Un faux antispyware bloque toutes mes applis [Résolu]

Réponse 1 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

C'est quoi le nom du faux antispyware?

Tente ça :

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Madness Rox \o/

Réponse 2 / 44

rouky

Dis donc c'est une sacrée bestiole ce Combofix ! il a l'air d'avoir éliminer mon antispyware de malheur !!!

Je l'ai installé en mode sans échec et après 10 mn et quelques suppressions de fichiers, mon ordi marche apparement normalement !

Tu veux que je poste le rapport ou c'est plus la peine ?

Je te remercie sincèrement pour ton efficacité Malekal !

Réponse 3 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

oui je voudrais le rapport stp.

Ca répondra aussi à ma question :)

Réponse 4 / 44

rouky

ComboFix 10-05-27.01 - Aurélien 27/05/2010 22:43:03.1.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.1613 [GMT 2:00]
Lancé depuis: c:\users\Aurélien\Desktop\combofix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mozilla Firefox\components\nsFFxSHot.xpt
c:\users\Aurélien\AppData\Local\ggaexppbh
c:\users\Aurélien\AppData\Local\ggaexppbh\dmvgpattssd.exe
c:\windows\system32\AbaleZip.dll
c:\windows\system32\drivers\gasfkytidbiqrf.sys
c:\windows\system32\drivers\gasfkyxytlqpxx.sys
c:\windows\system32\gasfkyrctorsst.dat
c:\windows\system32\km5ncs.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-27 au 2010-05-27 ))))))))))))))))))))))))))))))))))))
.

2010-05-27 17:05 . 2010-02-22 17:19 24064 ----a-w- c:\windows\system32\FsExService64.Exe
2010-05-27 17:05 . 2010-02-22 17:19 16392 ----a-w- c:\windows\system32\drivers\TFsExDisk.Sys
2010-05-27 16:36 . 2010-05-27 16:36 -------- d-----w- c:\program files\Lame for Audacity
2010-05-27 16:34 . 2010-05-27 16:34 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode)
2010-05-27 16:26 . 2010-05-27 16:26 -------- d-----w- c:\program files\Techlogg.com ToneShop
2010-05-26 08:34 . 2010-04-23 13:55 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-25 15:28 . 2010-05-25 15:28 53248 ----a-w- c:\windows\system32\unrar.dll
2010-05-19 19:55 . 2005-11-29 19:00 8704 ----a-w- c:\windows\system32\CNMVS47.DLL
2010-05-19 19:55 . 2005-11-29 19:00 59392 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\CNMPP47.DLL
2010-05-19 09:17 . 2010-05-19 09:17 -------- d-----w- c:\programdata\ALM
2010-05-18 21:05 . 2010-05-18 21:05 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-05-18 14:50 . 2010-05-18 14:50 -------- d-----w- c:\programdata\FLEXnet
2010-05-12 09:33 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-11 10:35 . 2010-05-11 10:35 -------- d-----w- c:\programdata\HP Product Assistant
2010-05-11 10:34 . 2010-05-11 10:36 -------- d-----w- c:\program files\Common Files\HP
2010-05-11 10:30 . 2010-05-11 10:35 -------- d-----w- c:\program files\HP
2010-05-11 10:30 . 2010-05-11 10:37 148416 ----a-w- c:\windows\hpiins06.dat
2010-05-11 10:30 . 2007-03-30 05:55 0 ------w- c:\windows\hpimdl06.dat
2010-05-11 10:30 . 2010-05-11 10:36 -------- d-----w- c:\programdata\HP
2010-05-11 10:29 . 2010-05-11 10:30 -------- d---a-w- c:\program files\HP PSE 9.0 SW
2010-04-29 22:41 . 2010-04-29 22:51 -------- d-----w- c:\program files\Common Files\PC Tools

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-27 20:45 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-27 20:45 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-27 20:38 . 2009-09-04 08:35 79628 ----a-w- c:\programdata\nvModes.dat
2010-05-26 17:01 . 2010-02-17 17:24 -------- d-----w- c:\program files\PKR
2010-05-20 09:57 . 2009-09-08 14:24 -------- d-----w- c:\program files\Google
2010-05-18 21:12 . 2009-09-08 14:06 -------- d-----w- c:\program files\Common Files\Adobe
2010-05-13 08:42 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-13 08:42 . 2009-09-04 09:03 -------- d-----w- c:\programdata\Microsoft Help
2010-05-12 09:21 . 2009-10-03 09:01 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-11 10:39 . 2010-05-11 10:39 0 ---ha-w- c:\windows\system32\drivers\Msft_User_HpiCamWpd03_01_05_00.Wdf
2010-05-05 16:38 . 2009-09-04 08:47 -------- d-----w- c:\program files\Microsoft Works
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2010-04-30 00:01 . 2009-09-08 12:45 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-04-10 08:11 . 2010-04-10 08:11 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-04-04 10:15 . 2009-09-16 12:11 -------- d-----w- c:\programdata\Sports Interactive
2010-04-04 10:08 . 2009-09-16 12:02 -------- d-----w- c:\program files\Common Files\Steam
2010-04-04 10:05 . 2009-09-16 12:01 -------- d-----w- c:\program files\Sports Interactive
2010-03-11 19:01 . 2009-10-22 22:26 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-03-09 16:28 . 2010-03-31 18:15 833024 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 18:14 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 18:14 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2010-03-04 18:54 . 2010-04-14 10:46 430080 ----a-w- c:\windows\system32\vbscript.dll
2009-09-04 18:13 . 2009-04-23 12:35 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-04-24 250192]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]

c:\users\rouky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-6-30 1316192]

c:\users\Aur'lien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-6-30 1316192]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2009-09-04 08:50 10536 ----a-w- c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer4"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-02-22 17:18 102400 ----a-w- c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
2010-01-12 10:41 163928 ----a-w- c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-04-23 13:51 691656 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dellsupportcenter]
2009-06-03 12:46 206064 ----a-w- c:\program files\Dell Support Center\bin\sprtcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-05-16 21:26 13785632 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2009-01-13 10:32 6609440 ----a-w- c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-09-04 08:45 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-16 721904]
R2 gupdate1ca30901449d3e4;Service Google Update (gupdate1ca30901449d3e4);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 133104]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
S2 AERTFilters;Andrea RT Filters Service;c:\program files\Realtek\Audio\HDA\AERTSrv.exe [2009-01-13 81920]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [2009-12-15 188416]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-12-18 155648]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-04-07 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-04-07 36608]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-05-12 64544]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
*Deregistered* - erctujhh

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 14:24]

2010-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 14:24]

2010-05-27 c:\windows\Tasks\User_Feed_Synchronization-{9D20471C-27C2-46E3-B6FC-2F416958CCFD}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5555
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Télécharger en Utilisant &BitSpirit - c:\program files\BitSpirit\bsurl.htm
FF - ProfilePath - c:\users\Aurélien\AppData\Roaming\Mozilla\Firefox\Profiles\jc7td86i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.francefootball.fr/
FF - plugin: c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\npCpVod.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.27\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-bvgrhheb - c:\users\Aurélien\AppData\Local\ggaexppbh\dmvgpattssd.exe
HKLM-Run-NPSStartup - (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-27 22:52
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\erctujhh]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-05-27 22:55:12
ComboFix-quarantined-files.txt 2010-05-27 20:55

Avant-CF: 511 479 549 952 octets libres
Après-CF: 512 282 808 320 octets libres

- - End Of File - - 820811A95937B768B5656BE477FD6754

Réponse 5 / 44

rouky

ComboFix 10-05-27.01 - Aurélien 27/05/2010 22:43:03.1.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.1613 [GMT 2:00]
Lancé depuis: c:\users\Aurélien\Desktop\combofix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mozilla Firefox\components\nsFFxSHot.xpt
c:\users\Aurélien\AppData\Local\ggaexppbh
c:\users\Aurélien\AppData\Local\ggaexppbh\dmvgpattssd.exe
c:\windows\system32\AbaleZip.dll
c:\windows\system32\drivers\gasfkytidbiqrf.sys
c:\windows\system32\drivers\gasfkyxytlqpxx.sys
c:\windows\system32\gasfkyrctorsst.dat
c:\windows\system32\km5ncs.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-27 au 2010-05-27 ))))))))))))))))))))))))))))))))))))
.

2010-05-27 17:05 . 2010-02-22 17:19 24064 ----a-w- c:\windows\system32\FsExService64.Exe
2010-05-27 17:05 . 2010-02-22 17:19 16392 ----a-w- c:\windows\system32\drivers\TFsExDisk.Sys
2010-05-27 16:36 . 2010-05-27 16:36 -------- d-----w- c:\program files\Lame for Audacity
2010-05-27 16:34 . 2010-05-27 16:34 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode)
2010-05-27 16:26 . 2010-05-27 16:26 -------- d-----w- c:\program files\Techlogg.com ToneShop
2010-05-26 08:34 . 2010-04-23 13:55 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-25 15:28 . 2010-05-25 15:28 53248 ----a-w- c:\windows\system32\unrar.dll
2010-05-19 19:55 . 2005-11-29 19:00 8704 ----a-w- c:\windows\system32\CNMVS47.DLL
2010-05-19 19:55 . 2005-11-29 19:00 59392 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\CNMPP47.DLL
2010-05-19 09:17 . 2010-05-19 09:17 -------- d-----w- c:\programdata\ALM
2010-05-18 21:05 . 2010-05-18 21:05 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-05-18 14:50 . 2010-05-18 14:50 -------- d-----w- c:\programdata\FLEXnet
2010-05-12 09:33 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-11 10:35 . 2010-05-11 10:35 -------- d-----w- c:\programdata\HP Product Assistant
2010-05-11 10:34 . 2010-05-11 10:36 -------- d-----w- c:\program files\Common Files\HP
2010-05-11 10:30 . 2010-05-11 10:35 -------- d-----w- c:\program files\HP
2010-05-11 10:30 . 2010-05-11 10:37 148416 ----a-w- c:\windows\hpiins06.dat
2010-05-11 10:30 . 2007-03-30 05:55 0 ------w- c:\windows\hpimdl06.dat
2010-05-11 10:30 . 2010-05-11 10:36 -------- d-----w- c:\programdata\HP
2010-05-11 10:29 . 2010-05-11 10:30 -------- d---a-w- c:\program files\HP PSE 9.0 SW
2010-04-29 22:41 . 2010-04-29 22:51 -------- d-----w- c:\program files\Common Files\PC Tools

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-27 20:45 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-27 20:45 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-27 20:38 . 2009-09-04 08:35 79628 ----a-w- c:\programdata\nvModes.dat
2010-05-26 17:01 . 2010-02-17 17:24 -------- d-----w- c:\program files\PKR
2010-05-20 09:57 . 2009-09-08 14:24 -------- d-----w- c:\program files\Google
2010-05-18 21:12 . 2009-09-08 14:06 -------- d-----w- c:\program files\Common Files\Adobe
2010-05-13 08:42 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-13 08:42 . 2009-09-04 09:03 -------- d-----w- c:\programdata\Microsoft Help
2010-05-12 09:21 . 2009-10-03 09:01 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-11 10:39 . 2010-05-11 10:39 0 ---ha-w- c:\windows\system32\drivers\Msft_User_HpiCamWpd03_01_05_00.Wdf
2010-05-05 16:38 . 2009-09-04 08:47 -------- d-----w- c:\program files\Microsoft Works
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2010-04-30 00:01 . 2009-09-08 12:45 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-04-10 08:11 . 2010-04-10 08:11 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-04-04 10:15 . 2009-09-16 12:11 -------- d-----w- c:\programdata\Sports Interactive
2010-04-04 10:08 . 2009-09-16 12:02 -------- d-----w- c:\program files\Common Files\Steam
2010-04-04 10:05 . 2009-09-16 12:01 -------- d-----w- c:\program files\Sports Interactive
2010-03-11 19:01 . 2009-10-22 22:26 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-03-09 16:28 . 2010-03-31 18:15 833024 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 18:14 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 18:14 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2010-03-04 18:54 . 2010-04-14 10:46 430080 ----a-w- c:\windows\system32\vbscript.dll
2009-09-04 18:13 . 2009-04-23 12:35 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-04-24 250192]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]

c:\users\rouky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-6-30 1316192]

c:\users\Aur'lien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-6-30 1316192]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2009-09-04 08:50 10536 ----a-w- c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer4"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-02-22 17:18 102400 ----a-w- c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
2010-01-12 10:41 163928 ----a-w- c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-04-23 13:51 691656 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dellsupportcenter]
2009-06-03 12:46 206064 ----a-w- c:\program files\Dell Support Center\bin\sprtcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-05-16 21:26 13785632 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2009-01-13 10:32 6609440 ----a-w- c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-09-04 08:45 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-16 721904]
R2 gupdate1ca30901449d3e4;Service Google Update (gupdate1ca30901449d3e4);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 133104]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
S2 AERTFilters;Andrea RT Filters Service;c:\program files\Realtek\Audio\HDA\AERTSrv.exe [2009-01-13 81920]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [2009-12-15 188416]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-12-18 155648]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-04-07 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-04-07 36608]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-05-12 64544]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
*Deregistered* - erctujhh

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 14:24]

2010-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 14:24]

2010-05-27 c:\windows\Tasks\User_Feed_Synchronization-{9D20471C-27C2-46E3-B6FC-2F416958CCFD}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5555
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Télécharger en Utilisant &BitSpirit - c:\program files\BitSpirit\bsurl.htm
FF - ProfilePath - c:\users\Aurélien\AppData\Roaming\Mozilla\Firefox\Profiles\jc7td86i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.francefootball.fr/
FF - plugin: c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\npCpVod.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.27\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-bvgrhheb - c:\users\Aurélien\AppData\Local\ggaexppbh\dmvgpattssd.exe
HKLM-Run-NPSStartup - (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-27 22:52
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\erctujhh]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-05-27 22:55:12
ComboFix-quarantined-files.txt 2010-05-27 20:55

Avant-CF: 511 479 549 952 octets libres
Après-CF: 512 282 808 320 octets libres

- - End Of File - - 820811A95937B768B5656BE477FD6754

Réponse 6 / 44

rouky

c'était grave docteur ?

Réponse 7 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

OK antispyware soft et d'autres malwares.

Fais ça :
Relance Internet Explorer / Onglet Options Internet.
Vas dans l'onglet Connexions et décoche l'utilisation du proxy en bas.

Tu pourrais relancer Combofix et poster le rapport ici, je voudrais voir un truc.

Réponse 8 / 44

rouky

j'utilise Firefox.
Si j'ouvre IE, c'est "ne jamais établir de connexion" qui est coché à l'origine.
Faut que je fasse quoi du coup ?

Réponse 9 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Tu as quelle version d'Internet Explorer ?

Refais un Combofix stp et poste le rapport ici.

Réponse 10 / 44

rouky

J'ai IE 7, voilà pour le rapport (j'ai passé malwarebytes entre temps) :

ComboFix 10-05-27.01 - Aurélien 28/05/2010 12:39:19.2.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.1720 [GMT 2:00]
Lancé depuis: c:\users\Aurélien\Desktop\combofix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-28 ))))))))))))))))))))))))))))))))))))
.

2010-05-28 10:46 . 2010-05-28 10:46 -------- d-----w- c:\users\rouky\AppData\Local\temp
2010-05-28 10:46 . 2010-05-28 10:46 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-05-28 10:46 . 2010-05-28 10:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-27 21:42 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-27 21:42 . 2010-05-27 21:42 -------- d-----w- c:\programdata\Malwarebytes
2010-05-27 21:42 . 2010-05-27 21:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-27 21:42 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-27 17:05 . 2010-02-22 17:19 24064 ----a-w- c:\windows\system32\FsExService64.Exe
2010-05-27 17:05 . 2010-02-22 17:19 16392 ----a-w- c:\windows\system32\drivers\TFsExDisk.Sys
2010-05-27 16:36 . 2010-05-27 16:36 -------- d-----w- c:\program files\Lame for Audacity
2010-05-27 16:34 . 2010-05-27 16:34 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode)
2010-05-27 16:26 . 2010-05-27 16:26 -------- d-----w- c:\program files\Techlogg.com ToneShop
2010-05-26 08:34 . 2010-04-23 13:55 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-25 15:28 . 2010-05-25 15:28 53248 ----a-w- c:\windows\system32\unrar.dll
2010-05-19 19:55 . 2005-11-29 19:00 8704 ----a-w- c:\windows\system32\CNMVS47.DLL
2010-05-19 19:55 . 2005-11-29 19:00 59392 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\CNMPP47.DLL
2010-05-19 09:17 . 2010-05-19 09:17 -------- d-----w- c:\programdata\ALM
2010-05-18 21:05 . 2010-05-18 21:05 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-05-18 14:50 . 2010-05-18 14:50 -------- d-----w- c:\programdata\FLEXnet
2010-05-12 09:33 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-11 10:35 . 2010-05-11 10:35 -------- d-----w- c:\programdata\HP Product Assistant
2010-05-11 10:34 . 2010-05-11 10:36 -------- d-----w- c:\program files\Common Files\HP
2010-05-11 10:30 . 2010-05-11 10:35 -------- d-----w- c:\program files\HP
2010-05-11 10:30 . 2010-05-11 10:37 148416 ----a-w- c:\windows\hpiins06.dat
2010-05-11 10:30 . 2007-03-30 05:55 0 ------w- c:\windows\hpimdl06.dat
2010-05-11 10:30 . 2010-05-11 10:36 -------- d-----w- c:\programdata\HP
2010-05-11 10:29 . 2010-05-11 10:30 -------- d---a-w- c:\program files\HP PSE 9.0 SW
2010-04-29 22:41 . 2010-04-29 22:51 -------- d-----w- c:\program files\Common Files\PC Tools

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-28 10:45 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-28 10:45 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-28 10:38 . 2009-09-04 08:35 79628 ----a-w- c:\programdata\nvModes.dat
2010-05-27 22:28 . 2009-09-08 12:45 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-27 22:28 . 2009-09-08 12:45 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-26 17:01 . 2010-02-17 17:24 -------- d-----w- c:\program files\PKR
2010-05-20 09:57 . 2009-09-08 14:24 -------- d-----w- c:\program files\Google
2010-05-18 21:12 . 2009-09-08 14:06 -------- d-----w- c:\program files\Common Files\Adobe
2010-05-13 08:42 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-13 08:42 . 2009-09-04 09:03 -------- d-----w- c:\programdata\Microsoft Help
2010-05-12 09:21 . 2009-10-03 09:01 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-11 10:39 . 2010-05-11 10:39 0 ---ha-w- c:\windows\system32\drivers\Msft_User_HpiCamWpd03_01_05_00.Wdf
2010-05-05 16:38 . 2009-09-04 08:47 -------- d-----w- c:\program files\Microsoft Works
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2010-04-30 00:01 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2010-04-10 08:11 . 2010-04-10 08:11 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-04-04 10:15 . 2009-09-16 12:11 -------- d-----w- c:\programdata\Sports Interactive
2010-04-04 10:08 . 2009-09-16 12:02 -------- d-----w- c:\program files\Common Files\Steam
2010-04-04 10:05 . 2009-09-16 12:01 -------- d-----w- c:\program files\Sports Interactive
2010-03-11 19:01 . 2009-10-22 22:26 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-03-09 16:28 . 2010-03-31 18:15 833024 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 18:14 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 18:14 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2010-03-04 18:54 . 2010-04-14 10:46 430080 ----a-w- c:\windows\system32\vbscript.dll
2009-09-04 18:13 . 2009-04-23 12:35 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((( SnapShot@2010-05-27_20.52.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2010-05-28 10:39 52420 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2009-09-04 10:29 . 2010-05-27 20:42 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-09-04 10:29 . 2010-05-28 10:41 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-09-04 10:29 . 2010-05-27 20:42 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-09-04 10:29 . 2010-05-28 10:41 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-30 11:20 . 2010-05-27 23:17 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-30 11:20 . 2010-05-27 08:37 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-30 11:20 . 2010-05-27 08:37 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-11-30 11:20 . 2010-05-27 23:17 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-11-30 11:20 . 2010-05-27 08:37 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-30 11:20 . 2010-05-27 23:17 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-27 08:42 . 2010-05-28 07:35 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-27 08:42 . 2010-05-27 19:58 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-27 08:42 . 2010-05-28 07:35 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-11-27 08:42 . 2010-05-27 19:58 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-11-27 08:42 . 2010-05-27 19:58 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-27 08:42 . 2010-05-28 07:35 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-09-08 12:09 . 2010-05-28 10:39 9534 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3011957053-2190561559-884593991-1000_UserData.bin
- 2010-05-27 20:38 . 2010-05-27 20:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-05-28 10:37 . 2010-05-28 10:37 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-05-28 10:37 . 2010-05-28 10:37 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-05-27 20:38 . 2010-05-27 20:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 13:05 . 2010-05-28 10:39 101220 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 10:33 . 2010-05-28 10:45 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2010-05-27 20:45 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2010-05-27 20:45 101052 c:\windows\System32\perfc009.dat
+ 2006-11-02 10:33 . 2010-05-28 10:45 101052 c:\windows\System32\perfc009.dat
- 2009-09-04 10:29 . 2010-05-27 20:42 770048 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-09-04 10:29 . 2010-05-28 10:41 770048 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
.

Réponse 11 / 44

rouky

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-04-24 250192]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]

c:\users\rouky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-6-30 1316192]

c:\users\Aur'lien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-6-30 1316192]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2009-09-04 08:50 10536 ----a-w- c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer4"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-02-22 17:18 102400 ----a-w- c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
2010-01-12 10:41 163928 ----a-w- c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-04-23 13:51 691656 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dellsupportcenter]
2009-06-03 12:46 206064 ----a-w- c:\program files\Dell Support Center\bin\sprtcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-05-16 21:26 13785632 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2009-01-13 10:32 6609440 ----a-w- c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-09-04 08:45 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-16 721904]
R2 gupdate1ca30901449d3e4;Service Google Update (gupdate1ca30901449d3e4);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 133104]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
S2 AERTFilters;Andrea RT Filters Service;c:\program files\Realtek\Audio\HDA\AERTSrv.exe [2009-01-13 81920]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [2009-12-15 188416]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-12-18 155648]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-04-07 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-04-07 36608]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-05-12 64544]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
*Deregistered* - erctujhh

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 14:24]

2010-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-08 14:24]

2010-05-27 c:\windows\Tasks\User_Feed_Synchronization-{9D20471C-27C2-46E3-B6FC-2F416958CCFD}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5555
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Télécharger en Utilisant &BitSpirit - c:\program files\BitSpirit\bsurl.htm
FF - ProfilePath - c:\users\Aurélien\AppData\Roaming\Mozilla\Firefox\Profiles\jc7td86i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.francefootball.fr/
FF - plugin: c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\npCpVod.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.27\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
AddRemove-tamtampoker - c:\poker\Tamtam Poker\_SetupPoker_a9bb3d_fr.exe
AddRemove-Titan Poker - c:\poker\Titan Poker\_SetupPoker_578beb.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-28 12:46
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\erctujhh]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-05-28 12:49:03
ComboFix-quarantined-files.txt 2010-05-28 10:49
ComboFix2.txt 2010-05-27 20:55

Avant-CF: 509 887 127 552 octets libres
Après-CF: 509 823 815 680 octets libres

- - End Of File - - 25019C3CE8958EB159A255185FD53326

Réponse 12 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

ha ok j'ai capté... manque un bout dans ce que je t'ai donné comme instructions.... dsl.

Relance Internet Explorer / Onglet Options Internet.
Vas dans l'onglet Connexions et en bas dans paramètres réseau.
Décoche l'utilisation du proxy en bas.

Je pense que tu es encore infecté.

* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
erctujhh
Files to delete:
C:\Windows\system32\drivers\erctujhh.sys

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Réponse 13 / 44

rouky

Je viens d'effectuer des mises à jour de Windows (IE 8), Java et Adobe Reader qui apparemment peuvent contenir des failles.

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

OK mais voir plus haut aussi.

Réponse 14 / 44

rouky

Dans IE8, concernant le proxy, il y a seulement la case "ne pas utiliser de serveur proxy pour les adresses locales" qui est cochée donc je l'ai laissée en l'état.

Par contre concernant avenger, au redémarrage, l'ordi me lance la récupération d'erreur windows et l'outil de redémarrage (essayé 2 fois) et pas de trace de rapport du coup.

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

lance la récupération d'erreur windows et l'outil de redémarrage

Je vois pas bien ce que tu veux dire par récupération d'erreur, c'est un message qui dit "Windows a récupéré d'une erreur etc.." ?

The Avenger redémarre bien l'ordinateur et tu as ça à la fin du redémarrage de l'ordinateur ?

Tu as un écran bleu à un moment ?

rouky81 Messages postés 21 Date d'inscription Statut Membre Dernière intervention

Il y a un petit problème maintenant...

1- Quand j'éteins l'ordi, il bloque sur un écran "configuration des mises à jour" avec le dégradé vert et bleu de vista. Il reste bloqué et je suis obligé de l'éteindre en manuel avec le bouton Reset.

2- Si je lance Avenger, il tente de rebooter, il me met ce même écran "configuration des mises à jour".

Au bout d'un moment, il passe sur un écran noir "récupération d'erreur windows" avec 2 choix - lancer l'outil de redémarrage système (recommandé)
- démarrer windows normalement

Je choisi la 1ere solution, et je passe alors sur un écran gris "réparation du démarrage, et il m'entame une "recherche des problème sur mon système".

Au bout de 5min de recherche, il me demande "voulez-vous restaurer l'ordi à l'aide de l'outil Restauration Système". Je met "oui"

Je tombe ensuite sur l'écran dégradé vert et bleu "configuration des mises à jour. Là, il me fait les 3 étapes validées à 100% et ça redémarre.

Est-ce ma mise à jour windows (entre combofix et avenger) qui a entraîné ces problèmes ? J'aime pas trop éteindre l'ordi en manuel comme ça...

Réponse 15 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Est-ce ma mise à jour windows (entre combofix et avenger) qui a entraîné ces problèmes ? J'aime pas trop éteindre l'ordi en manuel comme ça...

Comme ça je sais pas mais ce qui est casi sûr c'est que tu es encore infecté et surtout tu as un rootkit.... et ça, ça fout la pagaille.
Faudra voir si y a du mieux une fois qu'il est éradiqué.

On va essayer Malwarebyte, et s'il le vire pas, on ira le faire manuellement par un Live CD.

Fais un scan complet Malwarebyte et supprime ce qui est détecté.
Voir : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Poste le rapport de scan ici.

Ready To Fall \o/

Réponse 16 / 44

rouky81 Messages postés 21 Date d'inscription Statut Membre Dernière intervention

J'avais déjà passé un coup de malwarebytes juste après avoir passé Combofix, il m'avait trouvé 4/5 fichiers infectés.
Là, il m'en a trouvé qu'un que j'ai supprimé :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4149

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904

30/05/2010 12:21:41
mbam-log-2010-05-30 (12-21-41).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 462286
Temps écoulé: 1 heure(s), 23 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\erctujhh.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

En tout cas, je te remercie de m'aider.

Réponse 17 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

yep je sais pour C:\Windows\System32\drivers\erctujhh.sys
C'est ce dont je te parle quand je te dis que tu es encore infecté.

On le voit sur Combofix avec ces lignes :
--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
*Deregistered* - erctujhh

La question est de savoir s'il revient encore, si c'est le cas, c'est que Malwarebyte ne parvient pas à le supprimer aussi.

Faudrait que tu refasses un scan pour vérifier cela.
S'il revient et vu que The Avenger plante chez toi, on lui pètera les dents via un CD Live.

Réponse 18 / 44

rouky81 Messages postés 21 Date d'inscription Statut Membre Dernière intervention

Bon beh la bestiole a la peau dure...
Malware la trouve, je supprime, l'ordi redémarre mais elle est toujours là :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4149

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904

30/05/2010 18:43:52
mbam-log-2010-05-30 (18-43-52).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 462567
Temps écoulé: 1 heure(s), 35 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\erctujhh.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Sinon, crois-tu que mes problème de fermeture d'ordi soit dû à cela ou est-ce un problème différent ?

Réponse 19 / 44

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

* Télécharge OTLPEnet : http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau (Taille 120,9 Mo)
* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
* Patiente le temps de la décompression et de la gravure du CD.
* Redémarre ton PC en utilisant le CD Boot venant d'etre créé.
* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-clic sur l'îcone OTLPE
* Dans la Première messagebox RunScanner clique sur Yes.
* Dans la seconde, Assures toi que la case "Automatically Load All Remaining Users" soit coché et clique sur ok.
* OTL doit se lancer maintenant

o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
i8042prt.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

* Presse Run Scan pour démarrer le scan.
* Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt
* Copies sur fichier sur une clé usb si tu n'as pas accès à Internet.
* Poste la contenu du rapport OTL.txt dans ton prochaine réponse.

Réponse 20 / 44

rouky81 Messages postés 21 Date d'inscription Statut Membre Dernière intervention

Je bloque à une étape : après avoir cliqué sur OTLPE, je n'ai pas de messagebox runscanner !
A la place j'ai une messagebox "Browse for folder" où il me demande de choisir un fichier "folder: (choix du fichier)". Que dois-je faire ?

Un faux antispyware bloque toutes mes applis

44 réponses

Votre réponse

Discussions similaires