Sujet Précédent Sujet Suivant

Ver, trojan, virus ...??

Fermé
Randall - 5 juin 2010 à 10:09
 Utilisateur anonyme - 27 juin 2010 à 10:36
Bonjour,
J'ai téléchargé hier soir un fichier qui portait le nom d'Adobe_Flash_Player convaincu qu'il s'agissait d'un fichier sérieux.
Une fois passé toutes les autorisations d'usage (administrateur vista), celui ci s'est installé sur le bureau avant de disparaitre à l'ouverture et de changer de nom. (il est devenu fichier caché mais demeure introuvable...)
Par la suite, j'ai subi plusieurs attaques virales en règle.
J'utilise le Ccleaner qui m'indique que mes fichiers temporaires se remplissent régulièrement (sans que j'aille sur internet)
Mon antispywear indique aussi la présence de trojans et de chevaux de troie
Mon antivirus (Antivir) m'alerte régulièrement que des trojans veulent entrer mais ne parvient pas à identifier la source.
J'ai installé findykill et j'ai lancé son programme de désinstallation mais j'ignore si c'est une manip efficace.
S'agit il d'un ver ?
Voila... en gros j'ai besoin de votre aide car je ne sais pas quoi faire et je m'inquiète un peu.
Merci par avance de l'assistance que vous pourrez m'apporter
Fred

A voir également:

72 réponses

Précédent
Réponse 21 / 72
Randall
6 juin 2010 à 09:17
Le dossier est vide
0
Réponse 22 / 72
Randall
6 juin 2010 à 09:20
voici le rapport d'Antivir hier soir :


Avira AntiVir Personal
Date de création du fichier de rapport : samedi 5 juin 2010 15:56

La recherche porte sur 2189644 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 1) [6.0.6001]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : ORDIDEFRÉDO

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 08:51:48
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:51:48
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 08:51:48
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 10:47:53
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 07:23:36
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 09:09:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 23:47:55
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 16:39:08
VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 16:39:08
VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 16:39:08
VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 16:39:08
VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 16:39:09
VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 16:39:10
VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 16:39:10
VBASE013.VDF : 7.10.7.225 2048 Bytes 02/06/2010 16:39:10
VBASE014.VDF : 7.10.7.226 2048 Bytes 02/06/2010 16:39:10
VBASE015.VDF : 7.10.7.227 2048 Bytes 02/06/2010 16:39:10
VBASE016.VDF : 7.10.7.228 2048 Bytes 02/06/2010 16:39:10
VBASE017.VDF : 7.10.7.229 2048 Bytes 02/06/2010 16:39:10
VBASE018.VDF : 7.10.7.230 2048 Bytes 02/06/2010 16:39:10
VBASE019.VDF : 7.10.7.231 2048 Bytes 02/06/2010 16:39:11
VBASE020.VDF : 7.10.7.232 2048 Bytes 02/06/2010 16:39:11
VBASE021.VDF : 7.10.7.233 2048 Bytes 02/06/2010 16:39:11
VBASE022.VDF : 7.10.7.234 2048 Bytes 02/06/2010 16:39:11
VBASE023.VDF : 7.10.7.235 2048 Bytes 02/06/2010 16:39:11
VBASE024.VDF : 7.10.7.236 2048 Bytes 02/06/2010 16:39:11
VBASE025.VDF : 7.10.7.237 2048 Bytes 02/06/2010 16:39:12
VBASE026.VDF : 7.10.7.238 2048 Bytes 02/06/2010 16:39:12
VBASE027.VDF : 7.10.7.239 2048 Bytes 02/06/2010 16:39:12
VBASE028.VDF : 7.10.7.240 2048 Bytes 02/06/2010 16:39:12
VBASE029.VDF : 7.10.7.241 2048 Bytes 02/06/2010 16:39:12
VBASE030.VDF : 7.10.7.242 2048 Bytes 02/06/2010 16:39:12
VBASE031.VDF : 7.10.7.251 73728 Bytes 04/06/2010 20:21:20
Version du moteur : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 06:43:40
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 03/06/2010 16:39:52
AESCN.DLL : 8.1.6.1 127347 Bytes 12/05/2010 16:58:38
AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 06:43:40
AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 23:48:01
AEPACK.DLL : 8.2.1.1 426358 Bytes 20/03/2010 08:47:12
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12/05/2010 16:58:38
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04/06/2010 20:21:32
AEHELP.DLL : 8.1.11.5 242038 Bytes 03/06/2010 16:39:17
AEGEN.DLL : 8.1.3.10 377205 Bytes 03/06/2010 16:39:16
AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 06:43:34
AECORE.DLL : 8.1.15.3 192886 Bytes 12/05/2010 16:58:37
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 06:43:33
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 15:10:49
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 00:09:39
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 10:42:28
RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 08:51:46

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +SPR,

Début de la recherche : samedi 5 juin 2010 15:56

La recherche d'objets cachés commence.
'107564' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam-setup-1.46.tmp' - '1' module(s) sont contrôlés
Processus de recherche 'mbam-setup-1.46.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCleaner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'43' processus ont été contrôlés avec '43' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '55' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <DISQUE DUR >
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\temp\TMP0000002C77F924D0F773CA76
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen2
Recherche débutant dans 'D:\' <PRESARIO_RP>

Début de la désinfection :
C:\Windows\temp\TMP0000002C77F924D0F773CA76
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen2
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.


Fin de la recherche : samedi 5 juin 2010 19:02
Temps nécessaire: 3:05:06 Heure(s)

La recherche a été effectuée intégralement

21791 Les répertoires ont été contrôlés
336687 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
336685 Fichiers non infectés
1503 Les archives ont été contrôlées
2 Avertissements
2 Consignes
107564 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
Réponse 23 / 72
Utilisateur anonyme
6 juin 2010 à 09:21
C'est un document texte, il se trouve dans C:\ et il y a un document texte appelé Combofix !

Poste le rapport ici !!!
0
Réponse 24 / 72
Randall
6 juin 2010 à 09:23
J'ai trouvé le dossier C\combofix...
Le dossier est vide
Il n'y a pas de document dans le dossier en question...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 72
Utilisateur anonyme
6 juin 2010 à 09:27
PAS DANS C:\Combofix dans C:\ tout court,
Il y a un document texte appelé Combofix qui est dans C:\
0
Réponse 26 / 72
Randall
6 juin 2010 à 09:32
ComboFix 10-06-03.01 - Fredo 05/06/2010 14:34:37.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1013.449 [GMT 2:00]
Lancé depuis: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: AVG Anti-Spyware *enabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\INSTALL.LOG
c:\users\Fredo\AppData\Local\ebriieul.dat
c:\users\Fredo\AppData\Local\ebriieul_nav.dat
c:\users\Fredo\AppData\Local\ebriieul_navps.dat
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-05 au 2010-06-05 ))))))))))))))))))))))))))))))))))))
.

2010-06-05 11:00 . 2010-06-05 11:28 -------- d-----w- c:\program files\ZHPDiag
2010-06-05 09:24 . 2010-06-05 09:24 870 ----a-w- C:\FindyKill_Upload_Me_ordidefrédo.zip
2010-06-05 07:25 . 2010-06-05 09:24 -------- d-----w- C:\FyK
2010-06-05 07:13 . 2010-06-05 10:23 -------- d-----w- c:\program files\trend micro
2010-06-05 07:13 . 2010-06-05 07:28 -------- d-----w- C:\rsit
2010-06-05 06:38 . 2010-06-05 12:01 -------- d-----w- c:\programdata\BitDefender
2010-06-05 06:38 . 2010-06-05 06:40 -------- d-----w- c:\users\Fredo\AppData\Roaming\BitDefender
2010-06-05 06:38 . 2010-06-05 06:38 -------- d-----w- c:\program files\BitDefender
2010-06-05 06:35 . 2010-06-05 12:01 -------- d-----w- c:\program files\Common Files\BitDefender
2010-05-29 13:11 . 2010-05-29 13:11 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbC2B9.tmp.exe
2010-05-25 17:09 . 2010-04-23 13:55 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-24 19:56 . 2010-05-24 19:56 -------- d-----w- C:\Acrobat3
2010-05-21 14:53 . 2010-05-21 14:53 63488 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-12 12:48 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-07 16:24 . 2010-05-07 16:24 -------- d-----w- C:\Valve

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-05 12:37 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-05 12:37 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-05 09:24 . 2010-06-05 09:24 870 ----a-w- C:\FindyKill_Upload_Me_ordidefrédo.zip
2010-06-05 07:02 . 2008-08-16 14:48 -------- d-----w- c:\program files\Windows Live
2010-06-03 08:00 . 2008-12-24 09:26 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-05-29 21:01 . 2007-11-01 12:39 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2010-05-21 14:53 . 2009-03-26 11:35 117760 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-18 15:47 . 2006-12-20 05:17 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-13 01:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-12 09:21 . 2009-10-03 09:12 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-04-27 22:26 . 2010-04-26 15:20 -------- d-----w- c:\program files\WON
2010-04-09 06:51 . 2010-04-09 06:51 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-09 16:28 . 2010-03-31 10:00 833024 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 10:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 10:00 26624 ----a-w- c:\windows\system32\ieUnatt.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-03 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 815104]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-11-06 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-11-06 106496]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-11-06 81920]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-12-02 167936]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 77824]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-02-07 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-03 122368]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-03-29 198160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-17 11:03 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-18 721904]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 kbeepm;kbeepm;c:\users\Fredo\AppData\Local\Temp\kbeepm.sys [x]
R3 PAC207;PC Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2007-05-29 508160]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-21 12872]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-21 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2010-06-03 67656]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-13 108289]

.
Contenu du dossier 'Tâches planifiées'

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=71&bd=PRESARIO&pf=laptop
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
AddRemove-Adobe Flash Player ActiveX - c:\windows\system32\Macromed\Flash\uninstall_activeX.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-05 14:44
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-06-05 14:49:09
ComboFix-quarantined-files.txt 2010-06-05 12:49

Avant-CF: 16 733 696 000 octets libres
Après-CF: 16 441 614 336 octets libres

- - End Of File - - B81B29477C400815E530B42FFFAA4A72
0
Réponse 27 / 72
Utilisateur anonyme
Modifié par Loicdem le 6/06/2010 à 09:40
Ok,

* Télécharge Navilog1 et enregistre le sur le Bureau.
* Double-clique sur le raccourci de Navilog1 présent sur le Bureau. (Sous Vista, il faut cliquer droit sur le raccourci de Navilog1 et choisir Exécuter en tant qu'administrateur)
* Choisi la langue désirée.
* Arrivé au menu principal, choisi l'option 1 et valider.
* Patiente le temps du scan. Navilog1 devra redémarrer le PC.
* Patiente jusqu'au message : *** Scan terminé le ..... ***
* Le rapport sera en outre sauvegardé à la racine du disque (cleannavi.txt).
Si je désinfecte votre machine, c'est pour au moins un bout de temps, je vous désinfecterais pas si vous bousiller votre machine toutes les 5 minutes !
0
Réponse 28 / 72
Randall
6 juin 2010 à 09:46
Voici le rapport ( par contre le pc n'a pas redémarré)
Fix Navipromo version 4.0.8 commencé le 06/06/2010 9:43:17,24

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Celeron(R) M CPU 440 @ 1.86GHz )
BIOS : Ver 1.00PARTTBL
USER : Fredo ( Administrator )
BOOT : Normal boot

Antivirus : Norton Internet Security 2007 (Activated)
Firewall : Norton Internet Security 2007 (Not Activated)

C:\ (Local Disk) - NTFS - Total:69 Go (Free:18 Go)
D:\ (Local Disk) - NTFS - Total:5 Go (Free:0 Go)
E:\ (CD or DVD)


Recherche executée en mode normal


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 06/06/2010 9:43:58,37 ***
0
Réponse 29 / 72
Utilisateur anonyme
6 juin 2010 à 09:50
Ok, c'est du bon, pour vérification

- Télécharge HiJackThis de Merijn sur ton bureau. http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide :N'hésite pas à consulter l'aide HiJackThis https://www.malekal.com/tutoriel-hijackthis/
0
Réponse 30 / 72
Randall
6 juin 2010 à 09:56
visiblement cela s'annonce bien. Voici le rapport en question

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:54:32, on 06/06/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18444)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\Windows\p_981116.exe /Q:A
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AddFiltr - Unknown owner - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
0
Réponse 31 / 72
Randall
6 juin 2010 à 10:08
Hum... je ne sais pas comment supprimer la toolbar google... je ne sais pas faire.
Je vais suivre ta recommandation pour toolscleaner2

Le pc semble stable. pas d'attaque virale depuis hier...
Franchement, MERCI, Tu es trop fort...!!!
Il me reste un disque externe à vérifier... quelle manip dois je suivre pour ça ?
0
Réponse 32 / 72
Utilisateur anonyme
Modifié par Loicdem le 6/06/2010 à 10:10
Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

MBRFix 
[HKCU\Software\V71IQL7HI7]  
[HKCU\Software\XML]  
[HKCU\Software\M5T8QL3YW3] 
O4 - HKCU\..\Run: [M5T8QL3YW3] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Fredo\AppData\Local\Temp\Qtl.exe      
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job      
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job    
[MD5.2B3B592C534D7845CFBCC1D830B85B6D] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Fredo\AppData\Local\Temp\Qtl.exe   [169984   
[HKCU\Software\M5T8QL3YW3]      
[HKCU\Software\XML]  
O43 - CFD:Common File Directory ----D- C:\Program Files\TryMedia        
O44 - LFC:[MD5.54F92C7156806A09C188E9205E146265] - 05/06/2010 - 10:24:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\FyK.txt   [1837]  
O44 - LFC:[MD5.991995ECE4E1C4322771DF85ADA2D040] - 05/06/2010 - 10:24:20 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\FindyKill_Upload_Me_ordidefrédo.zip   [870 
O64 - Services: CurCS - (.not file.) - 1713d92f (1713d92f)  .(.Pas de propriétaire - Pas de description.) - LEGACY_1713D92F  
O64 - Services: CurCS - (.not file.) - 75ac03f8 (75ac03f8)  .(.Pas de propriétaire - Pas de description.) - LEGACY_75AC03F8  
O64 - Services: CurCS - (.not file.) - fc82a641 (fc82a641)  .(.Pas de propriétaire - Pas de description.) - LEGACY_FC82A641





Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )



Si je désinfecte votre machine, c'est pour au moins un bout de temps, je vous désinfecterais pas si vous bousiller votre machine toutes les 5 minutes !
0
Réponse 33 / 72
Utilisateur anonyme
6 juin 2010 à 10:10
Fais ça Randall : https://forums.commentcamarche.net/forum/affich-18036056-ver-trojan-virus?page=2#33
0
Réponse 34 / 72
Randall
6 juin 2010 à 10:37
Voici le rapport
ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 06/06/2010 10:33:58
Fichier d'export Registre : C:\ZHPExportRegistry-06-06-2010-10-33-58.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
C:\Users\Fredo\AppData\Local\Temp\Qtl.exe [169984 => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\V71IQL7HI7 => Clé supprimée avec succès
HKCU\Software\XML => Clé absente
HKCU\Software\M5T8QL3YW3 => Clé absente
O64 - Services: CurCS - (.not file.) - 1713d92f (1713d92f) .(.Pas de propriétaire - Pas de description.) - LEGACY_1713D92F => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 75ac03f8 (75ac03f8) .(.Pas de propriétaire - Pas de description.) - LEGACY_75AC03F8 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - fc82a641 (fc82a641) .(.Pas de propriétaire - Pas de description.) - LEGACY_FC82A641 => Clé supprimée avec succès

Valeur du Registre :
O4 - HKCU\..\Run: [M5T8QL3YW3] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Fredo\AppData\Local\Temp\Qtl.exe => Valeur absente

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
C:\Program Files\TryMedia => Supprimé et mis en quarantaine

Fichier :
c:\users\fredo\appdata\local\temp\qtl.exe => Fichier absent
c:\windows\tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job => Fichier absent
c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job => Fichier absent
c:\fyk.txt => Supprimé et mis en quarantaine
c:\findykill_upload_me_ordidefrédo.zip => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x844B91F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x844b91f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 6
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 1
Fichier : 5
Logiciel : 0
Master Boot Record : 19
Préférences navigateur : 0
Autre : 0


End of the scan
0
Réponse 35 / 72
Utilisateur anonyme
6 juin 2010 à 10:40
Bon, maintenant,

Télécharge ce fichier sur ton bureau : http://sd-1.archive-host.com/membres/up/54129686243115553/CFScript.txt
(Si le fichier s'ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous).

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

Combofix se lance, laisse toi guider..

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 36 / 72
randall
6 juin 2010 à 12:37
Voici le rapport

ComboFix 10-06-05.01 - Fredo 06/06/2010 11:01:38.2.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1013.377 [GMT 2:00]
Lancé depuis: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\CFScript.txt
AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: AVG Anti-Spyware *enabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_kbeepm


((((((((((((((((((((((((((((( Fichiers créés du 2010-05-06 au 2010-06-06 ))))))))))))))))))))))))))))))))))))
.

2010-06-06 09:10 . 2010-06-06 09:14 -------- d-----w- c:\users\Fredo\AppData\Local\temp
2010-06-06 09:10 . 2010-06-06 09:10 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-06 09:10 . 2010-06-06 09:10 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-06 07:42 . 2010-06-06 07:43 -------- d---a-w- C:\Navilog1
2010-06-05 14:00 . 2010-06-05 14:00 -------- d-----w- c:\users\Fredo\AppData\Roaming\Malwarebytes
2010-06-05 13:57 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-05 13:57 . 2010-06-05 13:57 -------- d-----w- c:\programdata\Malwarebytes
2010-06-05 13:57 . 2010-06-05 13:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-05 13:57 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-05 11:00 . 2010-06-06 08:33 -------- d-----w- c:\program files\ZHPDiag
2010-06-05 07:25 . 2010-06-05 09:24 -------- d-----w- C:\FyK
2010-06-05 07:13 . 2010-06-06 07:53 -------- d-----w- c:\program files\trend micro
2010-06-05 07:13 . 2010-06-05 07:28 -------- d-----w- C:\rsit
2010-06-05 06:38 . 2010-06-05 12:01 -------- d-----w- c:\programdata\BitDefender
2010-06-05 06:38 . 2010-06-05 06:40 -------- d-----w- c:\users\Fredo\AppData\Roaming\BitDefender
2010-06-05 06:38 . 2010-06-05 06:38 -------- d-----w- c:\program files\BitDefender
2010-06-05 06:35 . 2010-06-05 12:01 -------- d-----w- c:\program files\Common Files\BitDefender
2010-05-25 17:09 . 2010-04-23 13:55 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-24 19:56 . 2010-05-24 19:56 -------- d-----w- C:\Acrobat3
2010-05-12 12:48 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-07 16:24 . 2010-05-07 16:24 -------- d-----w- C:\Valve

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-06 08:59 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-06 08:59 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-05 07:02 . 2008-08-16 14:48 -------- d-----w- c:\program files\Windows Live
2010-06-03 08:00 . 2008-12-24 09:26 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-05-29 21:01 . 2007-11-01 12:39 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2010-05-29 13:11 . 2010-05-29 13:11 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbC2B9.tmp.exe
2010-05-21 14:53 . 2010-05-21 14:53 63488 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-21 14:53 . 2009-03-26 11:35 117760 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-18 15:47 . 2006-12-20 05:17 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-13 01:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-12 09:21 . 2009-10-03 09:12 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-04-27 22:26 . 2010-04-26 15:20 -------- d-----w- c:\program files\WON
2010-04-09 06:51 . 2010-04-09 06:51 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-09 16:28 . 2010-03-31 10:00 833024 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 10:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 10:00 26624 ----a-w- c:\windows\system32\ieUnatt.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-03 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 815104]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-11-06 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-11-06 106496]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-11-06 81920]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-12-02 167936]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 77824]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-02-07 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-03 122368]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-03-29 198160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-17 11:03 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 PAC207;PC Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2007-05-29 508160]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-21 12872]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-18 721904]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-21 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2010-06-03 67656]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-13 108289]

.
Contenu du dossier 'Tâches planifiées'

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=71&bd=PRESARIO&pf=laptop
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-06 11:13
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x844B91F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x869aa322
\Driver\ACPI -> acpi.sys @ 0x807afd4c
\Driver\atapi -> 0x844b91f8
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\conime.exe
c:\progra~1\HEWLET~1\Shared\HPQTOA~1.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-06-06 11:22:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-06 09:22
ComboFix2.txt 2010-06-05 12:49

Avant-CF: 19 800 576 000 octets libres
Après-CF: 19 512 016 896 octets libres

- - End Of File - - BF6118DA51D3BF17D7991D4A65B0282B
0
Réponse 37 / 72
Utilisateur anonyme
6 juin 2010 à 12:46
On dirais que tu as encore MBR....

Tu l'as mal fait, tu as bien déposé le CFScript téléchargé SUR Combofix ????

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
0
Réponse 38 / 72
randall
6 juin 2010 à 12:49
Oui, j'ai suivi ton conseil à la ligne mais un message d'erreur est apparu au début de l'opération. Puis l'ordi a redémarré avant de lancer Combofix
0
Réponse 39 / 72
Utilisateur anonyme
6 juin 2010 à 13:01
J'ai écrit de la m****
Télécharge celui-la et fais pareil sauf que tu renomme CFScript_110 en CFScript

http://sd-1.archive-host.com/membres/up/54129686243115553/CFScript_110.txt
0
Réponse 40 / 72
Randall
6 juin 2010 à 13:21
l'opération est en cours.
Un message est apparu avant le redémarrage de la machine :
Warning!
CD emulation drivers are running on this machine.
Combofix needs to temporarily disable them.

J'ai mis ok et combofix s'est lancé
Dès que j'ai le rapport, je le poste
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses