\l'a\Menu D'marrer\Programmes\D'marrage\
StarOffice 8.lnk - c:\program files\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-4-14 596584]
SuperHybridEngine.lnk - c:\program files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-7-7 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opaqcx]
2010-05-14 08:03 22016 ----a-w- c:\windows\system32\opaqcx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/12/2009 20:16 108289]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 20:19 13592]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [07/07/2008 16:19 625024]
S2 gupdate1c9d59ebedf5068;Service Google Update (gupdate1c9d59ebedf5068);c:\program files\Google\Update\GoogleUpdate.exe [15/05/2009 22:50 133104]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - YKWAZTLJ
*Deregistered* - ykwaztlj
.
Contenu du dossier 'Tâches planifiées'

2010-05-16 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-15 20:47]

2010-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-15 20:50]

2010-05-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-15 20:50]

2010-05-16 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
.
- - - - ORPHELINS SUPPRIMES - - - -

ShellIconOverlayIdentifiers-{4D11540A-4359-4872-9D7C-E6BADD29B55A} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-16 11:39
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x857ABAC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75dcf28
\Driver\ACPI -> ACPI.sys @ 0xf745ecb8
\Driver\atapi -> atapi.sys @ 0xf7416852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: 802.11n Wireless LAN Card -> SendCompleteHandler -> NDIS.sys @ 0xf7324b0a
PacketIndicateHandler -> NDIS.sys @ 0xf732fa21
SendHandler -> NDIS.sys @ 0xf7324949
user & kernel MBR OK
copy of MBR has been found in sector 15 !
copy of MBR has been found in sector 16 !

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9d,a4,ca,90,bb,dc,5c,4c,b0,d1,9d,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9d,a4,ca,90,bb,dc,5c,4c,b0,d1,9d,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\opaqcx.dll

- - - - - - - > 'explorer.exe'(432)
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\program files\Sun\StarOffice 8\program\soffice.exe
c:\program files\Sun\StarOffice 8\program\soffice.BIN
c:\windows\system32\igfxext.exe
.
**************************************************************************
.
Heure de fin: 2010-05-16 11:52:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-16 09:52

Avant-CF: 24 478 797 824 octets libres
Après-CF: 24 454 152 192 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 04363C604FF4F30A7E082299628DD5F1


que dois-je faire maintenant?
0
Réponse 4 / 4
Utilisateur anonyme
Modifié par archet9 le 16/05/2010 à 12:29
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: "%userprofile%\Bureau\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

a+
........
0