Sujet Précédent Sujet Suivant

Infection par Antimalware Doctor

Résolu/Fermé
Matoms - 31 mai 2010 à 23:08
 Matoms - 4 juin 2010 à 00:51
Bonjour,

Je suis un peu gêné, car j'ai un rapport à rendre mercredi et je viens de chopper ce "Antimalwre Doctor" qui semble-t-il ne veut pas de bien et ne me facilite pas le travail...
J'ai un nombre incroyable de fenêtres de ce logiciel qui s'ouvrent pour me dire que mon PC est infecté avant que je tue le process avec Rkill, mais ça je l'ai compris tout seul -_-
Et pas moyen de désinstaller cette daube !
Je possède Antivir combiné à Zone Alarm (pare feu). J'ai fait un scan complet avec Antivir et j'ai supprimé des DLLs et des fichiers du dossier tmp qui étaient suspects, mais la menace est toujours bien présente.
Je viens également de mettre Mbam à jour, et je vais faire un scan du PC (après un coup de rkill) pendant la nuit.

Quelqu'un pourrait-il me venir en aide pour la suite svp ? Car c'est la première fois que je réalise ce style d'opérations et je ne sais pas quoi faire d'autre... log HijackThis, autres ?

Merci beaucoup pour votre aide ;)
Thomas

A voir également:
  • Infection par Antimalware Doctor
  • Pc doctor - Télécharger - Optimisation
  • Disk doctor - Télécharger - Récupération de données
  • Car doctor - Télécharger - Vie quotidienne
  • Antimalware - Télécharger - Antivirus & Antimalwares
  • Spyware doctor - Télécharger - Antivirus & Antimalwares

20 réponses

Réponse 1 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 1/06/2010 à 01:32
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Utilise à nouveau Rkill pour stopper l'infection, puis utilise Combofix :


/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Si tu as bien fait un scan avec MalwareBytes comme indiqué, poste aussi son rapport stp (si tu l'as déjà fermé, tu le retrouveras dans l'onglet "Rapports/logs")


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Réponse 2 / 20
AnSo
1 juin 2010 à 04:50
Bonjour,
J'ai un problème semblable. J'ai donc fait une analyse avec combofix tel que tu l'as suggéré anthony.
Voici donc le rapport:
omboFix 10-05-31.02 - Anne-Sophie 2010-05-31 22:25:34.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.2.1036.18.3583.2415 [GMT -4:00]
Lancé depuis: c:\users\Anne-Sophie\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Anne-Sophie\AppData\Roaming\27ACC2F8DEC047B6FD7BBA4EE5DC4C5E
c:\users\Anne-Sophie\AppData\Roaming\27ACC2F8DEC047B6FD7BBA4EE5DC4C5E\enemies-names.txt
c:\users\Anne-Sophie\AppData\Roaming\27ACC2F8DEC047B6FD7BBA4EE5DC4C5E\gotnewupdate000.exe
c:\users\Anne-Sophie\AppData\Roaming\27ACC2F8DEC047B6FD7BBA4EE5DC4C5E\local.ini
c:\users\Anne-Sophie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
c:\users\Anne-Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk
c:\users\Anne-Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor
c:\users\Anne-Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk
c:\users\Anne-Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Uninstall.lnk
c:\users\Anne-Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk
c:\users\Anne-Sophie\Desktop\Antimalware Doctor.lnk

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-01 au 2010-06-01 ))))))))))))))))))))))))))))))))))))
.

2010-06-01 02:32 . 2010-06-01 02:36 -------- d-----w- c:\users\Anne-Sophie\AppData\Local\temp
2010-06-01 02:32 . 2010-06-01 02:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-26 01:11 . 2010-04-23 07:13 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-12 13:57 . 2010-03-04 07:33 740864 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-11 13:28 . 2010-05-11 13:28 -------- d-----w- c:\programdata\McAfee Security Scan
2010-05-11 13:28 . 2010-05-11 13:28 -------- d-----w- c:\programdata\McAfee
2010-05-11 13:28 . 2010-05-18 14:20 -------- d-----w- c:\program files\McAfee Security Scan

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-01 02:34 . 2009-06-24 09:34 45056 ----a-w- c:\windows\system32\acovcnt.exe
2010-05-19 19:00 . 2010-05-31 12:34 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb1DBB.tmp.exe
2010-05-18 14:42 . 2009-08-26 08:37 704856 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-18 14:42 . 2009-08-26 08:37 132546 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-13 22:09 . 2009-07-14 02:37 -------- d-----w- c:\program files\Windows Mail
2010-05-13 13:05 . 2009-06-24 08:49 -------- d-----w- c:\programdata\Microsoft Help
2010-05-12 19:28 . 2009-06-24 09:04 -------- d-----w- c:\program files\Google
2010-05-10 14:01 . 2010-01-07 03:59 -------- d-----w- c:\users\Anne-Sophie\AppData\Roaming\Skype
2010-05-10 14:00 . 2010-01-07 04:00 -------- d-----w- c:\users\Anne-Sophie\AppData\Roaming\skypePM
2010-04-21 12:57 . 2010-03-16 12:49 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-04-19 00:42 . 2010-01-23 02:27 114256 ----a-w- c:\users\Anne-Sophie\AppData\Local\GDIPFONTCACHEV1.DAT
2010-04-17 13:29 . 2009-07-14 04:52 -------- d-----w- c:\program files\Windows Sidebar
2010-04-17 13:29 . 2009-07-14 07:49 -------- d-----w- c:\program files\Windows Journal
2010-04-17 13:29 . 2009-07-14 04:52 -------- d-----w- c:\program files\Windows Photo Viewer
2010-04-17 13:29 . 2009-07-14 04:52 -------- d-----w- c:\program files\Windows Defender
2010-03-30 21:18 . 2010-03-30 21:18 56 ---ha-w- c:\programdata\ezsidmv.dat
2010-03-26 14:33 . 2010-05-13 03:49 1496064 ----a-w- c:\users\Anne-Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\h4kxum9f.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 14:33 . 2010-05-13 03:49 43008 ----a-w- c:\users\Anne-Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\h4kxum9f.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 14:33 . 2010-05-13 03:49 339456 ----a-w- c:\users\Anne-Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\h4kxum9f.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 14:32 . 2010-05-13 03:49 346112 ----a-w- c:\users\Anne-Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\h4kxum9f.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-16 12:49 . 2010-03-16 12:49 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-16 12:49 . 2010-03-16 12:49 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-16 12:49 . 2010-03-16 12:49 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-08 21:33 . 2010-04-14 13:03 427520 ----a-w- c:\windows\system32\vbscript.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-04-19 14:25 2117704 ----a-w- c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 00:08 143360 ----a-w- c:\program files\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2009-07-14 144384]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"SRS Premium Sound"="c:\program files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" [2009-04-07 3405048]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-24 39408]
"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2006-09-11 439992]
"WeatherEye"="c:\users\Anne-Sophie\AppData\Local\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2009-10-27 718232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-15 13736480]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-03-30 424864]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-03-24 7289376]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-03-24 1833504]
"ACMON"="c:\program files\ASUS\Splendid\ACMON.exe" [2008-10-01 851968]
"ADSMTray"="c:\program files\ASUS\ASUS Data Security Manager\ADSMTray.exe" [2008-04-01 266240]
"AmIcoSinglun"="c:\program files\AmIcoSingLun\AmIcoSinglun.exe" [2008-09-30 237568]
"ASUS Camera ScreenSaver"="c:\windows\AsScrProlog.exe" [2009-06-24 47672]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMedia.exe" [2009-04-07 159744]
"ATKOSD2"="c:\program files\ASUS\ATKOSD2\ATKOSD2.exe" [2009-03-04 8392704]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2008-07-19 104936]
"HControlUser"="c:\program files\ASUS\ATK Hotkey\HControlUser.exe" [2008-08-18 98304]
"P2Go_Menu"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-06-14 210216]
"Wireless Console 3"="c:\program files\ASUS\Wireless Console 3\wcourier.exe" [2009-02-06 1593344]
"Microsoft Pinyin IME Migration"="c:\progra~1\COMMON~1\MICROS~1\IME12\IMESC\IMSCMIG.EXE" [2008-11-04 33128]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-23 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2006-09-11 439992]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
FancyStart daemon.lnk - c:\windows\Installer\{A9FEB6D7-9C52-49FC-B956-7AB275B78890}\_5598CE641C54B66A23693F.exe [2009-6-24 12862]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 gupdate1ca8f4dbdf95400;Service Google Update (gupdate1ca8f4dbdf95400);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 133104]
R3 A5AGU;D-Link Wireless LAN 802.11 USB device driver;c:\windows\system32\DRIVERS\AGUx86.sys [2007-10-08 892416]
R3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [2010-04-19 430152]
R3 CRFILTER;USB Mass Storage Filter;c:\windows\system32\DRIVERS\CRFILTER.sys [2008-04-07 6656]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSGB6.sys [2009-07-13 48128]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-03-29 1343400]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-16 216200]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-04-21 242896]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-16 308064]
S2 SRS_VolSync_Service;SRS Volume Sync Service;c:\program files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe [2009-04-07 70880]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2009-03-30 129536]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - eeCtrl
*Deregistered* - EraserUtilRebootDrv
*Deregistered* - IDSVix86
*Deregistered* - NAVENG
*Deregistered* - NAVEX15
*Deregistered* - SymEFA
*Deregistered* - SymEvent
*Deregistered* - SYMFW
*Deregistered* - SYMNDISV
*Deregistered* - SYMTDI
.
Contenu du dossier 'Tâches planifiées'

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 03:58]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 03:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=ASUS&bmod=ASUS
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=ASUS&bmod=ASUS
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: {2AB1C516-D654-4D3A-B3D6-2185BBCEB409} - hxxps://vpn-externe1.ulaval.ca/+CSCOL+/relayp.cab
FF - ProfilePath - c:\users\Anne-Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\h4kxum9f.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo! Search
FF - prefs.js: keyword.URL - hxxp://cf.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_cf&p=
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\program files\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - component: c:\users\Anne-Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\h4kxum9f.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Anne-Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\h4kxum9f.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
HKCU-Run-gotnewupdate000.exe - c:\users\Anne-Sophie\AppData\Roaming\27ACC2F8DEC047B6FD7BBA4EE5DC4C5E\gotnewupdate000.exe
HKLM-Run-Setwallpaper - c:\programdata\SetWallpaper.cmd


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(1908)
c:\program files\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt.dll


Je me demandais ce que je devais faire maintenant...
Merci!
Anne-Sophie
0
Réponse 3 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 juin 2010 à 15:56
Bonjour AnSo,

Ton rapport montre effectivement une infection, mais tu es ici dans le sujet de quelqu'un d'autre. Pour ne pas tout mélanger, merci d'ouvrir ton propre sujet (pour ça, clique ici)

0
Réponse 4 / 20
Matoms
1 juin 2010 à 20:32
Salut et merci pour ta réponse !

J n'arrivais plus à accéder au web avant de faire la manip avec combofix, du coup je n'ai pas réussi à installer la console windows. Dois-je refaire la manipulation mainteant que j'ai retrouvé mon accès ?

Voici le rapport :



ComboFix 10-05-31.02 - Matoms 01/06/2010 20:17:18.2.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.3327.2803 [GMT 2:00]
Lancé depuis: c:\documents and settings\Matoms\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Matoms\Application Data\A4CF34EA0885A222DDD0ABB1CBBD25C7
c:\documents and settings\Matoms\Application Data\A4CF34EA0885A222DDD0ABB1CBBD25C7\enemies-names.txt
c:\documents and settings\Matoms\Application Data\A4CF34EA0885A222DDD0ABB1CBBD25C7\gotnewupdate000.exe
c:\documents and settings\Matoms\Application Data\A4CF34EA0885A222DDD0ABB1CBBD25C7\local.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-01 au 2010-06-01 ))))))))))))))))))))))))))))))))))))
.

2010-05-31 17:53 . 2010-05-31 17:53 -------- d-----w- c:\documents and settings\Matoms\Application Data\Sky-Banners
2010-05-31 17:53 . 2010-05-31 17:53 50981 ----a-w- c:\windows\system32\hurhztjjcx.exe
2010-05-31 17:53 . 2010-05-31 17:53 -------- d-----w- c:\program files\$NtUninstallWTF1012$
2010-05-24 16:31 . 2010-05-24 16:31 40633 ----a-w- c:\windows\system32\kapsrhhj.exe
2010-05-18 08:05 . 2010-05-18 08:05 -------- d-----w- c:\program files\NCH Software
2010-05-18 08:02 . 2010-05-18 08:02 -------- d-----w- c:\documents and settings\Matoms\Application Data\NCH Swift Sound
2010-05-17 19:29 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-01 18:24 . 2009-05-14 17:22 67895328 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-06-01 05:46 . 2009-05-14 17:22 914600 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-06-01 05:43 . 2010-06-01 05:45 372224 ----a-w- c:\windows\Internet Logs\xDBA6.tmp
2010-05-31 18:18 . 2009-05-14 06:32 -------- d-----w- c:\documents and settings\Matoms\Application Data\BitTorrent
2010-05-30 19:52 . 2009-05-14 16:09 -------- d-----w- c:\documents and settings\Matoms\Application Data\dvdcss
2010-05-30 19:09 . 2009-06-24 22:03 219128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-05-30 18:47 . 2009-06-24 22:04 138592 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-05-25 05:28 . 2009-05-27 17:58 -------- d-----w- c:\documents and settings\Matoms\Application Data\LimeWire
2010-05-20 11:53 . 2009-05-14 06:08 -------- d-----w- c:\program files\Opera
2010-05-18 07:06 . 2009-05-23 08:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-18 02:24 . 2009-06-29 18:19 -------- d-----w- c:\program files\Google
2010-05-17 17:05 . 2009-05-14 17:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-09 21:41 . 2010-05-10 05:25 54784 ----a-w- c:\windows\Internet Logs\xDBA4.tmp
2010-05-09 21:41 . 2010-05-10 05:25 1713664 ----a-w- c:\windows\Internet Logs\xDBA5.tmp
2010-05-09 19:46 . 2009-11-22 22:59 -------- d-----w- c:\program files\Call of Duty Modern Warfare 2
2010-05-06 21:55 . 2010-05-07 05:41 129536 ----a-w- c:\windows\Internet Logs\xDBA3.tmp
2010-04-29 22:04 . 2010-04-30 05:19 38400 ----a-w- c:\windows\Internet Logs\xDBA1.tmp
2010-04-29 22:04 . 2010-04-30 05:19 1708544 ----a-w- c:\windows\Internet Logs\xDBA2.tmp
2010-04-29 13:39 . 2009-05-23 08:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-05-23 08:22 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 23:46 . 2010-04-29 06:23 1708032 ----a-w- c:\windows\Internet Logs\xDBA0.tmp
2010-04-28 23:46 . 2010-04-29 06:23 66560 ----a-w- c:\windows\Internet Logs\xDB9F.tmp
2010-04-26 22:38 . 2010-04-27 05:23 158208 ----a-w- c:\windows\Internet Logs\xDB9E.tmp
2010-04-25 22:17 . 2010-04-25 22:17 -------- d-----w- c:\program files\TCIEmpreintes
2010-04-25 22:17 . 2010-04-25 22:17 -------- d-----w- c:\program files\TCI4
2010-04-25 20:57 . 2009-07-01 16:07 -------- d-----w- c:\program files\TeamSpeak3
2010-04-06 21:59 . 2010-04-07 05:12 1698816 ----a-w- c:\windows\Internet Logs\xDB9D.tmp
2010-04-06 21:59 . 2010-04-07 05:12 96768 ----a-w- c:\windows\Internet Logs\xDB9C.tmp
2010-04-02 05:20 . 2009-10-08 14:21 4722455 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-03-31 21:44 . 2010-04-01 05:18 202752 ----a-w- c:\windows\Internet Logs\xDB9A.tmp
2010-03-31 21:44 . 2010-04-01 05:18 1693184 ----a-w- c:\windows\Internet Logs\xDB9B.tmp
2010-03-22 23:38 . 2001-08-24 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-22 23:38 . 2001-08-24 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-18 23:15 . 2010-03-19 06:25 119296 ----a-w- c:\windows\Internet Logs\xDB98.tmp
2010-03-18 23:15 . 2010-03-19 06:25 1682944 ----a-w- c:\windows\Internet Logs\xDB99.tmp
2010-03-12 16:24 . 2010-03-14 18:46 42496 ----a-w- c:\windows\Internet Logs\xDB96.tmp
2010-03-12 16:24 . 2010-03-14 18:46 1679872 ----a-w- c:\windows\Internet Logs\xDB97.tmp
2010-03-11 23:18 . 2010-03-12 06:08 1678848 ----a-w- c:\windows\Internet Logs\xDB95.tmp
2010-03-11 23:18 . 2010-03-12 06:08 114176 ----a-w- c:\windows\Internet Logs\xDB94.tmp
2010-03-10 06:16 . 2004-08-03 22:54 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 22:15 . 2010-03-10 06:56 80384 ----a-w- c:\windows\Internet Logs\xDB92.tmp
2010-03-09 22:15 . 2010-03-10 06:56 1669120 ----a-w- c:\windows\Internet Logs\xDB93.tmp
2010-03-06 13:22 . 2010-03-07 18:36 47616 ----a-w- c:\windows\Internet Logs\xDB90.tmp
2010-03-06 13:22 . 2010-03-07 18:36 1662464 ----a-w- c:\windows\Internet Logs\xDB91.tmp
2010-03-04 22:26 . 2010-03-05 06:14 71680 ----a-w- c:\windows\Internet Logs\xDB8E.tmp
2010-03-04 22:26 . 2010-03-05 06:14 1661440 ----a-w- c:\windows\Internet Logs\xDB8F.tmp
2006-01-23 08:32 . 2006-01-23 08:32 131072 ----a-w- c:\program files\internet explorer\plugins\LV80ActiveXControl.dll
2006-06-07 12:40 . 2006-06-07 12:40 132848 ----a-w- c:\program files\internet explorer\plugins\LV82ActiveXControl.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-01-07 1468296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"MChk"="c:\windows\system32\kapsrhhj.exe" [2010-05-24 40633]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WiFi Station pour Livebox.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WiFi Station pour Livebox.lnk
backup=c:\windows\pss\WiFi Station pour Livebox.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 05:58 611712 ----a-w- c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2009-05-14 06:32 321344 ----a-w- c:\program files\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-04-01 09:39 486856 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus Photo R320 Series]
2004-12-16 03:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATI9XE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype]
2009-01-07 16:48 1496968 ----a-w- c:\program files\Microsoft IntelliType Pro\itype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-04-30 22:30 13750272 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-03-26 14:14 16859136 ----a-w- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-27 17:57 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-06-29 18:19 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMAAD]
2007-02-16 16:41 110592 ----a-w- c:\program files\Sony\WALKMAN Launcher\WMAAD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [17/05/2010 21:29 28552]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24/04/2007 17:52 16688]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/05/2009 08:06 108289]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/05/2009 19:02 717296]
S2 gupdate1c9f8e895dd6d2c;Service Google Update (gupdate1c9f8e895dd6d2c);c:\program files\Google\Update\GoogleUpdate.exe [29/06/2009 20:23 133104]
S3 ICScsiSV;Image Converter SCSI Service;c:\program files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe [10/08/2009 21:43 75952]
S3 IcVzMonLauncher;IcVzMonLauncher;c:\program files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe [10/08/2009 21:43 67760]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [17/12/2009 20:00 243056]
S3 USB18PRG;mikroElektronika USB18F Device (x86 Platform);c:\windows\system32\drivers\USB18PRG.sys [14/05/2009 09:25 46080]
.
Contenu du dossier 'Tâches planifiées'

2010-06-01 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-29 18:19]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-29 18:23]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-29 18:23]

2010-06-01 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
IE: Transfert par Image Converter 3 - c:\program files\Sony\IMAGE CONVERTER 3\menu.htm
FF - ProfilePath - c:\documents and settings\Matoms\Application Data\Mozilla\Firefox\Profiles\wprapkot.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPLV80Win32.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPLV82Win32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{79D78F95-E677-479B-8DE5-862C038674E8} - (no file)
BHO-{AE63A054-E3F8-477B-B9C3-1C3423810593} - (no file)
BHO-{F7460F28-6DCB-12E9-B7A1-3562271D17EF} - (no file)
HKCU-Run-gotnewupdate000.exe - c:\documents and settings\Matoms\Application Data\A4CF34EA0885A222DDD0ABB1CBBD25C7\gotnewupdate000.exe
HKLM-Run-skb - unsnkafy.dll
AddRemove-HijackThis - i:\programmes\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-01 20:23
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Heure de fin: 2010-06-01 20:26:02
ComboFix-quarantined-files.txt 2010-06-01 18:25

Avant-CF: 21 329 678 336 octets libres
Après-CF: 21 445 865 472 octets libres

- - End Of File - - 4D484C96CC10BCB0C1259AE89367D27A




Merci beaucoup !
Matom
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 juin 2010 à 21:09
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Matoms, il n'est pas transposable sur un autre ordinateur !

* Télécharge ce dossier Matoms.zip
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

0
Réponse 6 / 20
Matoms
1 juin 2010 à 21:39
Salut !

Voila le rapport, apparemment tout s'est bien déroulé, j'ai même réussi à installer la console microsoft ;)
Voici le rapport :

ComboFix 10-06-01.01 - Matoms 01/06/2010 21:22:03.3.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.3327.2467 [GMT 2:00]
Lancé depuis: c:\documents and settings\Matoms\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Matoms\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"c:\windows\system32\hurhztjjcx.exe"
"c:\windows\system32\kapsrhhj.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Matoms\Application Data\Sky-Banners
c:\documents and settings\Matoms\Application Data\Sky-Banners\skb\log.xml
c:\program files\$NtUninstallWTF1012$
c:\program files\$NtUninstallWTF1012$\elUninstall.exe
c:\windows\system32\hurhztjjcx.exe
c:\windows\system32\kapsrhhj.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-01 au 2010-06-01 ))))))))))))))))))))))))))))))))))))
.

2010-05-18 08:05 . 2010-05-18 08:05 -------- d-----w- c:\program files\NCH Software
2010-05-18 08:02 . 2010-05-18 08:02 -------- d-----w- c:\documents and settings\Matoms\Application Data\NCH Swift Sound
2010-05-17 19:29 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-01 19:30 . 2009-05-14 17:22 68069152 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-06-01 19:26 . 2009-10-08 14:21 6210096 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-06-01 19:25 . 2009-05-14 17:22 917792 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-06-01 05:43 . 2010-06-01 05:45 372224 ----a-w- c:\windows\Internet Logs\xDBA6.tmp
2010-05-31 18:18 . 2009-05-14 06:32 -------- d-----w- c:\documents and settings\Matoms\Application Data\BitTorrent
2010-05-30 19:52 . 2009-05-14 16:09 -------- d-----w- c:\documents and settings\Matoms\Application Data\dvdcss
2010-05-30 19:09 . 2009-06-24 22:03 219128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-05-30 18:47 . 2009-06-24 22:04 138592 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-05-25 05:28 . 2009-05-27 17:58 -------- d-----w- c:\documents and settings\Matoms\Application Data\LimeWire
2010-05-20 11:53 . 2009-05-14 06:08 -------- d-----w- c:\program files\Opera
2010-05-18 07:06 . 2009-05-23 08:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-18 02:24 . 2009-06-29 18:19 -------- d-----w- c:\program files\Google
2010-05-17 17:05 . 2009-05-14 17:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-09 21:41 . 2010-05-10 05:25 54784 ----a-w- c:\windows\Internet Logs\xDBA4.tmp
2010-05-09 21:41 . 2010-05-10 05:25 1713664 ----a-w- c:\windows\Internet Logs\xDBA5.tmp
2010-05-09 19:46 . 2009-11-22 22:59 -------- d-----w- c:\program files\Call of Duty Modern Warfare 2
2010-05-06 21:55 . 2010-05-07 05:41 129536 ----a-w- c:\windows\Internet Logs\xDBA3.tmp
2010-04-29 22:04 . 2010-04-30 05:19 38400 ----a-w- c:\windows\Internet Logs\xDBA1.tmp
2010-04-29 22:04 . 2010-04-30 05:19 1708544 ----a-w- c:\windows\Internet Logs\xDBA2.tmp
2010-04-29 13:39 . 2009-05-23 08:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-05-23 08:22 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 23:46 . 2010-04-29 06:23 1708032 ----a-w- c:\windows\Internet Logs\xDBA0.tmp
2010-04-28 23:46 . 2010-04-29 06:23 66560 ----a-w- c:\windows\Internet Logs\xDB9F.tmp
2010-04-26 22:38 . 2010-04-27 05:23 158208 ----a-w- c:\windows\Internet Logs\xDB9E.tmp
2010-04-25 22:17 . 2010-04-25 22:17 -------- d-----w- c:\program files\TCIEmpreintes
2010-04-25 22:17 . 2010-04-25 22:17 -------- d-----w- c:\program files\TCI4
2010-04-25 20:57 . 2009-07-01 16:07 -------- d-----w- c:\program files\TeamSpeak3
2010-04-06 21:59 . 2010-04-07 05:12 1698816 ----a-w- c:\windows\Internet Logs\xDB9D.tmp
2010-04-06 21:59 . 2010-04-07 05:12 96768 ----a-w- c:\windows\Internet Logs\xDB9C.tmp
2010-03-31 21:44 . 2010-04-01 05:18 202752 ----a-w- c:\windows\Internet Logs\xDB9A.tmp
2010-03-31 21:44 . 2010-04-01 05:18 1693184 ----a-w- c:\windows\Internet Logs\xDB9B.tmp
2010-03-22 23:38 . 2001-08-24 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-22 23:38 . 2001-08-24 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-18 23:15 . 2010-03-19 06:25 119296 ----a-w- c:\windows\Internet Logs\xDB98.tmp
2010-03-18 23:15 . 2010-03-19 06:25 1682944 ----a-w- c:\windows\Internet Logs\xDB99.tmp
2010-03-12 16:24 . 2010-03-14 18:46 42496 ----a-w- c:\windows\Internet Logs\xDB96.tmp
2010-03-12 16:24 . 2010-03-14 18:46 1679872 ----a-w- c:\windows\Internet Logs\xDB97.tmp
2010-03-11 23:18 . 2010-03-12 06:08 1678848 ----a-w- c:\windows\Internet Logs\xDB95.tmp
2010-03-11 23:18 . 2010-03-12 06:08 114176 ----a-w- c:\windows\Internet Logs\xDB94.tmp
2010-03-10 06:16 . 2004-08-03 22:54 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 22:15 . 2010-03-10 06:56 80384 ----a-w- c:\windows\Internet Logs\xDB92.tmp
2010-03-09 22:15 . 2010-03-10 06:56 1669120 ----a-w- c:\windows\Internet Logs\xDB93.tmp
2010-03-06 13:22 . 2010-03-07 18:36 47616 ----a-w- c:\windows\Internet Logs\xDB90.tmp
2010-03-06 13:22 . 2010-03-07 18:36 1662464 ----a-w- c:\windows\Internet Logs\xDB91.tmp
2010-03-04 22:26 . 2010-03-05 06:14 71680 ----a-w- c:\windows\Internet Logs\xDB8E.tmp
2010-03-04 22:26 . 2010-03-05 06:14 1661440 ----a-w- c:\windows\Internet Logs\xDB8F.tmp
2006-01-23 08:32 . 2006-01-23 08:32 131072 ----a-w- c:\program files\internet explorer\plugins\LV80ActiveXControl.dll
2006-06-07 12:40 . 2006-06-07 12:40 132848 ----a-w- c:\program files\internet explorer\plugins\LV82ActiveXControl.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-01-07 1468296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WiFi Station pour Livebox.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WiFi Station pour Livebox.lnk
backup=c:\windows\pss\WiFi Station pour Livebox.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 05:58 611712 ----a-w- c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2009-05-14 06:32 321344 ----a-w- c:\program files\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-04-01 09:39 486856 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus Photo R320 Series]
2004-12-16 03:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATI9XE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype]
2009-01-07 16:48 1496968 ----a-w- c:\program files\Microsoft IntelliType Pro\itype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-04-30 22:30 13750272 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-03-26 14:14 16859136 ----a-w- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-27 17:57 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-06-29 18:19 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMAAD]
2007-02-16 16:41 110592 ----a-w- c:\program files\Sony\WALKMAN Launcher\WMAAD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [17/05/2010 21:29 28552]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/05/2009 19:02 717296]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24/04/2007 17:52 16688]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/05/2009 08:06 108289]
S2 gupdate1c9f8e895dd6d2c;Service Google Update (gupdate1c9f8e895dd6d2c);c:\program files\Google\Update\GoogleUpdate.exe [29/06/2009 20:23 133104]
S3 ICScsiSV;Image Converter SCSI Service;c:\program files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe [10/08/2009 21:43 75952]
S3 IcVzMonLauncher;IcVzMonLauncher;c:\program files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe [10/08/2009 21:43 67760]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [17/12/2009 20:00 243056]
S3 USB18PRG;mikroElektronika USB18F Device (x86 Platform);c:\windows\system32\drivers\USB18PRG.sys [14/05/2009 09:25 46080]
.
Contenu du dossier 'Tâches planifiées'

2010-06-01 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-29 18:19]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-29 18:23]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-29 18:23]

2010-06-01 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
IE: Transfert par Image Converter 3 - c:\program files\Sony\IMAGE CONVERTER 3\menu.htm
FF - ProfilePath - c:\documents and settings\Matoms\Application Data\Mozilla\Firefox\Profiles\wprapkot.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPLV80Win32.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPLV82Win32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-$NtUninstallWTF1012$ - c:\program files\$NtUninstallWTF1012$\elUninstall.exe
AddRemove-hurhztjjcx - c:\windows\system32\hurhztjjcx.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-01 21:27
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spvg.sys >>UNKNOWN [0x8A6B5938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28
\Driver\ACPI -> ACPI.sys @ 0xb7e66cb8
\Driver\atapi -> atapi.sys @ 0xb7dfbb40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(3572)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\lkcitdl.exe
c:\windows\system32\lkads.exe
c:\windows\system32\lktsrv.exe
c:\program files\National Instruments\Shared\Security\nidmsrv.exe
c:\windows\system32\nisvcloc.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\Microsoft ActiveSync\Wcescomm.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Heure de fin: 2010-06-01 21:37:27 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-01 19:37
ComboFix2.txt 2010-06-01 18:26

Avant-CF: 21 365 657 600 octets libres
Après-CF: 21 352 841 216 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 7729D439859678A085CFE520C2F9BD17

Merci,
Matoms
0
Réponse 7 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 juin 2010 à 23:37
Peux-tu utiliser ce logiciel de diagnostic anti-rootkit stp, je soupçonne une autre infection :


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

0
Réponse 8 / 20
Matoms
2 juin 2010 à 20:47
Salut !

Merci pour ta réponse !
Le problème est que même en désactivant toutes les protections, je n'arrive pas à terminer correctement une analyse de Gmer...
A la fin, l'ordi plante lorsque j'essaie d'enregistrer le log.
De plus, les analyses sont extrêmement longues (au moins 4 heures pour le seul disque C : 100 Go de données, alors que j'ai en plus D et G pour un total de 650 Go)
Est-ce normal ? Sinon que faire ?

Merci
Matoms
0
Réponse 9 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 juin 2010 à 05:12
Hum... Alors essaye cet autre outil, beaucoup plus rapide :


* Télécharge Load_tdsskiller (de Loup Blanc) sur ton Bureau
* Lance load_tdsskiller (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

0
Réponse 10 / 20
Matoms
3 juin 2010 à 08:24
Salut !

Alors je viens de faire l'analyse, et le rapport est vide.
Cependant, sur la console, j'ai bien lu les deux lignes qui mentionnent les différents infectés de différents type. Les résultats sont : 0/0/0 et 0/0/0.

J'ai réessayé Gmer, mais il me fait planter la barre des tâches si je l'utilise pendant le scan...

Merci pour ton aide
Matoms
0
Réponse 11 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 juin 2010 à 12:53
Ok, donc ça a l'air d'être bon.
Poste un dernier rapport ZHPDiag pour que je puisse te donner les conseils de finition stp

0
Réponse 12 / 20
Matoms
3 juin 2010 à 13:13
Salut !

Voici le rapport sur Cijoint :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijyPD80sg.txt

Merci pour ton aide !
Matoms
0
Réponse 13 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 3/06/2010 à 13:23
Euh... Certaines lignes n'apparaissent pas sur ce rapport (la catégorie O4 est vide par exemple). Désinstalle ZHPDiag (via le panneau de configuration) et recommence stp :


* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Réponse 14 / 20
Matoms
3 juin 2010 à 13:37
Salut !

Voici le nouveau rapport après avoir réinstallé :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijoaFYa87.txt

Cependant les lignes 04 n'apparaissent toujours pas...

Matoms
0
Réponse 15 / 20
Matoms
3 juin 2010 à 13:47
C'est bon ! J'ai redémarré et apparemment c'est ok.

http://www.cijoint.fr/cjlink.php?file=cj201006/cijYoQ95nT.txt

Merci
Matoms
0
Réponse 16 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 juin 2010 à 14:07
J'ai bien fait de persévérer et de ne pas passer tout de suite à la finition, il reste des éléments néfastes à supprimer :


* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :


O42 - Logiciel: Panda ActiveScan 2.0 - (.Panda Security.) [HKLM]
[HKLM\Software\Trad-FR]
O42 - Logiciel: Street-Ads Browser Enhancer - (.Pas de propriétaire.) [HKLM]
[HKCU\Software\Sky-Banners]
[HKLM\Software\AskBarDis]
[HKLM\Software\Sky-Banners]
[HKLM\Software\AskBarDis]
O64 - Services: CurCS - (.not file.) - awliypog (awliypog) .(.Pas de propriétaire - Pas de description.) - LEGACY_AWLIYPOG
O64 - Services: CurCS - (.not file.) - klmd23 (klmd23) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMD23


* Clique sur « Tous », puis sur « Nettoyer »
* ZHPFix va lancer la désinstallation de Panda ActiveScan (inutile) et de Street Ads browser enhancer (néfaste) --> mène ces désinstallations jusqu'au bout.
* Copie/colle la totalité du rapport dans ta prochaine réponse


Ensuite fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp

0
Réponse 17 / 20
Matoms
3 juin 2010 à 14:15
Voila le rapport de ZHPfix :

ZHPFix v1.12.3088 by Nicolas Coolman - Rapport de suppression du 03/06/2010 14:14:04
Fichier d'export Registre : C:\ZHPExportRegistry-03-06-2010-14-14-04.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O42 - Logiciel: Street-Ads Browser Enhancer - (.Pas de propriétaire.) [HKLM] => Clé supprimée avec succès
HKLM\Software\Trad-FR => Clé supprimée avec succès
HKCU\Software\Sky-Banners => Clé supprimée avec succès
HKLM\Software\AskBarDis => Clé supprimée avec succès
HKLM\Software\Sky-Banners => Clé supprimée avec succès
HKLM\Software\AskBarDis => Clé absente
O64 - Services: CurCS - (.not file.) - awliypog (awliypog) .(.Pas de propriétaire - Pas de description.) - LEGACY_AWLIYPOG => Clé non supprimée
O64 - Services: CurCS - (.not file.) - klmd23 (klmd23) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMD23 => Clé non supprimée

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
O42 - Logiciel: Panda ActiveScan 2.0 - (.Panda Security.) [HKLM] => Logiciel absent
O42 - Logiciel: Street-Ads Browser Enhancer - (.Pas de propriétaire.) [HKLM] => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 8
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 2
Autre : 0


End of the scan

Je redémarre le PC et poste le nouveau rapport ZHPDiag !
0
Réponse 18 / 20
Matoms
3 juin 2010 à 14:23
Salut !

Voici le nouveau rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijsNONOQb.txt

Merci !
Matoms
0
Réponse 19 / 20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
4 juin 2010 à 00:34
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (antivir dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox (que tu dois mettre à jour : lance le --> clique sur le point d'interrogation dans la barre des menus --> Rechercher des mises à jour). Une fois que c'est fait, installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Je vois que tu utilises Adobe Reader : pour limiter les vulnérabilités de ce programme, désactive la prise en charge Javascript d'Adobe Reader : Lance le (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe) --> clique sur Edition --> Préférences --> JavaScript --> décoche "Activer Acrobat JavaScript" et valide.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

* Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) --> lance l'installation avec les paramètres par défaut --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir --> Double clique sur le raccourci USBFix sur ton Bureau --> Au menu principal, choisis l'option 3 (Vaccination).



2) Optimisation : Télécharge ce fichier sur ton Bureau --> double clique dessus --> accepte la modification du Registre.



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aider



4) Télécharge Ccleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



8) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

0
Réponse 20 / 20
Matoms
4 juin 2010 à 00:51
Salut!

Eh bien merci beaucoup pour ton aide, ça fait du bien ;)
Merci également pour tous ces derniers conseils que j'appliquerais dès que je peux !

En espérant ne plus revenir (dans cette section du forum du moins :D )
Encore merci !

Matoms
0

Discussions similaires

Antimalware service Executable consomme 45% de RAM.
KalenShiv -
KalenShiv -

8 réponses
Volume musique de fond Netflix trop fort
Mimi_1611 -
Meg -

17 réponses
Antimalware service Executable qui surcharge la mémoire
KumaCreep -
bazfile -

14 réponses