Sujet Précédent Sujet Suivant

Rootkit agent

Résolu/Fermé
kefir21 - 5 juil. 2010 à 09:46
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 - 8 juil. 2010 à 16:31
Bonjour,





J'ai un rootkit agent sur mon pc et impossible de m'en débarasser! mon opérateur vient de m'envoyer un mail de sécurité me disant qu'il recevait des spams de ma messagerie.

Comment faire?

Merci

25 réponses

  • 1
  • 2
Réponse 1 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
5 juil. 2010 à 09:49
SALUT

ET DEBRANCHE LE CABLE D4INTERNET QUAND TU TE SERT PAS DE TON PC

Utilise ce logiciel de diagnostic :

* Télécharge ZHPDiag
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
http://www.cijoint.fr/
0
Réponse 2 / 25
kefir21
5 juil. 2010 à 18:11
Merci, voici le lien demandé avec le rapport


http://www.cijoint.fr/cjlink.php?file=cj201007/cijclYvaos.txt
0
Réponse 3 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
5 juil. 2010 à 19:25
re


tu nas pas supprimer des lignes par hasard ?
tu es sur que le rapport est bien entier que tu n'a rien oublai est supprimer car il en manque pas mal.




bon fait deja sa :


* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
https://www.ionos.fr/?affiliate_id=77097
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !


puis


* Télécharge Malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
* Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
* Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
0
Réponse 4 / 25
kefir21
5 juil. 2010 à 20:35
Désolé je ne sais pas ce que j'ai fait avec le premier rapport... dois je recommencer?


############################## | UsbFix 7.016 | [Suppression]

Utilisateur: Admin (Administrateur) # PC-DE-ADMIN [HP-Pavilion KT600AA-ABF a6443.fr]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 19:52:29 | 05/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-Bit) #
Internet Explorer 8.0.6001.18904

Pare-feu Windows: Activé
Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
RAM -> 3327 Mo
C:\ (%systemdrive%) -> Disque fixe # 456 Go (325 Go libre(s) - 71%) [HP] # NTFS
D:\ -> Disque fixe # 10 Go (1 Go libre(s) - 14%) [FACTORY_IMAGE] # NTFS
E:\ -> CD-ROM
J:\ -> Disque amovible # 960 Mo (664 Mo libre(s) - 69%) [] # FAT32
K:\ -> Disque amovible # 2 Go (22 Mo libre(s) - 1%) [TOSHIBA] # FAT

################## | Éléments infectieux |

Non supprimé ! E:\Autorun.inf
Non supprimé ! E:\intro.exe

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[05/11/2009 - 21:41:05 | D ] C:\$AVG
[05/07/2010 - 19:53:55 | SHD ] C:\$RECYCLE.BIN
[11/03/2010 - 18:43:39 | D ] C:\1fef8f4567dd72ad0af5f76c498c9c9b
[12/11/2009 - 13:12:37 | D ] C:\4d04c49cac194ab8b694baa89dfd
[15/02/2010 - 09:07:57 | D ] C:\a9c7ae6c8635e6e6e049
[22/05/2010 - 08:58:06 | D ] C:\adeshi
[10/04/2008 - 15:38:53 | A | 74] C:\autoexec.bat
[05/07/2010 - 19:48:58 | RASHD ] C:\Autorun.inf
[11/04/2008 - 00:28:59 | D ] C:\Boot
[02/11/2006 - 11:53:57 | RASH | 438840] C:\bootmgr
[11/04/2008 - 00:29:00 | RAS | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[30/06/2009 - 09:46:05 | SHD ] C:\Documents and Settings
[13/04/2010 - 11:35:15 | D ] C:\emme
[05/07/2010 - 08:06:07 | ASH | 3488899072] C:\hiberfil.sys
[31/10/2009 - 11:20:37 | D ] C:\hp
[29/02/2004 - 17:44:34 | A | 52576] C:\orange.bmp
[05/07/2010 - 08:06:07 | ASH | 3802660864] C:\pagefile.sys
[05/07/2010 - 10:02:30 | RD ] C:\Program Files
[22/05/2010 - 09:57:43 | D ] C:\ProgramData
[15/08/2009 - 13:46:40 | A | 574] C:\RHDSetup.log
[05/07/2010 - 11:02:22 | SHD ] C:\System Volume Information
[22/05/2010 - 09:44:36 | A | 753] C:\TCleaner.txt
[15/08/2009 - 13:52:02 | D ] C:\Temp
[05/07/2010 - 19:53:55 | D ] C:\UsbFix
[05/07/2010 - 19:52:30 | A | 2431] C:\UsbFix.txt
[05/07/2010 - 19:49:02 | A | 739270] C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
[30/06/2009 - 09:49:30 | RD ] C:\Users
[18/06/2010 - 17:13:39 | D ] C:\WINDOWS
[05/11/2009 - 21:41:05 | D ] D:\$AVG
[05/07/2010 - 19:53:55 | D ] D:\$RECYCLE.BIN
[05/07/2010 - 19:48:58 | RASHD ] D:\Autorun.inf
[22/06/2007 - 17:44:20 | SH | 438328] D:\boo.mgr
[30/06/2009 - 10:33:28 | D ] D:\boot
[02/11/2006 - 01:53:58 | SH | 438840] D:\bootmgr
[19/06/2007 - 16:22:06 | ASH | 1322] D:\Desktop.ini
[30/06/2009 - 10:25:25 | SH | 0] D:\DRECOVERY
[30/06/2009 - 10:33:28 | D ] D:\hp
[11/04/2008 - 02:38:12 | SH | 111] D:\MASTER.LOG
[30/06/2009 - 09:50:38 | D ] D:\PC-Doctor 5 for Win PE
[30/06/2009 - 09:50:37 | SH | 428] D:\pcdr.ini
[30/06/2009 - 10:33:28 | D ] D:\PRELOAD
[19/06/2007 - 16:22:06 | ASH | 181616] D:\Protect.ed
[21/09/2008 - 15:40:13 | D ] D:\rc
[30/06/2009 - 10:33:28 | RD ] D:\RECOVERY
[11/04/2008 - 02:38:12 | SH | 44] D:\RESTORE.INI
[30/06/2009 - 10:33:28 | D ] D:\SOURCES
[01/01/2008 - 06:27:38 | SHD ] D:\System Volume Information
[11/04/2008 - 02:38:13 | RD ] D:\Windows
[28/04/2005 - 13:52:04 | D ] E:\A0
[22/04/2005 - 18:15:24 | D ] E:\Assets
[28/04/2005 - 16:25:16 | D ] E:\Media
[04/03/2005 - 17:07:27 | D ] E:\QTime
[11/03/2005 - 17:36:28 | R | 3186991] E:\autorun.exe
[18/02/2005 - 12:01:38 | R | 47] E:\autorun.inf
[31/08/2004 - 17:32:52 | R | 112230] E:\demo.exe
[13/02/2002 - 18:59:58 | R | 21747] E:\emme.wri
[18/02/2004 - 10:41:36 | R | 0] E:\fithle.txt
[21/01/2005 - 12:26:58 | R | 598346] E:\garantie.exe
[14/01/2005 - 16:43:36 | R | 921656] E:\install.BMP
[28/04/2005 - 16:24:14 | R | 1579704] E:\install.exe
[11/03/2005 - 17:21:34 | R | 1876] E:\install.ini
[22/04/2005 - 17:34:02 | R | 1013057] E:\intro.exe
[22/04/2005 - 17:38:28 | R | 7239061] E:\jingle_enfants.flv
[03/02/2005 - 16:03:30 | R | 36894] E:\justine4.ico
[28/04/2005 - 17:07:58 | R | 390070272] E:\padding.dat
[11/09/1998 - 13:44:34 | R | 12288] E:\pr.exe
[20/05/2010 - 11:50:52 | A | 824681] J:\RSIT.exe
[20/05/2010 - 14:27:46 | A | 1256] J:\BOOTEX.LOG
[09/02/2009 - 16:34:30 | D ] J:\Archive Masque Psycho
[26/03/2010 - 14:52:56 | D ] J:\AUTRE
[30/04/2010 - 11:51:36 | A | 6053888] J:\LAETITIA AVRIL 2010 S6.mdb
[16/03/2010 - 16:53:32 | A | 5619712] J:\SUIVI6 VIERGE.mdb
[05/07/2010 - 19:49:00 | RASHD ] J:\Autorun.inf
[02/04/2010 - 10:10:10 | A | 937948] J:\SUIVI6 LAETITIA MARS 2010.zip
[30/04/2010 - 11:52:42 | A | 949986] J:\LAETITIA AVRIL 2010 S6.zip
[22/04/2010 - 10:31:50 | A | 5865472] J:\LAETITIA AVRIL 2010 BIS.mdb
[27/04/2010 - 15:51:22 | A | 5988352] J:\Copie de LAETITIA AVRIL 2010 S6.mdb
[30/04/2010 - 11:59:28 | A | 841431] J:\SUIVI6 nouveau masque.zip
[30/04/2010 - 12:01:30 | D ] J:\SUIVI6 nouveau masque
[18/05/2010 - 16:40:34 | A | 5922816] J:\LAETITIA MAIL SUIVI6.mdb
[03/05/2010 - 15:09:50 | A | 932924] J:\LAETITIA AVRIL 2010 BIS.zip
[20/05/2010 - 11:49:00 | D ] J:\Impossible d'aller sur internet après virus [Résolu]_fichiers
[20/05/2010 - 11:49:20 | A | 87713] J:\Impossible d'aller sur internet après virus [Résolu].htm
[20/05/2010 - 11:50:34 | A | 6153352] J:\mbam-setup-1.46.exe
[20/05/2010 - 16:24:08 | A | 5296296] J:\spywarefighter.exe
[20/05/2010 - 16:26:14 | A | 16409960] J:\spybotsd162.exe
[05/02/2010 - 09:15:12 | A | 1355776] J:\Headache Questions.mdb
[03/06/2008 - 21:02:56 | D ] K:\Photos
[04/10/2009 - 16:58:56 | A | 24064] K:\C.V laetitia.doc
[25/03/2010 - 02:39:50 | A | 13117] K:\Bilan.odt
[17/03/2010 - 07:36:06 | A | 22347] K:\cv sebastien.odt
[06/05/2010 - 12:47:52 | A | 38912] K:\MODELE FEUILLE PAYE.xls
[05/07/2010 - 19:49:02 | RASHD ] K:\Autorun.inf

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

j' envoie l'autre rapport dès que l'analyse est terminée
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
kefir21
5 juil. 2010 à 22:10
Voici l'autre rapport :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4279

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

05/07/2010 21:48:42
mbam-log-2010-07-05 (21-48-42).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 284739
Temps écoulé: 1 heure(s), 15 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\System32\drivers\cqrsgva.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
0
Réponse 6 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
6 juil. 2010 à 09:01
salut


c'est qu'oi le CD que tu as dans ton lecteur ?
c'est un CD quez tu as graver toi ?



ensuite on s'attaque au rootkit :



desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse
0
Réponse 7 / 25
kefir21
6 juil. 2010 à 18:52
je réactive mon anti virus?
0
Réponse 8 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
6 juil. 2010 à 18:57
non tu le desactive avant de telecharger le fichier, lance le fichier suit les instrcutions

une fois fini le scan, tu devras peut etre redemarrer ton PC manuellemnt si des fonctions ne marche pas ou si tu n'as plus internet.


et une fois redemarrer ton antivirus va ce reactiver automatiquement, si c'est pas le cas active le.


en attente du rapport que tu pourra retrouver dans C:/combofix.txt
0
Réponse 9 / 25
kefir21
6 juil. 2010 à 18:57
Bonjour, concernant le cd c'est un jeu que j'ai acheté à mon fils, j'avais oublié de le retirer.

Après avoir fait l'analyse avec combo, impossible d'aller sur internet autrement qu'en faisant "exécuter en tant qu'administrateur", est-ce normal?

voici le rapport. Je réactive l'antivirus?

ComboFix 10-07-05.03 - Admin 06/07/2010 18:30:09.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3326.2396 [GMT 2:00]
Lancé depuis: c:\users\Admin\Desktop\laetitia.exe
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 16:35 . 2010-07-06 16:35 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-07-06 16:35 . 2010-07-06 16:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-05 17:44 . 2010-07-05 17:54 739283 ----a-w- C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
2010-07-05 17:40 . 2010-07-05 17:54 -------- d-----w- C:\UsbFix
2010-07-05 08:02 . 2010-07-05 17:38 -------- d-----w- c:\program files\ZHPDiag

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 16:25 . 2009-11-05 16:55 -------- d-----w- c:\programdata\avg9
2010-07-06 16:21 . 2010-02-05 20:24 602 ----a-w- c:\programdata\ArcSoft\kodak-printcreations-22-080812-oem\acforall.dll
2010-07-05 17:59 . 2010-05-20 16:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-05 17:45 . 2008-04-10 22:28 690594 ----a-w- c:\windows\system32\perfh00C.dat
2010-07-05 17:45 . 2008-04-10 22:28 117366 ----a-w- c:\windows\system32\perfc00C.dat
2010-07-05 11:41 . 2010-03-11 19:40 1 ----a-w- c:\users\Admin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-07 06:09 . 2010-03-14 09:46 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-28 10:35 . 2010-05-28 10:35 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbFA58.tmp.exe
2010-05-22 07:44 . 2010-05-20 16:04 -------- d-----w- c:\program files\trend micro
2010-05-22 06:44 . 2010-05-20 17:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-22 06:40 . 2010-05-20 17:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-20 16:10 . 2010-01-28 13:28 1712 ----a-w- c:\users\Admin\AppData\Roaming\wklnhst.dat
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\programdata\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- dc-h--w- c:\programdata\{4C69BCF0-B586-4D30-83FD-D1FFA37AF48C}
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Fighters
2010-05-19 11:31 . 2010-05-19 11:31 16 ----a-w- c:\users\Admin\AppData\Roaming\wpcalv.dat
2010-05-15 22:03 . 2009-11-05 20:28 -------- d-----w- c:\users\Admin\AppData\Roaming\LimeWire
2010-05-15 16:08 . 2009-08-15 11:57 -------- d-----w- c:\program files\EasyBits For Kids
2010-05-15 16:04 . 2009-11-05 20:27 -------- d-----w- c:\program files\LimeWire
2010-05-12 09:21 . 2009-10-03 07:16 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-04-29 13:39 . 2010-05-22 07:53 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-05-22 07:53 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-16 11:18 . 2009-07-01 19:05 680 ----a-w- c:\users\Admin\AppData\Local\d3d9caps.dat
2010-04-09 10:37 . 2010-04-09 10:37 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-04-10 23:02 . 2008-04-10 22:30 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-04 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-11-15 44168]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel Kodak EasyShare.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel Kodak EasyShare.lnk
backup=c:\windows\pss\Logiciel Kodak EasyShare.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2010-03-18 10:19 207360 ----a-w- c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BIBLauncher]
2009-11-16 10:04 853736 ----a-w- c:\users\Admin\BIBLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPAdvisor]
2008-01-18 16:21 942080 ----a-w- c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
2007-04-18 15:01 65536 ----a-w- c:\hp\support\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2008-06-02 16:50 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
2006-12-08 15:16 65536 ----a-w- c:\hp\KBD\KbdStub.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-13 13:58 8530464 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-12-13 13:58 81920 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2007-12-13 13:58 86016 ----a-w- c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OsdMaestro]
2007-02-15 11:59 118784 ----a-w- c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-07-03 09:27 6266880 ----a-w- c:\windows\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2008-04-10 23:04 1232896 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-07-04 20:01 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-04-10 22:35 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate1ca4a4d6a2dccbb;Service Google Update (gupdate1ca4a4d6a2dccbb);c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 133104]
S2 ezntsvc;EasyBits Magic Desktop Services for Windows NT;c:\windows\system32\ezNTSvc.exe [2009-08-15 33792]
S4 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [x]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - AvgLdx86
*Deregistered* - cqrsgva
.
Contenu du dossier 'Tâches planifiées'

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-04 c:\windows\Tasks\HPCeeScheduleForAdmin.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-04-10 10:10]

2010-07-06 c:\windows\Tasks\User_Feed_Synchronization-{7E6065A7-C35F-4899-9C25-001C0B77A369}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-06 18:35
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cqrsgva]

.
Heure de fin: 2010-07-06 18:36:55
ComboFix-quarantined-files.txt 2010-07-06 16:36

Avant-CF: 347 607 932 928 octets libres
Après-CF: 347 613 089 792 octets libres

- - End Of File - - 8430753D411E1FA4971193E4DB4D87D0
0
Réponse 10 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
Modifié par plopus le 6/07/2010 à 20:02
oui reactive ton antivirus et redemarre ton PC pour regler les ptit disfonctionnement suite au passage de combo


si tu avais lu, tu aurai deja la reponse a tes questions que tu viens de poser :)


desinstalle aussi spybot, il est completment nul et surtout gene la desinfection !!


a+ tard pour le suite
0
Réponse 11 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
6 juil. 2010 à 20:06
Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :







killall::

rootkit::
C:\WINDOWS\System32\drivers\cqrsgva.sys

driver::
cqrsgva

reg::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cqrsgva]








Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.



une fois fait sa reposte un nouveau ZHPdiag en l'hebergeant (voir 1er poste)
0
Réponse 12 / 25
kefir21
6 juil. 2010 à 21:31
par contre je ne parviens pas à exécuter zhp diag a chaque fois "create process a echoué; code 740; l'opération demandée necessite une élévation" ..... que dois je faire?
0
Réponse 13 / 25
kefir21
6 juil. 2010 à 21:58
ComboFix 10-07-05.03 - Admin 06/07/2010 21:03:23.3.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3326.2309 [GMT 2:00]
Lancé depuis: c:\users\Admin\Desktop\laetitia.exe
Commutateurs utilisés :: c:\users\Admin\Desktop\CFscript.txt
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CQRSGVA
-------\Service_cqrsgva


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 19:07 . 2010-07-06 19:09 -------- d-----w- c:\users\Admin\AppData\Local\temp
2010-07-06 19:07 . 2010-07-06 19:07 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-07-06 19:07 . 2010-07-06 19:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-06 16:28 . 2010-07-06 16:36 -------- d-----w- C:\laetitia
2010-07-05 17:44 . 2010-07-05 17:54 739283 ----a-w- C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
2010-07-05 17:40 . 2010-07-05 17:54 -------- d-----w- C:\UsbFix
2010-07-05 08:02 . 2010-07-05 17:38 -------- d-----w- c:\program files\ZHPDiag

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 19:09 . 2010-02-05 20:24 602 ----a-w- c:\programdata\ArcSoft\kodak-printcreations-22-080812-oem\acforall.dll
2010-07-06 19:08 . 2010-05-19 11:32 823808 ----a-w- c:\windows\system32\drivers\cqrsgva.sys
2010-07-06 19:01 . 2009-11-05 16:55 -------- d-----w- c:\programdata\avg9
2010-07-05 17:59 . 2010-05-20 16:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-05 17:45 . 2008-04-10 22:28 690594 ----a-w- c:\windows\system32\perfh00C.dat
2010-07-05 17:45 . 2008-04-10 22:28 117366 ----a-w- c:\windows\system32\perfc00C.dat
2010-07-05 11:41 . 2010-03-11 19:40 1 ----a-w- c:\users\Admin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-07 06:09 . 2010-03-14 09:46 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-28 10:35 . 2010-05-28 10:35 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbFA58.tmp.exe
2010-05-22 07:44 . 2010-05-20 16:04 -------- d-----w- c:\program files\trend micro
2010-05-22 06:44 . 2010-05-20 17:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-22 06:40 . 2010-05-20 17:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-21 12:14 . 2009-10-03 07:16 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-20 16:10 . 2010-01-28 13:28 1712 ----a-w- c:\users\Admin\AppData\Roaming\wklnhst.dat
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\programdata\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- dc-h--w- c:\programdata\{4C69BCF0-B586-4D30-83FD-D1FFA37AF48C}
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Fighters
2010-05-19 11:31 . 2010-05-19 11:31 16 ----a-w- c:\users\Admin\AppData\Roaming\wpcalv.dat
2010-05-15 22:03 . 2009-11-05 20:28 -------- d-----w- c:\users\Admin\AppData\Roaming\LimeWire
2010-05-15 16:08 . 2009-08-15 11:57 -------- d-----w- c:\program files\EasyBits For Kids
2010-05-15 16:04 . 2009-11-05 20:27 -------- d-----w- c:\program files\LimeWire
2010-04-29 13:39 . 2010-05-22 07:53 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-05-22 07:53 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-16 11:18 . 2009-07-01 19:05 680 ----a-w- c:\users\Admin\AppData\Local\d3d9caps.dat
2010-04-09 10:37 . 2010-04-09 10:37 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-04-10 23:02 . 2008-04-10 22:30 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-04 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-11-15 44168]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel Kodak EasyShare.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel Kodak EasyShare.lnk
backup=c:\windows\pss\Logiciel Kodak EasyShare.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2010-03-18 10:19 207360 ----a-w- c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BIBLauncher]
2009-11-16 10:04 853736 ----a-w- c:\users\Admin\BIBLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPAdvisor]
2008-01-18 16:21 942080 ----a-w- c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
2007-04-18 15:01 65536 ----a-w- c:\hp\support\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2008-06-02 16:50 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
2006-12-08 15:16 65536 ----a-w- c:\hp\KBD\KbdStub.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-13 13:58 8530464 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-12-13 13:58 81920 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2007-12-13 13:58 86016 ----a-w- c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OsdMaestro]
2007-02-15 11:59 118784 ----a-w- c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-07-03 09:27 6266880 ----a-w- c:\windows\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2008-04-10 23:04 1232896 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-07-04 20:01 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-04-10 22:35 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
Contenu du dossier 'Tâches planifiées'

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-04 c:\windows\Tasks\HPCeeScheduleForAdmin.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-04-10 10:10]

2010-07-06 c:\windows\Tasks\User_Feed_Synchronization-{7E6065A7-C35F-4899-9C25-001C0B77A369}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\system32\ezNTSvc.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-07-06 21:15:05 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-06 19:15
ComboFix2.txt 2010-07-06 16:36

Avant-CF: 348 929 265 664 octets libres
Après-CF: 349 193 400 320 octets libres

- - End Of File - - A84291C95F5615F0AE5F4D1EFF61E13F
0
Réponse 14 / 25
kefir21
6 juil. 2010 à 22:01
cela fait plusieurs fois que je poste le rapport combo, ca a l'air de marcher mais quand je retourne dans la discussion celui-ci n'apparait pas; vous est-il parvenu?
0
Réponse 15 / 25
kefir21
7 juil. 2010 à 07:40
pardon je viens de voir que c'est ok
0
Réponse 16 / 25
kefir21
7 juil. 2010 à 07:50
Voila pr zhpdiag je viens de reussir

http://www.cijoint.fr/cjlink.php?file=cj201007/cijQFbUEuk.txt
0
Réponse 17 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
7 juil. 2010 à 10:08
slt

faut refaire le rootkit n'a pas etai supprimer :


Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :





killall::

file::
c:\users\Admin\AppData\Roaming\wpcalv.dat
c:\users\Admin\AppData\Roaming\wklnhst.dat
c:\windows\system32\drivers\cqrsgva.sys

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:5555






Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.



puis il reste ds traces d'adware



Télécharge AD-Remover (de C_XX) sur ton Bureau.
https://www.androidworld.fr/
:!: Déconnecte toi et ferme toutes les applications en cours :!:
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


et ensuite sa devrais aller pas mal normalement
0
Réponse 18 / 25
kefir21
7 juil. 2010 à 10:56
======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:44:54 le 07/07/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
Admin@PC-DE-ADMIN (HP-Pavilion KT600AA-ABF a6443.fr)

============== ACTION(S) ==============


0,Dossier supprimé: C:\Users\Admin\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\8686g9w5.default\Prefs.js --
Ligne supprimée: user_pref("CT2186548.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT218...
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "P2P Max France Customized Web Search");
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2186548&Sea...
-- Fichier Fermé --


0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\8686g9w5.default\Prefs.js --
browser.search.selectedEngine, Search
browser.startup.homepage, hxxp://www.pucuy.com
browser.startup.homepage, hxxp://www.pucuy.com
keyword.URL, hxxp://fr.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_fr&p=

========================================

** Internet Explorer Version [8.0.6001.18904] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/07/2010 (2920 Octet(s))

Fin à: 10:46:01, 07/07/2010

============== E.O.F ==============
0
Réponse 19 / 25
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
7 juil. 2010 à 12:46
en theorie vaut mieux faire sa avant, bref le faire dans l'ordre mit la prochaine fois...



Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :





killall::

file::
c:\users\Admin\AppData\Roaming\wpcalv.dat
c:\users\Admin\AppData\Roaming\wklnhst.dat
c:\windows\system32\drivers\cqrsgva.sys

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:5555






Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
0
Réponse 20 / 25
kefir21
7 juil. 2010 à 13:23
J'ai bien fait combo avant et j'ai posté le rapport mais à priori ca n'a pas marché. A chaque fois j'ai beaucoup de mal à poster les rapports combo
0
kefir21
7 juil. 2010 à 13:24
je réessaie
0
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
7 juil. 2010 à 15:16
au pire clic sur mon nom st poste le rapport en MP (message privée)

il doit y avoir un mot blacklister dedans ou appui sur signaler et tu lmarque que le rapport en passe pas
0

Discussions similaires

QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
Boucle sur la première diapositive d'une présentation
ND83 -
ndubau -

3 réponses
Comment supprimer Quickshare ?
Jo_le_rigolo -
Malekal_morte- -

5 réponses
Quick Start : qu'est-ce que c'est ?
arya-san -
Destrio5 -

1 réponse
supprimer Quickshare
nikko777 -
Malekal_morte- -

7 réponses