Trojans: "Crypt.ZPACJK.Gen" et "AgentBypass"

Résolu
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

il se trouve que mon ordinateur démarre toujours plus lentement et même l'arret devient lentissime. Toutes operations sont ralenties, l'activité de SCVHOST bouffe 100% de la capacité de la machine même sans aucune application ouverte. Hier j'ai eu un écran rose. Avira à detecté que

C:\WINDOWS\system32\drivers\cuxhyo.sys
Contient le cheval de Troie TR/Crypt.ZPACK.Gen

et que

C:\Documents and Settings\Utilisateur\Local Settings\Temp\0.8202678925256222.exe
Contient le cheval de Troie TR/AgentBypass

Avira les a placé on quarantaine mais ça va pas du tout. Ici le résultat du dernier HijackThis, effectué hors réseau internet.

MERCI DE VOTRE AIDE, je suis au chômage non indemnisé, cet ordinateur est le seul que j'ai à dispo, SVP de m'aider, je pourrais même pas le faire réparer!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:31:18, on 01/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\acer\epm\epm-dm.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszpe32.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

1
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour et merci de la réponse rapide.
Voici le rapport de ComboFix, après demarrage, la machine tourne encore à 100% et très lentement... Je vois que quelque chose a était supprimé.
Que je dois faire maintenant??


ComboFix 10-06-30.03 - Utilisateur 01/07/2010 15:11:29.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.230 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Utilisateur\Application Data\avdrn.dat
c:\program files\WinPCap
c:\program files\WinPCap\daemon_mgm.exe
c:\program files\WinPCap\npf_mgm.exe
c:\program files\WinPCap\rpcapd.exe
c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\wpcap.dll
c:\windows\Uninstall.ini

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.

2010-07-01 10:10 . 2010-07-01 10:10 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\MSNInstaller
2010-06-30 20:22 . 2010-06-30 20:22 401720 ----a-w- C:\HiJackThis.exe
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- c:\program files\trend micro
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- C:\rsit
2010-06-29 18:04 . 2010-06-29 18:04 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-06-29 16:11 . 2010-06-29 16:11 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-29 16:03 . 2010-06-29 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-27 21:57 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-06-03 14:05 . 2010-06-04 05:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-06-03 14:05 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-06-03 14:05 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-06-03 14:05 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-06-03 14:04 . 2010-06-03 14:05 -------- d-----w- c:\program files\Avira
2010-06-03 14:04 . 2010-06-03 14:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 13:51 . 2006-01-26 07:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-06-30 12:49 . 2010-06-30 12:49 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qcopjv.dat
2010-06-30 06:34 . 2010-06-30 06:34 16 ----a-w- c:\documents and settings\LocalService\Application Data\qcopjv.dat
2010-06-27 21:56 . 2010-06-27 21:55 16 ----a-w- c:\documents and settings\NetworkService\Application Data\qcopjv.dat
2010-05-24 20:03 . 2010-05-24 20:03 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-sse.dll
2010-05-24 20:03 . 2010-05-24 20:03 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcp71.dll
2010-05-24 20:03 . 2010-05-24 20:03 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\jmc.dll
2010-05-24 20:03 . 2010-05-24 20:03 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcr71.dll
2010-05-24 20:03 . 2010-05-24 20:03 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-d3d.dll
2010-05-17 15:09 . 2010-05-17 15:09 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcp71.dll
2010-05-17 15:09 . 2010-05-17 15:09 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\jmc.dll
2010-05-17 15:09 . 2010-05-17 15:09 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcr71.dll
2010-05-17 15:09 . 2010-05-17 15:09 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-sse.dll
2010-05-17 15:09 . 2010-05-17 15:09 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-d3d.dll
2010-05-13 11:22 . 2010-05-13 11:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-12 15:29 . 2010-05-17 15:09 411368 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-07 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-07 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-07 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 14743552]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-11 143360]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-08-18 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
siszpe32.exe [2008-4-14 32256]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

S1 ifr06fa;ifr06fa;c:\windows\system32\drivers\ifr06fa.sys --> c:\windows\system32\drivers\ifr06fa.sys [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - cuxhyo
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\74smzyi6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-GridVista - c:\windows\UnInst32.exe
AddRemove-HijackThis - c:\documents and settings\Utilisateur\Bureau\HijackThis.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 15:52
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cuxhyo]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2720)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\msls31.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\acer\eManager\anbmServ.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\windows\RTHDCPL.EXE
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-07-01 16:05:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-01 14:04

Avant-CF: 24 840 208 384 octets libres
Après-CF: 26 566 197 248 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 1CDEF0541EE9E60B211EFB84C34A0C00
0
Réponse 2 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

driver::
cuxhyo
file::
c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrag\siszpe32.exe
C:\WINDOWS\system32\drivers\cuxhyo.sys


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://www.cijoint.fr/ et donne le lien ici dans un nouveau message.
1
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Pour l'Antivir, j'y arrivais pas, il restait actif et le gestionnaire de tâches me permettait pas de désactiver l'"agent" : mais je suis en train de le supprimer. Je vais faire le truc du document texte comment tu as dit...
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ça ne devrait pas parvenir à tout supprimer.
Enfin pas le rootkit à priori.

Par contre tu devrais plus avoir les prb de CPU.
0
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Merci à nouveau.
La CPU tourne encore au maximum... même si le "mal" est ou semble supprimé.
Que je dois faire encore. J'ai sauvegardé mes docs et fichiers importants sur un disc dur extérieur, dois je formater et réinstaller XP ?

Voici le nouvel log de combofix aprés glissade du txt "cfsript" :

ComboFix 10-06-30.03 - Utilisateur 01/07/2010 16:32:37.2.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.212 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFScript.txt

FILE ::
"c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrag\siszpe32.exe"
"c:\windows\system32\drivers\cuxhyo.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\cuxhyo.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CUXHYO
-------\Service_cuxhyo


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.

2010-07-01 10:10 . 2010-07-01 10:10 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\MSNInstaller
2010-06-30 20:22 . 2010-06-30 20:22 401720 ----a-w- C:\HiJackThis.exe
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- c:\program files\trend micro
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- C:\rsit
2010-06-29 18:04 . 2010-06-29 18:04 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-06-29 16:11 . 2010-06-29 16:11 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-29 16:03 . 2010-06-29 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-27 21:57 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-06-03 14:05 . 2010-06-04 05:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 13:51 . 2006-01-26 07:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-06-30 12:49 . 2010-06-30 12:49 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qcopjv.dat
2010-06-30 06:34 . 2010-06-30 06:34 16 ----a-w- c:\documents and settings\LocalService\Application Data\qcopjv.dat
2010-06-27 21:56 . 2010-06-27 21:55 16 ----a-w- c:\documents and settings\NetworkService\Application Data\qcopjv.dat
2010-05-24 20:03 . 2010-05-24 20:03 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-sse.dll
2010-05-24 20:03 . 2010-05-24 20:03 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcp71.dll
2010-05-24 20:03 . 2010-05-24 20:03 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\jmc.dll
2010-05-24 20:03 . 2010-05-24 20:03 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcr71.dll
2010-05-24 20:03 . 2010-05-24 20:03 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-d3d.dll
2010-05-17 15:09 . 2010-05-17 15:09 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcp71.dll
2010-05-17 15:09 . 2010-05-17 15:09 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\jmc.dll
2010-05-17 15:09 . 2010-05-17 15:09 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcr71.dll
2010-05-17 15:09 . 2010-05-17 15:09 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-sse.dll
2010-05-17 15:09 . 2010-05-17 15:09 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-d3d.dll
2010-05-13 11:22 . 2010-05-13 11:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-12 15:29 . 2010-05-17 15:09 411368 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-07 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-07 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-07 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 14743552]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-11 143360]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-08-18 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
siszpe32.exe [2008-4-14 32256]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

S1 ifr06fa;ifr06fa;c:\windows\system32\drivers\ifr06fa.sys --> c:\windows\system32\drivers\ifr06fa.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\74smzyi6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 16:41
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(444)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\acer\eManager\anbmServ.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-07-01 16:45:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-01 14:45
ComboFix2.txt 2010-07-01 14:05

Avant-CF: 26 660 241 408 octets libres
Après-CF: 26 642 513 920 octets libres

- - End Of File - - A1BB568509059E531D0AB7105C97D05B
0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
nan pas besoin de formater :)


DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

file:: 
c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\siszpe32.exe


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://www.cijoint.fr/ et donne le lien ici dans un nouveau message.



Rise Against rules :D
1
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Ok je vais faire comme-ça... Le rapport n'indique pas la présence de rootkit (chais même pas que ce-là signifie mais bon...).
Encore merci.
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
c'est OK yep.
Désolé pour la boulette :)


Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.


Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html

1
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
MERCI MERCI MERCI
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
surtout mets bien tes logiciels à jour car adobe Reader 7.0
c'est mal, très mal.
0
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
je suis en train de tout "enlever" pour installer les versions plus modernes on va dire
mais par exemple iTunes et machin, j'enlève définitivement car j'en ai marre
et en plus Avira (gratuit) c'est nul des nuls
0
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
tiens! error 1327 lors de la suppression de adobe 7.0
je ne peux pas l'enlever???
0
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
ah mais peut-être que il était installé sur F effectivement, je vais regarder le registre

bon merci encoreeeeeee
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ha p'tain attends :\
0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
j'ai fait une boulette dans le premier script, c'est pour ça que le fichier siszpe32.exe
n'a pas été supprimé.

manque le e à la fin de démarrage \o

c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrag\siszpe32.exe

Faut refaire un CFScript avec le e et les accents dans le chemin !

J'ai édité là : https://forums.commentcamarche.net/forum/affich-18337930-trojans-crypt-zpacjk-gen-et-agentbypass#7

regarde bien d'avoir les accents et le e à démarrage :)

désolé :)


Rise Against rules :D
0
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
cacaboudin! je vais faire comme-ça alors (hrsement j'ai pas fait le deuxième txt
0
Mathieu_ Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Apparemment le UC ça va bien (2%), seulement pendant le travail de ComboFix, il y a eu une erreur PEV.exe qui n'a pourtant pas bloqué les étapes...
Bon.
Apparemment tout va bien là?
Que-ce que t'en penses?


Voici le dernier log aprés le CFScript reédité:



ComboFix 10-06-30.03 - Utilisateur 01/07/2010 17:58:57.3.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.278 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFScript.txt

FILE ::
"c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\siszpe32.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\siszpe32.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.

2010-07-01 10:10 . 2010-07-01 10:10 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\MSNInstaller
2010-06-30 20:22 . 2010-06-30 20:22 401720 ----a-w- C:\HiJackThis.exe
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- c:\program files\trend micro
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- C:\rsit
2010-06-29 18:04 . 2010-06-29 18:04 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-06-29 16:11 . 2010-06-29 16:11 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-29 16:03 . 2010-06-29 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-27 21:57 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-06-03 14:05 . 2010-06-04 05:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 13:51 . 2006-01-26 07:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-06-30 12:49 . 2010-06-30 12:49 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qcopjv.dat
2010-06-30 06:34 . 2010-06-30 06:34 16 ----a-w- c:\documents and settings\LocalService\Application Data\qcopjv.dat
2010-06-27 21:56 . 2010-06-27 21:55 16 ----a-w- c:\documents and settings\NetworkService\Application Data\qcopjv.dat
2010-05-24 20:03 . 2010-05-24 20:03 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-sse.dll
2010-05-24 20:03 . 2010-05-24 20:03 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcp71.dll
2010-05-24 20:03 . 2010-05-24 20:03 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\jmc.dll
2010-05-24 20:03 . 2010-05-24 20:03 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcr71.dll
2010-05-24 20:03 . 2010-05-24 20:03 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-d3d.dll
2010-05-17 15:09 . 2010-05-17 15:09 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcp71.dll
2010-05-17 15:09 . 2010-05-17 15:09 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\jmc.dll
2010-05-17 15:09 . 2010-05-17 15:09 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcr71.dll
2010-05-17 15:09 . 2010-05-17 15:09 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-sse.dll
2010-05-17 15:09 . 2010-05-17 15:09 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-d3d.dll
2010-05-13 11:22 . 2010-05-13 11:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-12 15:29 . 2010-05-17 15:09 411368 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-07-01_14.41.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-01 16:13 . 2010-07-01 16:13 16384 c:\windows\Temp\Perflib_Perfdata_6f8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-07 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-07 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-07 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 14743552]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-11 143360]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-08-18 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

S1 ifr06fa;ifr06fa;c:\windows\system32\drivers\ifr06fa.sys --> c:\windows\system32\drivers\ifr06fa.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - INT15.SYS
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\74smzyi6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 18:14
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3816)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\acer\eManager\anbmServ.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-07-01 18:18:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-01 16:18
ComboFix2.txt 2010-07-01 14:45
ComboFix3.txt 2010-07-01 14:05

Avant-CF: 26 623 049 728 octets libres
Après-CF: 26 607 878 144 octets libres

- - End Of File - - A279CD5F860BBE654BDF7BAD9214D581
0

Discussions similaires

Trojans Sirefef.b et Sirefef.p
momarqc -
momarqc -

33 réponses
des spywares et Trojans envahissent mon pc
titite_baby -
titite_baby -

37 réponses
Worm WIN32, trojans SillyDL DIC,Rolepi GM
vinoth91 -
vinoth91 -

5 réponses