Virus Win32:SkiMorph [Cryp]

Résolu
Gautier -  
 Gautier -
Bonjour,

Après une analyse réalisée avec Avast Antivirus, il a détecté un virus Win32:SkiMorph [Cryp]. De plus, j'ai des soucis avec Messenger depuis hier qui me plante mon ordinateur à chaque connexion. Je ne sais pas si c'est lié.

Dois-je le mettre en quarantaine, le supprimer ? Comment faire pour nettoyer mon ordinateur?

Merci de m'indiquer la marche à suivre.


A voir également:

81 réponses

Précédent
Réponse 21 / 81
Gautier
 
Voici le rapport :
############################## | Usbfix 7.004 | [Suppression]

Utilisateur: Cynthia (Administrateur) # PC-DE-CYNTHIA [Hewlett-Packard HP Pavilion dv6500 Notebook PC]
Mis à jour le 04/06/10 par El Desaparecido / C_XX
Lancé à 21:56:53 | 06/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18904

Pare-feu Windows: Activé

RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 142 Go (81 Go libre(s) - 57%) [] # NTFS
D:\ -> Disque fixe # 7 Go (987 Mo libre(s) - 13%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Non supprimé ! C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000
Non supprimé ! C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-500
Non supprimé ! C:\$Recycle.Bin\S-1-5-21-992987720-3198020690-3964288938-500
Non supprimé ! D:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[15/12/2007 - 16:28:13 | SHD ] C:\$RECYCLE.BIN
[07/08/2008 - 09:29:43 | D ] C:\3386d77e268f234a1e5e77bd
[24/06/2008 - 23:30:39 | D ] C:\780621596dba42d4e3
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[10/01/2010 - 18:47:34 | SHD ] C:\boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[05/08/2008 - 16:16:02 | D ] C:\d607fb39413e0d858045555f287c9e
[15/12/2007 - 16:14:10 | SHD ] C:\Documents and Settings
[26/07/2008 - 11:13:28 | SHD ] C:\found.000
[06/06/2010 - 21:12:31 | ASH | 2145837056] C:\hiberfil.sys
[18/05/2007 - 04:23:21 | HD ] C:\HP
[18/05/2007 - 03:09:25 | D ] C:\Intel
[05/02/2010 - 23:41:06 | RASH | 0] C:\IO.SYS
[30/03/2007 - 13:06:52 | D ] C:\MCPP
[05/02/2010 - 23:41:06 | RASH | 0] C:\MSDOS.SYS
[18/05/2007 - 03:43:35 | RHD ] C:\MSOCache
[30/05/2010 - 23:49:23 | AD ] C:\Navilog1
[06/06/2010 - 21:12:29 | ASH | 2459627520] C:\pagefile.sys
[23/05/2009 - 22:47:04 | D ] C:\PerfLogs
[05/06/2010 - 09:46:20 | RD ] C:\Program Files
[05/06/2010 - 09:46:20 | HD ] C:\ProgramData
[11/10/2009 - 21:37:15 | A | 159] C:\Setup.log
[21/01/2008 - 20:57:39 | D ] C:\SwSetup
[06/06/2010 - 10:06:16 | SHD ] C:\System Volume Information
[21/01/2008 - 20:59:23 | HD ] C:\System.sav
[03/06/2008 - 20:44:46 | D ] C:\tmp
[06/06/2010 - 21:58:37 | D ] C:\UsbFix
[06/06/2010 - 21:58:40 | A | 2628] C:\Usbfix.txt
[24/06/2008 - 23:31:02 | RD ] C:\Users
[05/06/2010 - 09:52:53 | D ] C:\Windows
[15/12/2007 - 16:28:13 | SHD ] D:\$RECYCLE.BIN
[11/09/2005 - 17:18:54 | SH | 340] D:\AUTOMODE
[15/12/2007 - 16:25:53 | SH | 13] D:\BLOCK.RIN
[29/09/2007 - 04:47:45 | SHD ] D:\boot
[04/10/2006 - 01:02:44 | SH | 438328] D:\bootmgr
[03/11/2006 - 21:43:28 | SH | 117] D:\Desktop.ini
[10/09/2002 - 18:14:28 | SH | 8134] D:\Folder.htt
[25/06/2008 - 22:24:41 | SHD ] D:\HP
[25/06/2008 - 23:20:35 | ASH | 22] D:\HPCD.sys
[25/06/2008 - 23:04:32 | SH | 760] D:\MASTER.LOG
[26/06/2008 - 22:17:45 | RA | 528] D:\MediaID.bin
[26/06/2008 - 22:21:33 | D ] D:\PC-DE-CYNTHIA
[25/06/2008 - 23:20:35 | SHD ] D:\preload
[03/11/2005 - 17:19:52 | SH | 181736] D:\protect.ed
[25/06/2008 - 22:24:54 | RSH | 26] D:\RCBoot.sys
[29/09/2007 - 04:47:45 | RD ] D:\RECOVERY
[29/09/2007 - 04:47:45 | SHD ] D:\SOURCES
[26/06/2008 - 21:27:59 | SHD ] D:\System Volume Information
[29/09/2007 - 04:47:46 | SHD ] D:\Tools
[22/06/2008 - 22:32:05 | ASH | 14] D:\USER
[29/09/2007 - 04:47:45 | SHD ] D:\WINDOWS

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CYNTHIA.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0
Réponse 22 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


tu l'as bien lancé "en tant qu'admin..." ?

redémarre le PC et relance une "recherche" avec UsbFix stp ...

Poste le nouveau rapport obtenu ....



Dis moi aussi ou cela en est avec MSN ....


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 23 / 81
Gautier
 
Oui, je l'avais bien lancé en tant qu'admin.
Voici le 2ème rapport de recherche. Apparemment, les éléments infectés sont toujours là.
J'essaie MSN entre temps.
############################## | Usbfix 7.004 | [Recherche]

Utilisateur: Cynthia (Administrateur) # PC-DE-CYNTHIA [Hewlett-Packard HP Pavilion dv6500 Notebook PC]
Mis à jour le 04/06/10 par El Desaparecido / C_XX
Lancé à 22:29:01 | 06/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18904

Pare-feu Windows: Activé

RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 142 Go (81 Go libre(s) - 57%) [] # NTFS
D:\ -> Disque fixe # 7 Go (987 Mo libre(s) - 13%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Présent! C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000
Présent! C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-500
Présent! C:\$Recycle.Bin\S-1-5-21-992987720-3198020690-3964288938-500
Présent! D:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |
0
Réponse 24 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
dis moi pour MSN ...


et lorsque tu as fait la suppression avec UsbFix , tu as bien désactivé Avast ? ...

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 81
Gautier
 
Alors, MSN toujours pareil...

Oui, je l'ai désactivé, Usbfix ne s'ouvre pas autrement.
0
Réponse 26 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon ,



tu vas lancer la procédure de "suppression" avec UsbFix depuis le mode sans échec :


/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).


une fois la manipe faite , sauvegarde bien le rapport et redémarre le PC ( afin de retourner en mode normal ....


Poste moi alors ce rapport ....

0
Réponse 27 / 81
Gautier
 
############################## | Usbfix 7.004 | [Suppression]

Utilisateur: Cynthia (Administrateur) # PC-DE-CYNTHIA [Hewlett-Packard HP Pavilion dv6500 Notebook PC]
Mis à jour le 04/06/10 par El Desaparecido / C_XX
Lancé à 00:02:18 | 07/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18904


RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 142 Go (83 Go libre(s) - 59%) [] # NTFS
D:\ -> Disque fixe # 7 Go (987 Mo libre(s) - 13%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Non supprimé ! C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000
Non supprimé ! C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-500
Non supprimé ! C:\$Recycle.Bin\S-1-5-21-992987720-3198020690-3964288938-500
Non supprimé ! D:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[15/12/2007 - 16:28:13 | SHD ] C:\$RECYCLE.BIN
[07/08/2008 - 09:29:43 | D ] C:\3386d77e268f234a1e5e77bd
[24/06/2008 - 23:30:39 | D ] C:\780621596dba42d4e3
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[06/06/2010 - 21:58:44 | RASHD ] C:\Autorun.inf
[10/01/2010 - 18:47:34 | SHD ] C:\boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[05/08/2008 - 16:16:02 | D ] C:\d607fb39413e0d858045555f287c9e
[15/12/2007 - 16:14:10 | SHD ] C:\Documents and Settings
[26/07/2008 - 11:13:28 | SHD ] C:\found.000
[18/05/2007 - 04:23:21 | HD ] C:\HP
[18/05/2007 - 03:09:25 | D ] C:\Intel
[05/02/2010 - 23:41:06 | RASH | 0] C:\IO.SYS
[30/03/2007 - 13:06:52 | D ] C:\MCPP
[05/02/2010 - 23:41:06 | RASH | 0] C:\MSDOS.SYS
[18/05/2007 - 03:43:35 | RHD ] C:\MSOCache
[30/05/2010 - 23:49:23 | AD ] C:\Navilog1
[06/06/2010 - 23:59:32 | ASH | 2459627520] C:\pagefile.sys
[23/05/2009 - 22:47:04 | D ] C:\PerfLogs
[05/06/2010 - 09:46:20 | RD ] C:\Program Files
[05/06/2010 - 09:46:20 | HD ] C:\ProgramData
[11/10/2009 - 21:37:15 | A | 159] C:\Setup.log
[21/01/2008 - 20:57:39 | D ] C:\SwSetup
[06/06/2010 - 10:06:16 | SHD ] C:\System Volume Information
[21/01/2008 - 20:59:23 | HD ] C:\System.sav
[03/06/2008 - 20:44:46 | D ] C:\tmp
[07/06/2010 - 00:03:52 | D ] C:\UsbFix
[07/06/2010 - 00:08:16 | A | 1158] C:\Usbfix.txt
[06/06/2010 - 21:58:45 | A | 106423] C:\UsbFix_Upload_Me_PC-DE-CYNTHIA.zip
[24/06/2008 - 23:31:02 | RD ] C:\Users
[07/06/2010 - 00:00:40 | D ] C:\Windows
[15/12/2007 - 16:28:13 | SHD ] D:\$RECYCLE.BIN
[11/09/2005 - 17:18:54 | SH | 340] D:\AUTOMODE
[06/06/2010 - 21:58:44 | RASHD ] D:\Autorun.inf
[15/12/2007 - 16:25:53 | SH | 13] D:\BLOCK.RIN
[29/09/2007 - 04:47:45 | SHD ] D:\boot
[04/10/2006 - 01:02:44 | SH | 438328] D:\bootmgr
[03/11/2006 - 21:43:28 | SH | 117] D:\Desktop.ini
[10/09/2002 - 18:14:28 | SH | 8134] D:\Folder.htt
[25/06/2008 - 22:24:41 | SHD ] D:\HP
[25/06/2008 - 23:20:35 | ASH | 22] D:\HPCD.sys
[25/06/2008 - 23:04:32 | SH | 760] D:\MASTER.LOG
[26/06/2008 - 22:17:45 | RA | 528] D:\MediaID.bin
[26/06/2008 - 22:21:33 | D ] D:\PC-DE-CYNTHIA
[25/06/2008 - 23:20:35 | SHD ] D:\preload
[03/11/2005 - 17:19:52 | SH | 181736] D:\protect.ed
[25/06/2008 - 22:24:54 | RSH | 26] D:\RCBoot.sys
[29/09/2007 - 04:47:45 | RD ] D:\RECOVERY
[29/09/2007 - 04:47:45 | SHD ] D:\SOURCES
[26/06/2008 - 21:27:59 | SHD ] D:\System Volume Information
[29/09/2007 - 04:47:46 | SHD ] D:\Tools
[22/06/2008 - 22:32:05 | ASH | 14] D:\USER
[29/09/2007 - 04:47:45 | SHD ] D:\WINDOWS

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CYNTHIA.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
mouais ,

bizard qu'UsbFix n'arrive pas à faire cette suppression ... Je vois cela avec les concepteurs de l'outil et te tient au courant ...

Pour MSN avec cette session qui ne passe pas , tu as essayé en desactivant Avast pour voir ?
0
Gautier
 
Ok merci.
Tentative d'ouvrir MSN en ayant désactivé Avast échouée!
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

je n'ai pas encore eu de nouvelles des concepteurs ...

désinstalle et réinstalle MSN pour voir ...
0
Gautier
 
Ok, on attend donc.
J'ai désinstallé et réinstallé MSN (en ayant désactivé Avast pour voir) et rien y fait ! Vraiment incompréhensible. Autre info, je me suis connectée à MSN sur un autre poste (où MSN était installé) avec mon identifiant en question et tout s'est bien passé.
0
Réponse 28 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


il doit avoir encore une salté qui traine ....



fait ce qui suit stp :


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
* Ferme tes applications en cours ( ainsi que ton navigateur ) .
* DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
* Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------

Ensuite :
> Clique droit / "executer en tant qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes.
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...



0
Réponse 29 / 81
Gautier
 
Rapport de Combofix :
ComboFix 10-06-07.01 - Cynthia 07/06/2010 20:31:37.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1183 [GMT 2:00]
Lancé depuis: c:\users\Cynthia\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\QUAD Utilities
c:\program files\QUAD Utilities\QUAD Registry Cleaner\program.log
c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
c:\program files\QUAD Utilities\QUAD Registry Cleaner\Styles\Vista.cjstyles
c:\windows\TEMP\logishrd\LVPrcInj02.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-07 au 2010-06-07 ))))))))))))))))))))))))))))))))))))
.

2010-06-07 18:40 . 2010-06-07 18:40 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-06 19:58 . 2010-06-06 22:08 106423 ----a-w- C:\UsbFix_Upload_Me_PC-DE-CYNTHIA.zip
2010-06-05 13:42 . 2010-06-06 22:08 -------- d-----w- C:\UsbFix
2010-05-31 19:57 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-05-31 19:57 . 2010-06-05 07:46 -------- d-----w- c:\program files\Panda Security
2010-05-31 19:37 . 2010-06-05 07:46 -------- d-----w- c:\program files\Trend Micro
2010-05-31 19:30 . 2010-06-05 07:46 -------- d-----w- c:\program files\CCleaner
2010-05-31 17:50 . 2010-05-31 17:50 -------- d-----w- c:\users\Cynthia\AppData\Roaming\Malwarebytes
2010-05-31 17:50 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-31 17:49 . 2010-06-05 07:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-31 17:49 . 2010-05-31 17:49 -------- d-----w- c:\programdata\Malwarebytes
2010-05-31 17:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-30 21:36 . 2010-05-30 21:49 -------- d---a-w- C:\Navilog1
2010-05-30 21:36 . 2010-05-30 21:36 -------- d-----w- c:\program files\navilog1
2010-05-30 19:21 . 2010-06-05 07:46 -------- d-----w- c:\program files\ZHPDiag
2010-05-30 12:39 . 2010-05-30 12:53 -------- d-----w- c:\users\Cynthia\AppData\Roaming\Orange
2010-05-30 10:57 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-30 09:35 . 2010-05-30 09:35 -------- d-----w- c:\users\Cynthia\AppData\Roaming\Uniblue
2010-05-30 09:35 . 2010-05-30 09:35 -------- d-----w- c:\program files\Uniblue
2010-05-12 05:54 . 2010-01-29 15:40 738816 ----a-w- c:\windows\system32\inetcomm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-07 18:44 . 2009-10-12 05:27 32061 ----a-w- c:\programdata\nvModes.dat
2010-06-07 11:52 . 2009-10-11 21:07 -------- d-----w- c:\programdata\NVIDIA
2010-06-07 11:45 . 2008-01-04 19:40 -------- d-----w- c:\users\Cynthia\AppData\Roaming\Skype
2010-06-07 11:09 . 2008-02-23 14:03 -------- d-----w- c:\program files\Windows Live
2010-06-06 18:26 . 2008-12-19 07:15 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-31 21:16 . 2008-03-29 13:44 -------- d-----w- c:\program files\Common Files\Adobe
2010-05-31 21:10 . 2007-05-18 02:22 -------- d-----w- c:\program files\Java
2010-05-31 21:10 . 2007-05-18 02:22 -------- d-----w- c:\program files\Common Files\Java
2010-05-30 16:50 . 2010-05-30 16:50 0 ----a-w- c:\users\Cynthia\AppData\Roaming\wklnhst.dat
2010-05-30 13:12 . 2008-12-19 07:10 -------- d-----w- c:\program files\Microsoft
2010-05-30 12:53 . 2007-12-15 18:20 -------- d-----w- c:\program files\Orange
2010-05-30 02:17 . 2008-01-02 18:45 8268 ----a-w- c:\users\Cynthia\AppData\Local\d3d9caps.dat
2010-05-29 15:20 . 2009-03-07 09:10 -------- d-----w- c:\program files\Microsoft Sync Framework(93)
2010-05-29 15:20 . 2009-03-07 09:08 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition(92)
2010-05-13 01:18 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-13 01:01 . 2007-05-18 01:43 -------- d-----w- c:\programdata\Microsoft Help
2010-05-12 09:21 . 2009-10-02 16:56 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-08 14:37 . 2006-11-02 15:48 681488 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-08 14:37 . 2006-11-02 15:48 128968 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-02 07:45 . 2010-05-02 07:44 -------- d-----w- c:\program files\iTunes
2010-05-02 07:44 . 2010-05-02 07:44 -------- d-----w- c:\program files\iPod
2010-05-02 07:44 . 2008-07-08 20:59 -------- d-----w- c:\program files\Common Files\Apple
2010-05-02 07:41 . 2010-05-02 07:41 -------- d-----w- c:\program files\Bonjour
2010-04-23 19:33 . 2008-07-08 21:04 -------- d-----w- c:\users\Cynthia\AppData\Roaming\Apple Computer
2010-04-18 19:29 . 2010-04-18 19:28 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-04-18 19:25 . 2010-04-18 19:25 -------- d-----w- c:\program files\QuickTime
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-12 15:29 . 2010-05-04 10:44 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2008-06-25 21:20 . 2008-06-25 21:20 22 --sha-w- c:\windows\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"orangeinside"="c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\one\OrangeInside.exe" [2010-03-08 813056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-26 1458176]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 13826664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^Cynthia^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 - Capture d'écran et lancement.lnk]
path=c:\users\Cynthia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 - Capture d'écran et lancement.lnk
backup=c:\windows\pss\OneNote 2007 - Capture d'écran et lancement.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-04-28 13:06 142120 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2008-03-28 00:05 1045800 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):81,1e,52,7f,14,92,ca,01

R1 fsvista;F-Secure Vista Support Driver; [x]
R3 athrusb6;Atheros Wireless LAN USB device driver 6 Series;c:\windows\system32\DRIVERS\athru6.sys [2007-05-16 871936]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 PCAMPR4;PCAMPR4 NDIS Protocol Driver;c:\windows\system32\PCAMPR4.SYS [x]
R3 PCANDIS4;PCANDIS4 NDIS Protocol Driver;c:\windows\system32\PCANDIS4.SYS [x]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-12-20 217600]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-30 28552]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-02-11 51792]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-06-06 c:\windows\Tasks\User_Feed_Synchronization-{E2718649-C206-45BF-83B3-AC62F4886EE7}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: ajouter cette page à vos favoris Orange - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: envoyer le texte sélectionné par sms - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: envoyer par sms - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: envoyer un mail - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: orange.fr - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: rechercher le texte sélectionné - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: traduire la page - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\translate_html\translate.html
IE: traduire le texte sélectionné - c:\users\Cynthia\AppData\Roaming\Orange\OrangeInside\src\translateSelectedText_html\translateSelectedText.html
Trusted Zone: orange.fr\logicielsgratuits
Trusted Zone: orange.fr\www
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-LogitechCommunicationsManager - c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
MSConfigStartUp-LogitechQuickCamRibbon - c:\program files\Logitech\QuickCam\Quickcam.exe
MSConfigStartUp-ORAHSSSessionManager - c:\program files\Orange\SessionManager\SessionManager.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-07 20:48
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\conime.exe
c:\program files\Alwil Software\Avast5\AvastUI.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Common Files\Logishrd\LQCVFX\COCIManager.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-06-07 20:56:16 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-07 18:56

Avant-CF: 86 019 592 192 octets libres
Après-CF: 85 979 295 744 octets libres

- - End Of File - - C87BD38C647BF1E77F0DA687ABAE225B
0
Réponse 30 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....



la suite :


1- Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
C:\UsbFix_Upload_Me_PC-DE-CYNTHIA.zip 
c:\users\Cynthia\AppData\Roaming\wklnhst.dat
C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000
C:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-500 
C:\$Recycle.Bin\S-1-5-21-992987720-3198020690-3964288938-500 
D:\$Recycle.Bin\S-1-5-21-3988022866-3560060487-553048754-1000

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

Folder:: 
C:\Navilog1 
c:\program files\navilog1
 
Driver:: 
fsvista

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]  
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]




* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



0
Réponse 31 / 81
Gautier
 
Ca ne fonctionne pas. Lorsque j'ai fait le "glisser" du doc texte CFScript sur le Combofix, la fenêtre "administrateur" s'ouvre (comme pour la première manip.) puis j'ai une fenêtre d'erreur qui s'affiche : l'interpréteur de commandes a cessé de fonctionner. Le programme va s'arrêter...Et la fenêtre se ferme.
Que dois-je faire ?
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


Que dois-je faire ?


vérifie que l'UAC soit bien désactivé :


*Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517




Puis recommence la manipe avec le CFScript ....
0
Gautier
 
Désolée mais il est déjà désactivé...
J'ai essayé deux fois la manip avec le CFScript mais sans effet.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
hello,


1- désinstalle correctement ComboFix ainsi :

Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

ComboFix /uninstall

( laisse l'espace entre "Combofix" et "/uninstall" )

-> Valide .

l'outil se relancera et se supprimera de lui-même ....

=================================

2- retélécharge le sur ton bureau ici > http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Puis reprends la manipe avec le script ...

note : il faut que le fichier texte est EXACTEMENT ce nom > CFScript.txt


poste moi le rapport obtenu stp ...


Si cela m**de encore , fait moi parvenir une copie d'écran du message d'erreur ( aide toi de cette astuce pour le faire > https://www.commentcamarche.net/informatique/windows/149-faire-des-captures-d-ecran-avec-windows-10/ )
0
Gautier
 
Ca ne marche toujours pas : voici la copie écrant :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijkysdAL6.jpg
0
Réponse 32 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
mouais ...


lance Combofix seul pour voir ... dis moi si tu as le même message d'erreur ...


0
Réponse 33 / 81
Gautier
 
Oui, j'ai eu le même message d'erreur...

(élément nouveau, lorsque je l'ai ouvert seul, une mise à jour s'est installée).
0
Réponse 34 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
autre test :


> Utilise la commande "Exécuter" .
Va dans "Démarrer" >"tous les programmes" > "accessoires" > commande "Executer" .
Ou appuie simultanement sur la touche "Windows" et sur R > la boite de commande "Executer" va s'ouvrir...

-->là tu tapes : cmd et valide par "ok"

dis moi si tu as une fenêtre noir ( type DOS ) qui apparait , ou si tu as le même message d'erreur ....




0
Réponse 35 / 81
Gautier
 
C'est la fenêtre noire qui apparaît !
0
Réponse 36 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
oki,


tu vas faire la manipe du CFSript en mode sans échec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...



une fois le scan terminé , poste moi le rapport obtenu ... ( si le PC n'as pas rebooter en fin de procédure , redémarre manuellement pour retourné en mode normal ) ...






0
Réponse 37 / 81
Gautier
 
J'ai l'impression qu'il n'a pas généré de rapport. Je ne vois rien sur le bureau ni sur le disque C ??
0
Réponse 38 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
regarde ici > C:\Combofix.txt


copie/colle le contenu de ce rapport ....

0
Réponse 39 / 81
Gautier
 
Justement, j'ai pas !!
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
et C:\Log.txt

?
0
Gautier
 
Pas mieux !!
0
Réponse 40 / 81
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
ecoute ,


l'outil a bien fait le scan ?



1- relance une recherhce avec UsbFix ... poste moi le nouveau rapport obtenu pour analyse ....


=========================


2- Refais un scan ZHPDiag "en tant qu'admin..." .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses