Rootkit agent

Résolu
kefir21 -  
plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,



J'ai un rootkit agent sur mon pc et impossible de m'en débarasser! mon opérateur vient de m'envoyer un mail de sécurité me disant qu'il recevait des spams de ma messagerie.

Comment faire?

Merci

25 réponses

  • 1
  • 2
  1. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    SALUT

    ET DEBRANCHE LE CABLE D4INTERNET QUAND TU TE SERT PAS DE TON PC

    Utilise ce logiciel de diagnostic :

    * Télécharge ZHPDiag
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
    http://www.cijoint.fr/
    0
  2. kefir21
     
    Merci, voici le lien demandé avec le rapport

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijclYvaos.txt
    0
  3. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    tu nas pas supprimer des lignes par hasard ?
    tu es sur que le rapport est bien entier que tu n'a rien oublai est supprimer car il en manque pas mal.

    bon fait deja sa :

    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    https://www.ionos.fr/?affiliate_id=77097
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    * Clique sur "Suppression"
    * Laisse travailler l'outil
    * Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    :!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    puis

    * Télécharge Malwarebytes
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
    0
  4. kefir21
     
    Désolé je ne sais pas ce que j'ai fait avec le premier rapport... dois je recommencer?

    ############################## | UsbFix 7.016 | [Suppression]

    Utilisateur: Admin (Administrateur) # PC-DE-ADMIN [HP-Pavilion KT600AA-ABF a6443.fr]
    Mis à jour le 05/07/10 par El Desaparecido / C_XX
    Lancé à 19:52:29 | 05/07/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-Bit) #
    Internet Explorer 8.0.6001.18904

    Pare-feu Windows: Activé
    Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
    RAM -> 3327 Mo
    C:\ (%systemdrive%) -> Disque fixe # 456 Go (325 Go libre(s) - 71%) [HP] # NTFS
    D:\ -> Disque fixe # 10 Go (1 Go libre(s) - 14%) [FACTORY_IMAGE] # NTFS
    E:\ -> CD-ROM
    J:\ -> Disque amovible # 960 Mo (664 Mo libre(s) - 69%) [] # FAT32
    K:\ -> Disque amovible # 2 Go (22 Mo libre(s) - 1%) [TOSHIBA] # FAT

    ################## | Éléments infectieux |

    Non supprimé ! E:\Autorun.inf
    Non supprimé ! E:\intro.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing |

    [05/11/2009 - 21:41:05 | D ] C:\$AVG
    [05/07/2010 - 19:53:55 | SHD ] C:\$RECYCLE.BIN
    [11/03/2010 - 18:43:39 | D ] C:\1fef8f4567dd72ad0af5f76c498c9c9b
    [12/11/2009 - 13:12:37 | D ] C:\4d04c49cac194ab8b694baa89dfd
    [15/02/2010 - 09:07:57 | D ] C:\a9c7ae6c8635e6e6e049
    [22/05/2010 - 08:58:06 | D ] C:\adeshi
    [10/04/2008 - 15:38:53 | A | 74] C:\autoexec.bat
    [05/07/2010 - 19:48:58 | RASHD ] C:\Autorun.inf
    [11/04/2008 - 00:28:59 | D ] C:\Boot
    [02/11/2006 - 11:53:57 | RASH | 438840] C:\bootmgr
    [11/04/2008 - 00:29:00 | RAS | 8192] C:\BOOTSECT.BAK
    [18/09/2006 - 23:43:37 | A | 10] C:\config.sys
    [30/06/2009 - 09:46:05 | SHD ] C:\Documents and Settings
    [13/04/2010 - 11:35:15 | D ] C:\emme
    [05/07/2010 - 08:06:07 | ASH | 3488899072] C:\hiberfil.sys
    [31/10/2009 - 11:20:37 | D ] C:\hp
    [29/02/2004 - 17:44:34 | A | 52576] C:\orange.bmp
    [05/07/2010 - 08:06:07 | ASH | 3802660864] C:\pagefile.sys
    [05/07/2010 - 10:02:30 | RD ] C:\Program Files
    [22/05/2010 - 09:57:43 | D ] C:\ProgramData
    [15/08/2009 - 13:46:40 | A | 574] C:\RHDSetup.log
    [05/07/2010 - 11:02:22 | SHD ] C:\System Volume Information
    [22/05/2010 - 09:44:36 | A | 753] C:\TCleaner.txt
    [15/08/2009 - 13:52:02 | D ] C:\Temp
    [05/07/2010 - 19:53:55 | D ] C:\UsbFix
    [05/07/2010 - 19:52:30 | A | 2431] C:\UsbFix.txt
    [05/07/2010 - 19:49:02 | A | 739270] C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
    [30/06/2009 - 09:49:30 | RD ] C:\Users
    [18/06/2010 - 17:13:39 | D ] C:\WINDOWS
    [05/11/2009 - 21:41:05 | D ] D:\$AVG
    [05/07/2010 - 19:53:55 | D ] D:\$RECYCLE.BIN
    [05/07/2010 - 19:48:58 | RASHD ] D:\Autorun.inf
    [22/06/2007 - 17:44:20 | SH | 438328] D:\boo.mgr
    [30/06/2009 - 10:33:28 | D ] D:\boot
    [02/11/2006 - 01:53:58 | SH | 438840] D:\bootmgr
    [19/06/2007 - 16:22:06 | ASH | 1322] D:\Desktop.ini
    [30/06/2009 - 10:25:25 | SH | 0] D:\DRECOVERY
    [30/06/2009 - 10:33:28 | D ] D:\hp
    [11/04/2008 - 02:38:12 | SH | 111] D:\MASTER.LOG
    [30/06/2009 - 09:50:38 | D ] D:\PC-Doctor 5 for Win PE
    [30/06/2009 - 09:50:37 | SH | 428] D:\pcdr.ini
    [30/06/2009 - 10:33:28 | D ] D:\PRELOAD
    [19/06/2007 - 16:22:06 | ASH | 181616] D:\Protect.ed
    [21/09/2008 - 15:40:13 | D ] D:\rc
    [30/06/2009 - 10:33:28 | RD ] D:\RECOVERY
    [11/04/2008 - 02:38:12 | SH | 44] D:\RESTORE.INI
    [30/06/2009 - 10:33:28 | D ] D:\SOURCES
    [01/01/2008 - 06:27:38 | SHD ] D:\System Volume Information
    [11/04/2008 - 02:38:13 | RD ] D:\Windows
    [28/04/2005 - 13:52:04 | D ] E:\A0
    [22/04/2005 - 18:15:24 | D ] E:\Assets
    [28/04/2005 - 16:25:16 | D ] E:\Media
    [04/03/2005 - 17:07:27 | D ] E:\QTime
    [11/03/2005 - 17:36:28 | R | 3186991] E:\autorun.exe
    [18/02/2005 - 12:01:38 | R | 47] E:\autorun.inf
    [31/08/2004 - 17:32:52 | R | 112230] E:\demo.exe
    [13/02/2002 - 18:59:58 | R | 21747] E:\emme.wri
    [18/02/2004 - 10:41:36 | R | 0] E:\fithle.txt
    [21/01/2005 - 12:26:58 | R | 598346] E:\garantie.exe
    [14/01/2005 - 16:43:36 | R | 921656] E:\install.BMP
    [28/04/2005 - 16:24:14 | R | 1579704] E:\install.exe
    [11/03/2005 - 17:21:34 | R | 1876] E:\install.ini
    [22/04/2005 - 17:34:02 | R | 1013057] E:\intro.exe
    [22/04/2005 - 17:38:28 | R | 7239061] E:\jingle_enfants.flv
    [03/02/2005 - 16:03:30 | R | 36894] E:\justine4.ico
    [28/04/2005 - 17:07:58 | R | 390070272] E:\padding.dat
    [11/09/1998 - 13:44:34 | R | 12288] E:\pr.exe
    [20/05/2010 - 11:50:52 | A | 824681] J:\RSIT.exe
    [20/05/2010 - 14:27:46 | A | 1256] J:\BOOTEX.LOG
    [09/02/2009 - 16:34:30 | D ] J:\Archive Masque Psycho
    [26/03/2010 - 14:52:56 | D ] J:\AUTRE
    [30/04/2010 - 11:51:36 | A | 6053888] J:\LAETITIA AVRIL 2010 S6.mdb
    [16/03/2010 - 16:53:32 | A | 5619712] J:\SUIVI6 VIERGE.mdb
    [05/07/2010 - 19:49:00 | RASHD ] J:\Autorun.inf
    [02/04/2010 - 10:10:10 | A | 937948] J:\SUIVI6 LAETITIA MARS 2010.zip
    [30/04/2010 - 11:52:42 | A | 949986] J:\LAETITIA AVRIL 2010 S6.zip
    [22/04/2010 - 10:31:50 | A | 5865472] J:\LAETITIA AVRIL 2010 BIS.mdb
    [27/04/2010 - 15:51:22 | A | 5988352] J:\Copie de LAETITIA AVRIL 2010 S6.mdb
    [30/04/2010 - 11:59:28 | A | 841431] J:\SUIVI6 nouveau masque.zip
    [30/04/2010 - 12:01:30 | D ] J:\SUIVI6 nouveau masque
    [18/05/2010 - 16:40:34 | A | 5922816] J:\LAETITIA MAIL SUIVI6.mdb
    [03/05/2010 - 15:09:50 | A | 932924] J:\LAETITIA AVRIL 2010 BIS.zip
    [20/05/2010 - 11:49:00 | D ] J:\Impossible d'aller sur internet après virus [Résolu]_fichiers
    [20/05/2010 - 11:49:20 | A | 87713] J:\Impossible d'aller sur internet après virus [Résolu].htm
    [20/05/2010 - 11:50:34 | A | 6153352] J:\mbam-setup-1.46.exe
    [20/05/2010 - 16:24:08 | A | 5296296] J:\spywarefighter.exe
    [20/05/2010 - 16:26:14 | A | 16409960] J:\spybotsd162.exe
    [05/02/2010 - 09:15:12 | A | 1355776] J:\Headache Questions.mdb
    [03/06/2008 - 21:02:56 | D ] K:\Photos
    [04/10/2009 - 16:58:56 | A | 24064] K:\C.V laetitia.doc
    [25/03/2010 - 02:39:50 | A | 13117] K:\Bilan.odt
    [17/03/2010 - 07:36:06 | A | 22347] K:\cv sebastien.odt
    [06/05/2010 - 12:47:52 | A | 38912] K:\MODELE FEUILLE PAYE.xls
    [05/07/2010 - 19:49:02 | RASHD ] K:\Autorun.inf

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |

    j' envoie l'autre rapport dès que l'analyse est terminée
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kefir21
     
    Voici l'autre rapport :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4279

    Windows 6.0.6000
    Internet Explorer 8.0.6001.18904

    05/07/2010 21:48:42
    mbam-log-2010-07-05 (21-48-42).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
    Elément(s) analysé(s): 284739
    Temps écoulé: 1 heure(s), 15 minute(s), 35 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\System32\drivers\cqrsgva.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    0
  7. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    c'est qu'oi le CD que tu as dans ton lecteur ?
    c'est un CD quez tu as graver toi ?

    ensuite on s'attaque au rootkit :

    desactive ton antivirus et TOUTES tes protections

    clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

    puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
    DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

    une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse
    0
  8. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    non tu le desactive avant de telecharger le fichier, lance le fichier suit les instrcutions

    une fois fini le scan, tu devras peut etre redemarrer ton PC manuellemnt si des fonctions ne marche pas ou si tu n'as plus internet.

    et une fois redemarrer ton antivirus va ce reactiver automatiquement, si c'est pas le cas active le.

    en attente du rapport que tu pourra retrouver dans C:/combofix.txt
    0
  9. kefir21
     
    Bonjour, concernant le cd c'est un jeu que j'ai acheté à mon fils, j'avais oublié de le retirer.

    Après avoir fait l'analyse avec combo, impossible d'aller sur internet autrement qu'en faisant "exécuter en tant qu'administrateur", est-ce normal?

    voici le rapport. Je réactive l'antivirus?

    ComboFix 10-07-05.03 - Admin 06/07/2010 18:30:09.2.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3326.2396 [GMT 2:00]
    Lancé depuis: c:\users\Admin\Desktop\laetitia.exe
    SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-06 16:35 . 2010-07-06 16:35 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-07-06 16:35 . 2010-07-06 16:35 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-07-05 17:44 . 2010-07-05 17:54 739283 ----a-w- C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
    2010-07-05 17:40 . 2010-07-05 17:54 -------- d-----w- C:\UsbFix
    2010-07-05 08:02 . 2010-07-05 17:38 -------- d-----w- c:\program files\ZHPDiag

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-06 16:25 . 2009-11-05 16:55 -------- d-----w- c:\programdata\avg9
    2010-07-06 16:21 . 2010-02-05 20:24 602 ----a-w- c:\programdata\ArcSoft\kodak-printcreations-22-080812-oem\acforall.dll
    2010-07-05 17:59 . 2010-05-20 16:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-07-05 17:45 . 2008-04-10 22:28 690594 ----a-w- c:\windows\system32\perfh00C.dat
    2010-07-05 17:45 . 2008-04-10 22:28 117366 ----a-w- c:\windows\system32\perfc00C.dat
    2010-07-05 11:41 . 2010-03-11 19:40 1 ----a-w- c:\users\Admin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-06-07 06:09 . 2010-03-14 09:46 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-05-28 10:35 . 2010-05-28 10:35 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbFA58.tmp.exe
    2010-05-22 07:44 . 2010-05-20 16:04 -------- d-----w- c:\program files\trend micro
    2010-05-22 06:44 . 2010-05-20 17:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-22 06:40 . 2010-05-20 17:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-05-20 16:10 . 2010-01-28 13:28 1712 ----a-w- c:\users\Admin\AppData\Roaming\wklnhst.dat
    2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Malwarebytes
    2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\programdata\Malwarebytes
    2010-05-20 16:06 . 2010-05-20 16:06 -------- dc-h--w- c:\programdata\{4C69BCF0-B586-4D30-83FD-D1FFA37AF48C}
    2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Fighters
    2010-05-19 11:31 . 2010-05-19 11:31 16 ----a-w- c:\users\Admin\AppData\Roaming\wpcalv.dat
    2010-05-15 22:03 . 2009-11-05 20:28 -------- d-----w- c:\users\Admin\AppData\Roaming\LimeWire
    2010-05-15 16:08 . 2009-08-15 11:57 -------- d-----w- c:\program files\EasyBits For Kids
    2010-05-15 16:04 . 2009-11-05 20:27 -------- d-----w- c:\program files\LimeWire
    2010-05-12 09:21 . 2009-10-03 07:16 221568 ------w- c:\windows\system32\MpSigStub.exe
    2010-04-29 13:39 . 2010-05-22 07:53 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-29 13:39 . 2010-05-22 07:53 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-16 11:18 . 2009-07-01 19:05 680 ----a-w- c:\users\Admin\AppData\Local\d3d9caps.dat
    2010-04-09 10:37 . 2010-04-09 10:37 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
    2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    2008-04-10 23:02 . 2008-04-10 22:30 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-04 39408]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "Launcher"="c:\windows\SMINST\launcher.exe" [2007-11-15 44168]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel Kodak EasyShare.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel Kodak EasyShare.lnk
    backup=c:\windows\pss\Logiciel Kodak EasyShare.lnk.CommonStartup
    backupExtension=.CommonStartup

    [HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
    path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
    backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
    2010-03-18 10:19 207360 ----a-w- c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BIBLauncher]
    2009-11-16 10:04 853736 ----a-w- c:\users\Admin\BIBLauncher.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
    2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPAdvisor]
    2008-01-18 16:21 942080 ----a-w- c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
    2007-04-18 15:01 65536 ----a-w- c:\hp\support\hpsysdrv.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
    2008-06-02 16:50 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
    2006-12-08 15:16 65536 ----a-w- c:\hp\KBD\KbdStub.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    2007-12-13 13:58 8530464 ----a-w- c:\windows\System32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    2007-12-13 13:58 81920 ----a-w- c:\windows\System32\nvmctray.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
    2007-12-13 13:58 86016 ----a-w- c:\windows\System32\nvsvc.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OsdMaestro]
    2007-02-15 11:59 118784 ----a-w- c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
    2008-07-03 09:27 6266880 ----a-w- c:\windows\RtHDVCpl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
    2008-04-10 23:04 1232896 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    2009-07-04 20:01 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
    2008-04-10 22:35 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R2 gupdate1ca4a4d6a2dccbb;Service Google Update (gupdate1ca4a4d6a2dccbb);c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 133104]
    S2 ezntsvc;EasyBits Magic Desktop Services for Windows NT;c:\windows\system32\ezNTSvc.exe [2009-08-15 33792]
    S4 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [x]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - AvgLdx86
    *Deregistered* - cqrsgva
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

    2010-07-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

    2010-07-04 c:\windows\Tasks\HPCeeScheduleForAdmin.job
    - c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-04-10 10:10]

    2010-07-06 c:\windows\Tasks\User_Feed_Synchronization-{7E6065A7-C35F-4899-9C25-001C0B77A369}.job
    - c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyServer = http=127.0.0.1:5555
    uInternet Settings,ProxyOverride = <local>
    IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-06 18:35
    Windows 6.0.6000 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cqrsgva]

    .
    Heure de fin: 2010-07-06 18:36:55
    ComboFix-quarantined-files.txt 2010-07-06 16:36

    Avant-CF: 347 607 932 928 octets libres
    Après-CF: 347 613 089 792 octets libres

    - - End Of File - - 8430753D411E1FA4971193E4DB4D87D0
    0
  10. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    oui reactive ton antivirus et redemarre ton PC pour regler les ptit disfonctionnement suite au passage de combo

    si tu avais lu, tu aurai deja la reponse a tes questions que tu viens de poser :)

    desinstalle aussi spybot, il est completment nul et surtout gene la desinfection !!

    a+ tard pour le suite
    0
  11. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
    tu NOMME le fichier CFscript
    copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :

    killall::

    rootkit::
    C:\WINDOWS\System32\drivers\cqrsgva.sys

    driver::
    cqrsgva

    reg::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cqrsgva]

    Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
    tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    une fois fait sa reposte un nouveau ZHPdiag en l'hebergeant (voir 1er poste)
    0
  12. kefir21
     
    par contre je ne parviens pas à exécuter zhp diag a chaque fois "create process a echoué; code 740; l'opération demandée necessite une élévation" ..... que dois je faire?
    0
  13. kefir21
     
    ComboFix 10-07-05.03 - Admin 06/07/2010 21:03:23.3.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3326.2309 [GMT 2:00]
    Lancé depuis: c:\users\Admin\Desktop\laetitia.exe
    Commutateurs utilisés :: c:\users\Admin\Desktop\CFscript.txt
    AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
    SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
    SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_CQRSGVA
    -------\Service_cqrsgva

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-06 19:07 . 2010-07-06 19:09 -------- d-----w- c:\users\Admin\AppData\Local\temp
    2010-07-06 19:07 . 2010-07-06 19:07 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-07-06 19:07 . 2010-07-06 19:07 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-07-06 16:28 . 2010-07-06 16:36 -------- d-----w- C:\laetitia
    2010-07-05 17:44 . 2010-07-05 17:54 739283 ----a-w- C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
    2010-07-05 17:40 . 2010-07-05 17:54 -------- d-----w- C:\UsbFix
    2010-07-05 08:02 . 2010-07-05 17:38 -------- d-----w- c:\program files\ZHPDiag

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-06 19:09 . 2010-02-05 20:24 602 ----a-w- c:\programdata\ArcSoft\kodak-printcreations-22-080812-oem\acforall.dll
    2010-07-06 19:08 . 2010-05-19 11:32 823808 ----a-w- c:\windows\system32\drivers\cqrsgva.sys
    2010-07-06 19:01 . 2009-11-05 16:55 -------- d-----w- c:\programdata\avg9
    2010-07-05 17:59 . 2010-05-20 16:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-07-05 17:45 . 2008-04-10 22:28 690594 ----a-w- c:\windows\system32\perfh00C.dat
    2010-07-05 17:45 . 2008-04-10 22:28 117366 ----a-w- c:\windows\system32\perfc00C.dat
    2010-07-05 11:41 . 2010-03-11 19:40 1 ----a-w- c:\users\Admin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-06-07 06:09 . 2010-03-14 09:46 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-05-28 10:35 . 2010-05-28 10:35 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbFA58.tmp.exe
    2010-05-22 07:44 . 2010-05-20 16:04 -------- d-----w- c:\program files\trend micro
    2010-05-22 06:44 . 2010-05-20 17:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-22 06:40 . 2010-05-20 17:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-05-21 12:14 . 2009-10-03 07:16 221568 ------w- c:\windows\system32\MpSigStub.exe
    2010-05-20 16:10 . 2010-01-28 13:28 1712 ----a-w- c:\users\Admin\AppData\Roaming\wklnhst.dat
    2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Malwarebytes
    2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\programdata\Malwarebytes
    2010-05-20 16:06 . 2010-05-20 16:06 -------- dc-h--w- c:\programdata\{4C69BCF0-B586-4D30-83FD-D1FFA37AF48C}
    2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Fighters
    2010-05-19 11:31 . 2010-05-19 11:31 16 ----a-w- c:\users\Admin\AppData\Roaming\wpcalv.dat
    2010-05-15 22:03 . 2009-11-05 20:28 -------- d-----w- c:\users\Admin\AppData\Roaming\LimeWire
    2010-05-15 16:08 . 2009-08-15 11:57 -------- d-----w- c:\program files\EasyBits For Kids
    2010-05-15 16:04 . 2009-11-05 20:27 -------- d-----w- c:\program files\LimeWire
    2010-04-29 13:39 . 2010-05-22 07:53 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-29 13:39 . 2010-05-22 07:53 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-16 11:18 . 2009-07-01 19:05 680 ----a-w- c:\users\Admin\AppData\Local\d3d9caps.dat
    2010-04-09 10:37 . 2010-04-09 10:37 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
    2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    2008-04-10 23:02 . 2008-04-10 22:30 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-04 39408]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "Launcher"="c:\windows\SMINST\launcher.exe" [2007-11-15 44168]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel Kodak EasyShare.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel Kodak EasyShare.lnk
    backup=c:\windows\pss\Logiciel Kodak EasyShare.lnk.CommonStartup
    backupExtension=.CommonStartup

    [HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
    path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
    backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
    2010-03-18 10:19 207360 ----a-w- c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BIBLauncher]
    2009-11-16 10:04 853736 ----a-w- c:\users\Admin\BIBLauncher.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
    2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPAdvisor]
    2008-01-18 16:21 942080 ----a-w- c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
    2007-04-18 15:01 65536 ----a-w- c:\hp\support\hpsysdrv.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
    2008-06-02 16:50 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
    2006-12-08 15:16 65536 ----a-w- c:\hp\KBD\KbdStub.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    2007-12-13 13:58 8530464 ----a-w- c:\windows\System32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    2007-12-13 13:58 81920 ----a-w- c:\windows\System32\nvmctray.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
    2007-12-13 13:58 86016 ----a-w- c:\windows\System32\nvsvc.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OsdMaestro]
    2007-02-15 11:59 118784 ----a-w- c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
    2008-07-03 09:27 6266880 ----a-w- c:\windows\RtHDVCpl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
    2008-04-10 23:04 1232896 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    2009-07-04 20:01 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
    2008-04-10 22:35 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

    2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

    2010-07-04 c:\windows\Tasks\HPCeeScheduleForAdmin.job
    - c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-04-10 10:10]

    2010-07-06 c:\windows\Tasks\User_Feed_Synchronization-{7E6065A7-C35F-4899-9C25-001C0B77A369}.job
    - c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyServer = http=127.0.0.1:5555
    uInternet Settings,ProxyOverride = <local>
    IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
    c:\windows\system32\ezNTSvc.exe
    c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\windows\system32\WUDFHost.exe
    c:\windows\system32\conime.exe
    c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-07-06 21:15:05 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-07-06 19:15
    ComboFix2.txt 2010-07-06 16:36

    Avant-CF: 348 929 265 664 octets libres
    Après-CF: 349 193 400 320 octets libres

    - - End Of File - - A84291C95F5615F0AE5F4D1EFF61E13F
    0
  14. kefir21
     
    cela fait plusieurs fois que je poste le rapport combo, ca a l'air de marcher mais quand je retourne dans la discussion celui-ci n'apparait pas; vous est-il parvenu?
    0
  15. kefir21
     
    Voila pr zhpdiag je viens de reussir

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijQFbUEuk.txt
    0
  16. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    slt

    faut refaire le rootkit n'a pas etai supprimer :

    Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
    tu NOMME le fichier CFscript
    copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :

    killall::

    file::
    c:\users\Admin\AppData\Roaming\wpcalv.dat
    c:\users\Admin\AppData\Roaming\wklnhst.dat
    c:\windows\system32\drivers\cqrsgva.sys

    DDS::
    uInternet Settings,ProxyServer = http=127.0.0.1:5555

    Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
    tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    puis il reste ds traces d'adware

    Télécharge AD-Remover (de C_XX) sur ton Bureau.
    https://www.androidworld.fr/
    :!: Déconnecte toi et ferme toutes les applications en cours :!:
    * Double-clique sur l'icône AD-Remover
    * Au menu principal, clique sur "Nettoyer"
    * Confirme le lancement de l'analyse et laisse l'outil travailler
    * Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    et ensuite sa devrais aller pas mal normalement
    0
  17. kefir21
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 23/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:44:54 le 07/07/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
    Admin@PC-DE-ADMIN (HP-Pavilion KT600AA-ABF a6443.fr)

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Users\Admin\AppData\LocalLow\Conduit
    0,Dossier supprimé: C:\Program Files\Conduit

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\8686g9w5.default\Prefs.js --
    Ligne supprimée: user_pref("CT2186548.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT218...
    Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "P2P Max France Customized Web Search");
    Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2186548&Sea...
    -- Fichier Fermé --

    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [Impossible d'obtenir la version] **

    -- C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\8686g9w5.default\Prefs.js --
    browser.search.selectedEngine, Search
    browser.startup.homepage, hxxp://www.pucuy.com
    browser.startup.homepage, hxxp://www.pucuy.com
    keyword.URL, hxxp://fr.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_fr&p=

    ========================================

    ** Internet Explorer Version [8.0.6001.18904] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 07/07/2010 (2920 Octet(s))

    Fin à: 10:46:01, 07/07/2010

    ============== E.O.F ==============
    0
  18. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    en theorie vaut mieux faire sa avant, bref le faire dans l'ordre mit la prochaine fois...

    Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
    tu NOMME le fichier CFscript
    copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :

    killall::

    file::
    c:\users\Admin\AppData\Roaming\wpcalv.dat
    c:\users\Admin\AppData\Roaming\wklnhst.dat
    c:\windows\system32\drivers\cqrsgva.sys

    DDS::
    uInternet Settings,ProxyServer = http=127.0.0.1:5555

    Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
    tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    0
  19. kefir21
     
    J'ai bien fait combo avant et j'ai posté le rapport mais à priori ca n'a pas marché. A chaque fois j'ai beaucoup de mal à poster les rapports combo
    0
    1. kefir21
       
      je réessaie
      0
    2. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
       
      au pire clic sur mon nom st poste le rapport en MP (message privée)

      il doit y avoir un mot blacklister dedans ou appui sur signaler et tu lmarque que le rapport en passe pas
      0
  • 1
  • 2