Worm.Win32.SkyNet

Résolu/Fermé
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013 - 20 mai 2010 à 13:27
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 - 28 mai 2010 à 22:39
Bonjour,

Voilà, ce matin, je vais sur Internet et ce virus infecte mon pc. Avast ne sait plus où donner de la tête et finalement, après avoir fait tout ce qui m'était conseillé, l'ordi redémarre.
Jusque là, rien d'étrange pendant le redémarrage mais finalement, après m'avoir souhaité la "Bienvenue", une fenêtre s'affiche et m'explique en anglais quel virus m'a touché, ce qu'il risque faire et ne me propose que de faire un scan complet. Je ne peux cliquer que sur OK, ce que je fais, mais là, le pc réfléchit énormément et finalement, plus rien ne répond.
Ma question est la suivante : que faire en sachant que je peux plus accéder aux fonctionnalités habituelles de mon pc ?

124 réponses

darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
24 mai 2010 à 15:18
Ah ok. Désolé.
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
24 mai 2010 à 16:41
Je suis sur le point de désinstaller Java. Toutefois, l'ordinateur refuse parce que je suis en mode sans échec. Est-ce que je peux quitter le mode sans échec sans risques ?
0
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
24 mai 2010 à 22:58
Re,

Pourquoi tu travailles en mode sans échec ?

Bah tu aurais du quitter le MSE dés le début. il y a aucun risque normalement.
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 09:17
J'étais en MSE parce qu'au début, c'était le seul moyen de faire fonctionner le pc normalement. Du coup, j'ai continué comme ça.
Donc, j'ai quitté le MSE, le pc démarre, j'arrive sur le bureau mais là, aucune icône présente sur le bureau ne s'affiche et je ne peux strictement rien faire, même pas cliquer sur le bouton Démarrer. J'ai d'abord pensé que c'était normal mais ça fait 10 minutes et je n'ai toujours rien...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 09:48
J'ai à nouveau redémarrer le pc. Cette fois, le bureau s'affiche avec les icônes. Par contre, lorsque je clique par exemple sur Mes Documents, le dossier s'ouvre sans problème mais après, si je veux ouvrir un dossier spécifique dans Mes Documents, ça ne marche aps, ça m'affiche que Mes Documents ne répond pas et je me rends aussi compte qu'il n'y a pas de barre Mes Documents dans la barre du bas de l'écran (j'ai perdu son nom). Le bouton démarrer ne fonctionne pas non plus...
0
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
25 mai 2010 à 10:11
Salut,

On reprends à Zero ...

Essaye en mode normal sinon en mode sans échec :

Si vous êtes sous Vista/7 Désactivez l'UAC

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\

_________________________________________________________________
>>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<<
> /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ <
>>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<<
=========================================================


==========>>> !! A lire, Impératif !! <<<==========


Télécharge ComboFix (de sUBs) et enregistre le sur ton bureau et pas ailleurs.

AVANT d'utiliser ComboFix :

/!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
(!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
( Tutoriel si besoin )

▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista/7: Clique droit et choisir " Exécuter en tant qu'administrateur")

Note :
Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) .
Reconnecte toi , Puis clique sur "YES" , et une fois la console installée :
! Déconnecte toi d'internet, (très important) !.

▶ Répond par Oui / Yes au message d'avertissement pour que le programme commence à procéder à l'analyse du pc.

!!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!!

▶ A la fin du scan, il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisse le travailler.

▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse,

Réactive toutes tes défenses, reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse.

Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 10:57
ComboFix 10-05-24.03 - Groslier 25/05/2010 10:46:51.2.1 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.510.342 [GMT 2:00]
Lancé depuis: c:\documents and settings\Groslier\Bureau\darkgg87.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-25 au 2010-05-25 ))))))))))))))))))))))))))))))))))))
.

2010-05-20 15:00 . 2010-05-20 15:00 -------- d-----w- c:\documents and settings\Groslier\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-20 15:00 . 2010-05-20 15:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-20 15:00 . 2010-05-20 15:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-20 13:23 . 2010-05-20 13:23 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-20 10:18 . 2010-05-20 10:18 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-05-20 10:17 . 2010-05-20 10:17 -------- d-sh--w- c:\windows\system32\config\systemprofile\IECompatCache
2010-05-20 10:17 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-05-20 10:17 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-20 10:16 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-05-20 10:16 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-05-20 10:14 . 2010-05-20 10:14 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-05-08 18:15 . 2010-05-08 18:15 55287536 ----a-w- c:\documents and settings\Groslier\Application Data\LEGO Company\LEGO Digital Designer\setupLDD-PC-3_1_3.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-25 07:44 . 2008-09-21 14:10 -------- d-----w- c:\documents and settings\Groslier\Application Data\OpenOffice.org2
2010-05-25 07:41 . 2010-05-24 14:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-25 07:09 . 2001-08-28 14:00 83002 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-25 07:09 . 2001-08-28 14:00 506894 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-24 14:23 . 2005-11-01 12:47 -------- d-----w- c:\program files\Alwil Software
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\program files\CCleaner
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\program files\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\documents and settings\Groslier\Application Data\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-20 10:22 . 2010-05-20 10:22 0 ----a-w- c:\documents and settings\Groslier\ntuser.tmp
2010-05-16 11:48 . 2008-11-30 17:35 1 ----a-w- c:\documents and settings\Groslier\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-05-09 11:17 . 2007-06-29 13:40 -------- d-----w- c:\documents and settings\Groslier\Application Data\LEGO Company
2010-05-08 18:15 . 2007-07-22 12:06 -------- d-----w- c:\program files\LEGO Company
2010-04-06 15:29 . 2010-04-06 15:29 77132 ---ha-w- c:\windows\system32\mlfcache.dat
2010-03-10 06:16 . 2004-08-04 00:54 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-08-04 00:54 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-03 23:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2007-02-11 13:40 . 2007-02-11 13:40 17929072 ----a-w- c:\program files\Install_Messenger.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"NCLaunch"="c:\windows\NCLAUNCH.EXe" [2006-12-31 40960]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-17 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Groslier\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
KODAK Software Updater.lnk - c:\program files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2006-6-2 180224]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2006-4-10 925696]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Ubisoft\\Gearbox Software\\BrothersInArms\\System\\bia.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [10/04/2006 13:00 402432]
R3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [01/11/2005 14:54 48512]
S0 glqibr;glqibr;c:\windows\system32\drivers\rlxnsc.sys --> c:\windows\system32\drivers\rlxnsc.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {86C4E4DB-D7AD-479C-BE7B-9E3DC9CFB86A} = 192.168.1.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-MsnMsgr - c:\program files\MSN Messenger\MsnMsgr.Exe
AddRemove-FairUse Wizard 2 - d:\gaetan\Autres\Logiciels\un_FU-Setup_14333.exe
AddRemove-{55718B4B90B54F7EADC5621C750A14E6} - d:\gaetan\DivX\DivX Author 1.5\DivXAuthorUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-25 10:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(444)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1620)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-05-25 10:55:21
ComboFix-quarantined-files.txt 2010-05-25 08:55

Avant-CF: 39 340 130 304 octets libres
Après-CF: 39 330 000 896 octets libres

- - End Of File - - 0B231ED7C08E86069116FFA403D80B91
0
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
25 mai 2010 à 11:07
Il y a un driver qui m'inquiète ...

/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.

▶ Copie le texte ci-dessous :

Driver::
glqibr

File::
c:\windows\system32\drivers\rlxnsc.sys


▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)

▶ Sauvegarde ce fichier sous le nom de CFScript.txt

/!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
(!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).


▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci

-> Cela va relancer Combofix,

▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé /!\

▶ Après redémarrage, poste le contenu du rapport Combofix.txt

==============

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

▶ Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer.

▶ Lance Gmer.

▶ Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.


* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :

▶ Clique sur copy.

▶ Ouvre le bloc note > Edition > Coller.

▶ Poste le rapport .
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 11:26
Rapport ComboFix : (par contre, il ne m'a pas proposé d'apputer sur 1 ou 2 au début, il a tout de suite lancé le scan.)

ComboFix 10-05-24.03 - Groslier 25/05/2010 11:14:50.3.1 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.510.267 [GMT 2:00]
Lancé depuis: c:\documents and settings\Groslier\Bureau\darkgg87.exe
Commutateurs utilisés :: c:\documents and settings\Groslier\Bureau\CFScript.txt

FILE ::
"c:\windows\system32\drivers\rlxnsc.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_glqibr


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-25 au 2010-05-25 ))))))))))))))))))))))))))))))))))))
.

2010-05-24 14:23 . 2010-05-25 07:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\documents and settings\Groslier\Application Data\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\program files\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17 -------- d-----w- c:\program files\CCleaner
2010-05-21 13:50 . 2010-05-21 14:27 -------- d-----w- c:\windows\BDOSCAN8
2010-05-20 15:00 . 2010-05-20 15:00 -------- d-----w- c:\documents and settings\Groslier\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-20 15:00 . 2010-05-20 15:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-20 15:00 . 2010-05-20 15:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-20 13:23 . 2010-05-20 13:23 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-20 10:18 . 2010-05-20 10:18 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-05-20 10:17 . 2010-05-20 10:17 -------- d-sh--w- c:\windows\system32\config\systemprofile\IECompatCache
2010-05-20 10:17 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-05-20 10:17 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-20 10:16 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-05-20 10:16 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-05-20 10:14 . 2010-05-20 10:14 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-05-08 18:15 . 2010-05-08 18:15 55287536 ----a-w- c:\documents and settings\Groslier\Application Data\LEGO Company\LEGO Digital Designer\setupLDD-PC-3_1_3.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-25 07:44 . 2008-09-21 14:10 -------- d-----w- c:\documents and settings\Groslier\Application Data\OpenOffice.org2
2010-05-25 07:09 . 2001-08-28 14:00 83002 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-25 07:09 . 2001-08-28 14:00 506894 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-24 14:23 . 2005-11-01 12:47 -------- d-----w- c:\program files\Alwil Software
2010-05-20 10:22 . 2010-05-20 10:22 0 ----a-w- c:\documents and settings\Groslier\ntuser.tmp
2010-05-16 11:48 . 2008-11-30 17:35 1 ----a-w- c:\documents and settings\Groslier\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-05-09 11:17 . 2007-06-29 13:40 -------- d-----w- c:\documents and settings\Groslier\Application Data\LEGO Company
2010-05-08 18:15 . 2007-07-22 12:06 -------- d-----w- c:\program files\LEGO Company
2010-04-06 15:29 . 2010-04-06 15:29 77132 ---ha-w- c:\windows\system32\mlfcache.dat
2010-03-10 06:16 . 2004-08-04 00:54 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-08-04 00:54 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-03 23:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2007-02-11 13:40 . 2007-02-11 13:40 17929072 ----a-w- c:\program files\Install_Messenger.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"NCLaunch"="c:\windows\NCLAUNCH.EXe" [2006-12-31 40960]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-17 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Groslier\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
KODAK Software Updater.lnk - c:\program files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2006-6-2 180224]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2006-4-10 925696]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Ubisoft\\Gearbox Software\\BrothersInArms\\System\\bia.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [10/04/2006 13:00 402432]
R3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [01/11/2005 14:54 48512]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {86C4E4DB-D7AD-479C-BE7B-9E3DC9CFB86A} = 192.168.1.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-25 11:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(444)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1684)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-05-25 11:24:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-25 09:24
ComboFix2.txt 2010-05-25 08:55

Avant-CF: 39 341 363 200 octets libres
Après-CF: 39 206 428 672 octets libres

- - End Of File - - C2DF241F0CE92FC082F4C5E874BEDAE1
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 11:30
Pour Gmer, est-ce que D:\ doit aussi être concerné par le scan ? Je demande ça parce que seule la case de C:\ est cochée.
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 11:35
Ah, l'ordi a coupé pendant que Gmer travaillait...
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 11:59
Au fait, je voulais juste te dire que si on n'a pas de résultats vraiment concluant ce soir, je vais probablement appeler un informaticien-dépanneur demain pour qu'il voit ce qu'il peut faire.
Ne le prends pas mal mais ça devient vraiment urgent que ce pc retrouve un fonctionnement normal. En tout cas, je te remercie vraiment de t'être investi comme tu l'as fait dans la résolution de ce problème. Même si on n'arrive pas à quelque chose de plus convainquant ce soir, tu auras sûrement fait de ton mieux, je n'en doute pas.
Mais en attendant, ton aide est toujours la bienvenue.
0
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
25 mai 2010 à 12:58
Non stp, on continue ensuite en verra.

Mets à jours MBAM, un scan rapide et colle le rapport.

==============

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien

- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan

- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande

- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)

- Fais redémarrer ton PC

===============


* Télécharge et installe List&Kill'em de gen-hackman et enregistre le sur ton bureau
http://sd-1.archive-host.com/...

- double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
- coche la case "creer une icone sur le bureau"
- une fois terminée , clic sur "terminer" et le programme se lancer seul
- choisis la langue puis choisis l'option SEARCH
- laisse travailler l'outil
- à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
- un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.
- Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
- réactive ton antivirus
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 13:48
Je suis en train de faire le scan avec MBAM.
Par contre, un message s'affiche à l'écran, me disant que ma version de Windows ne peut pas être validée. Pourtant je suis sûr à 100% qu'elle est légale. J'avais d'ailleurs déjà eu un problème de ce genre qui avait pu être réglé. Je ne comprends vraiment plus rien...
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 14:04
Rapport MBAM :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4141

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

25/05/2010 13:50:55
mbam-log-2010-05-25 (13-50-55).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 119897
Temps écoulé: 4 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 14:18
Le rapport de TDSSKiller est vide. Il n'y a absolument rien d'écrit.
0
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
25 mai 2010 à 14:22
Re;

Laisse tomber et passe à List&kill'em stp.
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
25 mai 2010 à 14:23
List&kill'em est en cours.
0
darkgg87 Messages postés 84 Date d'inscription dimanche 10 janvier 2010 Statut Membre Dernière intervention 26 août 2013
Modifié par darkgg87 le 25/05/2010 à 15:06
Ma connexion internet marche pas trop bien. Je t'envoie le rapport de List&Kill'em via cijoint.fr.

Le lien : http://www.cijoint.fr/cjlink.php?file=cj201005/cij7eNos0o.txt
0
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
25 mai 2010 à 15:33
- Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.

- Mais cette fois-ci: choisis l'option CLEAN

--> Ton PC va redemarrer,
--> Laisse travailler l'outil.

- En fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

- Colle le contenu dans ta réponse

===========

Télécharge ZHPFix
Installe-le

▶ Lance ZHPFix depuis le raccourci qui est sur ton bureau .
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

▶ Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

▶ Ouvre ce lien puis copie colle tout le texte qui se trouve dedans et colle le dans l'encadré principal:

MBRFix

▶ Clique sur le bouton [ OK ] .

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !


▶ Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .

▶ Enfin clique sur le bouton [ Nettoyer ] .

⇒ ! Laisse travailler l'outil et ne touche à rien !

⇒ Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

▶ Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse.

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

==============

Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.

▶ Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

▶ Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

▶ Clique sur la loupe pour lancer l'analyse.

⇒ Laisse l'outil travailler, il peut être assez long ...

▶ Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

Pour le transmettre ouvre ce lien

* Clique sur Parcourir et cherche le fichier ci-dessus.

* Clique sur Ouvrir.

* Clique sur "Cliquez ici pour déposer le fichier".

* Un lien de cette forme est ajouté dans la page :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

Copie ce lien dans ta réponse.
0