A voir également:
- Virus hitjac
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Faux message virus ordinateur - Guide
- Faux message virus iphone - Forum iPhone
- Tinyurl.com virus - Forum Virus
3 réponses
Utilisateur anonyme
Modifié par Guillaume5188 le 1/06/2010 à 22:25
Modifié par Guillaume5188 le 1/06/2010 à 22:25
Bonsoir
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
merci beaucoup de mavoir répondu assez vite tu est tres aimable voici le rapport
ComboFix 10-06-01.01 - Recyclage 2010-06-01 17:04:07.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.703.504 [GMT -4:00]
Lancé depuis: c:\documents and settings\Recyclage\Mes documents\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\RECYCL~1\LOCALS~1\Temp\services.exe
c:\docume~1\RECYCL~1\LOCALS~1\Temp\svchost.exe
c:\docume~1\RECYCL~1\LOCALS~1\Temp\taskmgr.exe
c:\docume~1\RECYCL~1\LOCALS~1\Temp\winlogon.exe
c:\documents and settings\All Users\Application Data\Adobe\sp.DLL
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922C.manifest
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922O.manifest
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922P.manifest
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922S.manifest
c:\documents and settings\Recyclage\Application Data\6a4cd1b2.exe
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\enemies-names.txt
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\gotnewupdate000.exe
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\hookdll.dll
c:\documents and settings\Recyclage\Application Data\SystemProc
c:\documents and settings\Recyclage\Application Data\SystemProc\lsass.exe
c:\documents and settings\Recyclage\Local Settings\Application Data\Windows Server
c:\documents and settings\Recyclage\Local Settings\Application Data\Windows Server\flags.ini
c:\documents and settings\Recyclage\Local Settings\Application Data\Windows Server\uses32.dat
C:\feed.txt
c:\windows\Sripya.exe
c:\windows\system32\driVERs\ilvgly.sys
c:\windows\system32\ernel32.dll
c:\windows\system32\hlp.dat
c:\windows\system32\imbqgrao.dll
c:\windows\system32\leUN8qkl.dll
c:\windows\system32\net.net
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
Une copie infectée de c:\windows\system32\ws2_32.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\ws2_32.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ilvgly
-------\Service_ilvgly
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-01 au 2010-06-01 ))))))))))))))))))))))))))))))))))))
.
2010-06-01 12:02 . 2010-06-01 12:08 -------- d-----w- c:\program files\RegCleaner
2010-05-31 12:09 . 2010-05-31 11:50 66048 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\e3aAA3k79.dll
2010-05-31 11:59 . 2010-05-31 11:59 -------- d-----w- c:\documents and settings\HelpAssistant\WINDOWS
2010-05-31 11:59 . 2010-05-31 11:59 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-05-31 11:59 . 2010-05-31 11:59 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing
2010-05-31 11:59 . 2010-06-01 11:45 -------- d-sh--w- c:\documents and settings\HelpAssistant\PrivacIE
2010-05-31 11:57 . 2010-05-31 12:12 -------- d-----w- c:\documents and settings\HelpAssistant\IECompatCache
2010-05-31 11:57 . 2010-05-31 11:57 -------- d-sh--w- c:\documents and settings\HelpAssistant\IETldCache
2010-05-31 11:57 . 2010-05-31 11:57 -------- d-----w- c:\documents and settings\HelpAssistant\Contacts
2010-05-31 11:52 . 2010-05-31 11:52 50981 ----a-w- c:\windows\system32\snogiuxidiavrw.exe
2010-05-31 11:51 . 2010-05-31 11:51 -------- d-----w- c:\program files\$NtUninstallWTF1012$
2010-05-31 11:51 . 2010-05-31 11:51 182272 ----a-w- c:\windows\system32\icwdial32.dll
2010-05-31 11:50 . 2010-05-31 11:50 66048 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\eIQ179o.dll
2010-05-27 11:57 . 2010-05-27 11:57 169472 ----a-w- c:\windows\system32\odpcmmxadhny.dll
2010-05-26 11:48 . 2010-05-26 11:48 -------- d-----w- c:\program files\Ask.com
2010-05-25 05:38 . 2010-05-25 05:38 309248 ----a-w- c:\windows\system32\epvzifkq.dll
2010-05-24 16:31 . 2010-05-24 16:31 40633 ----a-w- c:\windows\system32\zobyxnbo.exe
2010-05-14 13:36 . 2010-05-14 13:36 -------- d-----w- c:\documents and settings\Recyclage\Local Settings\Application Data\VSO
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-31 12:11 . 2008-09-18 21:13 -------- d-----w- c:\documents and settings\Recyclage\Application Data\uTorrent
2010-05-31 11:44 . 2009-10-29 19:44 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-21 20:02 . 2009-04-21 12:19 1 ----a-w- c:\documents and settings\Recyclage\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-14 13:37 . 2009-04-14 13:58 -------- d-----w- c:\documents and settings\Recyclage\Application Data\VSO
2010-04-29 11:48 . 2008-10-15 19:06 -------- d-----w- c:\documents and settings\Recyclage\Application Data\LimeWire
2010-04-13 11:26 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-13 11:26 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat
.
------- Sigcheck -------
[7] 2008-04-14 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . 74EE062B4DB767F174FBDCC54E4471F2 . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2007-03-08 . 4D88AAF39ADABFE45958EA1384E2C4FF . 579072 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 753354F594809A9B96F73999B435A533 . 578560 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[-] 2005-03-02 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\$NtUninstallKB925902$\user32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA83C558-E343-8F07-B6E2-C1895B2E5E51}]
2010-05-27 11:57 169472 ----a-w- c:\windows\system32\odpcmmxadhny.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-08 155648]
"jrerszdcfcrloikw"="c:\windows\system32\odpcmmxadhny.dll" [2010-05-27 169472]
"MChk"="c:\windows\system32\zobyxnbo.exe" [2010-05-24 40633]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\54a82cf8922]
2010-05-31 11:51 182272 ----a-w- c:\windows\system32\icwdial32.dll
[HKLM\~\startupfolder\C:^Documents and Settings^Recyclage^Menu Démarrer^Programmes^Démarrage^background.lnk]
path=c:\documents and settings\Recyclage\Menu Démarrer\Programmes\Démarrage\background.lnk
backup=c:\windows\pss\background.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Print Server Utilities\\PSAdmin.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"61964:TCP"= 61964:TCP:PORT_61964
"28350:TCP"= 28350:TCP:PORT_28350
"38211:TCP"= 38211:TCP:PORT_38211
"47253:TCP"= 47253:TCP:PORT_47253
"31994:TCP"= 31994:TCP:PORT_31994
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"59262:TCP"= 59262:TCP:Services
"51488:TCP"= 51488:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"8288:TCP"= 8288:TCP:Services
"8287:TCP"= 8287:TCP:Services
"9756:TCP"= 9756:TCP:Services
"9755:TCP"= 9755:TCP:Services
"9260:TCP"= 9260:TCP:Services
"5380:TCP"= 5380:TCP:Services
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{582610B8-E496-4813-993C-4B027173FE38}]
2008-02-08 14:53 7680 ----a-w- c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Contenu du dossier 'Tâches planifiées'
2010-06-01 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-02-04 20:50]
2010-06-01 c:\windows\Tasks\User_Feed_Synchronization-{B642AD5A-F89B-4CEF-92EF-33962D683AC0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 08:31]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://ca.search.yahoo.com/search?fr=mcafee&p=%s
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-Locked - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-gotnewupdate000.exe - c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\gotnewupdate000.exe
HKLM-Run-skb - imbqgrao.dll
HKLM-Explorer_Run-RTHDBPL - c:\documents and settings\Recyclage\Application Data\SystemProc\lsass.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-01 17:11
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
RTHDBPL = c:\documents and settings\Recyclage\Application Data\SystemProc\lsass.exe???????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8290C690]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7ec2f28
\Driver\ACPI -> ACPI.sys @ 0xf7e24cb8
\Driver\atapi -> 0x8290c690
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Carte VIA PCI 10/100Mo Fast Ethernet -> SendCompleteHandler -> 0x8251b440
PacketIndicateHandler -> NDIS.sys @ 0xf7b74a0d
SendHandler -> NDIS.sys @ 0xf7b88b40
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(540)
c:\windows\system32\icwdial32.dll
- - - - - - - > 'explorer.exe'(2808)
c:\windows\system32\icwdial32.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\wdfmgr.exe
c:\windows\system32\WgaTray.exe
c:\windows\System32\regsvr32.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-06-01 17:15:57 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-01 21:15
Avant-CF: 134 819 508 224 octets libres
Après-CF: 134 793 740 288 octets libres
- - End Of File - - 477A55E38E4AC8DD6DEBDE5A25C428AD
ComboFix 10-06-01.01 - Recyclage 2010-06-01 17:04:07.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.703.504 [GMT -4:00]
Lancé depuis: c:\documents and settings\Recyclage\Mes documents\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\RECYCL~1\LOCALS~1\Temp\services.exe
c:\docume~1\RECYCL~1\LOCALS~1\Temp\svchost.exe
c:\docume~1\RECYCL~1\LOCALS~1\Temp\taskmgr.exe
c:\docume~1\RECYCL~1\LOCALS~1\Temp\winlogon.exe
c:\documents and settings\All Users\Application Data\Adobe\sp.DLL
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922C.manifest
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922O.manifest
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922P.manifest
c:\documents and settings\Recyclage\Application Data\020000008caf0d83922S.manifest
c:\documents and settings\Recyclage\Application Data\6a4cd1b2.exe
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\enemies-names.txt
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\gotnewupdate000.exe
c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\hookdll.dll
c:\documents and settings\Recyclage\Application Data\SystemProc
c:\documents and settings\Recyclage\Application Data\SystemProc\lsass.exe
c:\documents and settings\Recyclage\Local Settings\Application Data\Windows Server
c:\documents and settings\Recyclage\Local Settings\Application Data\Windows Server\flags.ini
c:\documents and settings\Recyclage\Local Settings\Application Data\Windows Server\uses32.dat
C:\feed.txt
c:\windows\Sripya.exe
c:\windows\system32\driVERs\ilvgly.sys
c:\windows\system32\ernel32.dll
c:\windows\system32\hlp.dat
c:\windows\system32\imbqgrao.dll
c:\windows\system32\leUN8qkl.dll
c:\windows\system32\net.net
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
Une copie infectée de c:\windows\system32\ws2_32.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\ws2_32.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ilvgly
-------\Service_ilvgly
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-01 au 2010-06-01 ))))))))))))))))))))))))))))))))))))
.
2010-06-01 12:02 . 2010-06-01 12:08 -------- d-----w- c:\program files\RegCleaner
2010-05-31 12:09 . 2010-05-31 11:50 66048 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\e3aAA3k79.dll
2010-05-31 11:59 . 2010-05-31 11:59 -------- d-----w- c:\documents and settings\HelpAssistant\WINDOWS
2010-05-31 11:59 . 2010-05-31 11:59 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-05-31 11:59 . 2010-05-31 11:59 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing
2010-05-31 11:59 . 2010-06-01 11:45 -------- d-sh--w- c:\documents and settings\HelpAssistant\PrivacIE
2010-05-31 11:57 . 2010-05-31 12:12 -------- d-----w- c:\documents and settings\HelpAssistant\IECompatCache
2010-05-31 11:57 . 2010-05-31 11:57 -------- d-sh--w- c:\documents and settings\HelpAssistant\IETldCache
2010-05-31 11:57 . 2010-05-31 11:57 -------- d-----w- c:\documents and settings\HelpAssistant\Contacts
2010-05-31 11:52 . 2010-05-31 11:52 50981 ----a-w- c:\windows\system32\snogiuxidiavrw.exe
2010-05-31 11:51 . 2010-05-31 11:51 -------- d-----w- c:\program files\$NtUninstallWTF1012$
2010-05-31 11:51 . 2010-05-31 11:51 182272 ----a-w- c:\windows\system32\icwdial32.dll
2010-05-31 11:50 . 2010-05-31 11:50 66048 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\eIQ179o.dll
2010-05-27 11:57 . 2010-05-27 11:57 169472 ----a-w- c:\windows\system32\odpcmmxadhny.dll
2010-05-26 11:48 . 2010-05-26 11:48 -------- d-----w- c:\program files\Ask.com
2010-05-25 05:38 . 2010-05-25 05:38 309248 ----a-w- c:\windows\system32\epvzifkq.dll
2010-05-24 16:31 . 2010-05-24 16:31 40633 ----a-w- c:\windows\system32\zobyxnbo.exe
2010-05-14 13:36 . 2010-05-14 13:36 -------- d-----w- c:\documents and settings\Recyclage\Local Settings\Application Data\VSO
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-31 12:11 . 2008-09-18 21:13 -------- d-----w- c:\documents and settings\Recyclage\Application Data\uTorrent
2010-05-31 11:44 . 2009-10-29 19:44 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-21 20:02 . 2009-04-21 12:19 1 ----a-w- c:\documents and settings\Recyclage\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-14 13:37 . 2009-04-14 13:58 -------- d-----w- c:\documents and settings\Recyclage\Application Data\VSO
2010-04-29 11:48 . 2008-10-15 19:06 -------- d-----w- c:\documents and settings\Recyclage\Application Data\LimeWire
2010-04-13 11:26 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-13 11:26 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat
.
------- Sigcheck -------
[7] 2008-04-14 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . 74EE062B4DB767F174FBDCC54E4471F2 . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2007-03-08 . 4D88AAF39ADABFE45958EA1384E2C4FF . 579072 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 753354F594809A9B96F73999B435A533 . 578560 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[-] 2005-03-02 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\$NtUninstallKB925902$\user32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA83C558-E343-8F07-B6E2-C1895B2E5E51}]
2010-05-27 11:57 169472 ----a-w- c:\windows\system32\odpcmmxadhny.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-08 155648]
"jrerszdcfcrloikw"="c:\windows\system32\odpcmmxadhny.dll" [2010-05-27 169472]
"MChk"="c:\windows\system32\zobyxnbo.exe" [2010-05-24 40633]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\54a82cf8922]
2010-05-31 11:51 182272 ----a-w- c:\windows\system32\icwdial32.dll
[HKLM\~\startupfolder\C:^Documents and Settings^Recyclage^Menu Démarrer^Programmes^Démarrage^background.lnk]
path=c:\documents and settings\Recyclage\Menu Démarrer\Programmes\Démarrage\background.lnk
backup=c:\windows\pss\background.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Print Server Utilities\\PSAdmin.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"61964:TCP"= 61964:TCP:PORT_61964
"28350:TCP"= 28350:TCP:PORT_28350
"38211:TCP"= 38211:TCP:PORT_38211
"47253:TCP"= 47253:TCP:PORT_47253
"31994:TCP"= 31994:TCP:PORT_31994
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"59262:TCP"= 59262:TCP:Services
"51488:TCP"= 51488:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"8288:TCP"= 8288:TCP:Services
"8287:TCP"= 8287:TCP:Services
"9756:TCP"= 9756:TCP:Services
"9755:TCP"= 9755:TCP:Services
"9260:TCP"= 9260:TCP:Services
"5380:TCP"= 5380:TCP:Services
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{582610B8-E496-4813-993C-4B027173FE38}]
2008-02-08 14:53 7680 ----a-w- c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Contenu du dossier 'Tâches planifiées'
2010-06-01 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-02-04 20:50]
2010-06-01 c:\windows\Tasks\User_Feed_Synchronization-{B642AD5A-F89B-4CEF-92EF-33962D683AC0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 08:31]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://ca.search.yahoo.com/search?fr=mcafee&p=%s
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-Locked - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-gotnewupdate000.exe - c:\documents and settings\Recyclage\Application Data\FC77BEC36E307D48F8ED1DF356B97399\gotnewupdate000.exe
HKLM-Run-skb - imbqgrao.dll
HKLM-Explorer_Run-RTHDBPL - c:\documents and settings\Recyclage\Application Data\SystemProc\lsass.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-01 17:11
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
RTHDBPL = c:\documents and settings\Recyclage\Application Data\SystemProc\lsass.exe???????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8290C690]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7ec2f28
\Driver\ACPI -> ACPI.sys @ 0xf7e24cb8
\Driver\atapi -> 0x8290c690
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Carte VIA PCI 10/100Mo Fast Ethernet -> SendCompleteHandler -> 0x8251b440
PacketIndicateHandler -> NDIS.sys @ 0xf7b74a0d
SendHandler -> NDIS.sys @ 0xf7b88b40
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(540)
c:\windows\system32\icwdial32.dll
- - - - - - - > 'explorer.exe'(2808)
c:\windows\system32\icwdial32.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\wdfmgr.exe
c:\windows\system32\WgaTray.exe
c:\windows\System32\regsvr32.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-06-01 17:15:57 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-01 21:15
Avant-CF: 134 819 508 224 octets libres
Après-CF: 134 793 740 288 octets libres
- - End Of File - - 477A55E38E4AC8DD6DEBDE5A25C428AD
Utilisateur anonyme
2 juin 2010 à 18:41
2 juin 2010 à 18:41
Bonsoir
Télécharge le programme : Gmer à cette adresse http://www.gmer.net/ , clique sur le bouton Download Exe.
Le fichier aura un nom aléatoire.
Déconnecte toi d'Internet si possible et ferme tous les programmes.
Double-clic sur l'exécutable pour le lancer
IMPORTANT: Si une alerte de ton antivirus apparaît, laisse le s'exécuter.
Clic sur l'onglet "rootkit"
A droite, décoche "Registry"
Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"
Ouvre le bloc-notes et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
@+
Télécharge le programme : Gmer à cette adresse http://www.gmer.net/ , clique sur le bouton Download Exe.
Le fichier aura un nom aléatoire.
Déconnecte toi d'Internet si possible et ferme tous les programmes.
Double-clic sur l'exécutable pour le lancer
IMPORTANT: Si une alerte de ton antivirus apparaît, laisse le s'exécuter.
Clic sur l'onglet "rootkit"
A droite, décoche "Registry"
Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"
Ouvre le bloc-notes et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
@+
