Encore un Iexplore en double à résoudre....
Résolu/Fermé
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
-
12 juil. 2010 à 16:11
M@thew - 16 juil. 2010 à 15:02
M@thew - 16 juil. 2010 à 15:02
A voir également:
- Encore un Iexplore en double à résoudre....
- Double ecran - Guide
- Whatsapp double sim - Guide
- Double appel - Guide
- Double authentification google - Guide
- Double decimetre virtuel - Guide
52 réponses
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 16:12
13 juil. 2010 à 16:12
Ok, je vois...
On va essayer autrement.
Supprime BTKR_Runbox et Bootkit Remover. Ensuite Fais ceci :
-+-+-+-+-> Rkill <-+-+-+-+-
[x] Télécharge rkill sur ton bureau.
[x] Rkill peut être reconnu comme indésirable par certains antivirus, ignore l'alerte et désactive momentanément l'antivirus.
[x] Lance le, une fenêtre noire s'ouvrira t'indiquant que l'installation s'est bien déroulée.
[x] Note : Si le premier lien ne fonctionne pas, essaie ces trois autres : n°1 , n°2 et n°3
[x] /!\ Il ne faut pas redémarrer le PC après avoir lancé rkill, sinon il faudra recommencer la procédure /!\
[x] Poste le contenu du rapport qui s'ouvrira -> rkill.log
Puis Re-télécharge BTKR_Runbox ainsi que bootkit remover ( cf : lien post n°8 ) et refais la manip'.
On va essayer autrement.
Supprime BTKR_Runbox et Bootkit Remover. Ensuite Fais ceci :
-+-+-+-+-> Rkill <-+-+-+-+-
[x] Télécharge rkill sur ton bureau.
[x] Rkill peut être reconnu comme indésirable par certains antivirus, ignore l'alerte et désactive momentanément l'antivirus.
[x] Lance le, une fenêtre noire s'ouvrira t'indiquant que l'installation s'est bien déroulée.
[x] Note : Si le premier lien ne fonctionne pas, essaie ces trois autres : n°1 , n°2 et n°3
[x] /!\ Il ne faut pas redémarrer le PC après avoir lancé rkill, sinon il faudra recommencer la procédure /!\
[x] Poste le contenu du rapport qui s'ouvrira -> rkill.log
Puis Re-télécharge BTKR_Runbox ainsi que bootkit remover ( cf : lien post n°8 ) et refais la manip'.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 17:05
13 juil. 2010 à 17:05
Voici pour le rapport rkill:
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Utilisateur on 13/07/2010 at 17:03:55.
Processes terminated by Rkill or while it was running:
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Jd1.exe
C:\Documents and Settings\Utilisateur\Bureau\rkill.scr
Rkill completed on 13/07/2010 at 17:04:04.
Je vais maintenant essayer de relancer BTKR etc... Je vous tiens au courant!
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Utilisateur on 13/07/2010 at 17:03:55.
Processes terminated by Rkill or while it was running:
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Jd1.exe
C:\Documents and Settings\Utilisateur\Bureau\rkill.scr
Rkill completed on 13/07/2010 at 17:04:04.
Je vais maintenant essayer de relancer BTKR etc... Je vous tiens au courant!
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 17:09
13 juil. 2010 à 17:09
Ca n'a pas marché, ça refait comme tout à l'heure (un son d'erreur avec une fenêtre qui m'avertit d'un danger et que du coup le programme ne fonctionnera plus, la photo d'écran que je vous avais posté vous savez).
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 17:11
13 juil. 2010 à 17:11
Rahlala, pas facile cette bestiole :)
Fais ceci :
-+-+-+-+-> ComboFix <-+-+-+-
[x] Télécharge ComboFix ( de sUBs ) à cette adresse.
/!\ Ferme toutes les fenêtres de programme ouvertes /!\
/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
[x] Double clique sur " Combofix.exe "
[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.
[x] Pendant le scan, ne touche à rien ( souris, clavier )
[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
Fais ceci :
-+-+-+-+-> ComboFix <-+-+-+-
[x] Télécharge ComboFix ( de sUBs ) à cette adresse.
/!\ Ferme toutes les fenêtres de programme ouvertes /!\
/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
[x] Double clique sur " Combofix.exe "
[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.
[x] Pendant le scan, ne touche à rien ( souris, clavier )
[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 17:30
13 juil. 2010 à 17:30
J'ai AVG Free 9.0 , après une recherche sur le forum du site, je me rends compte qu'il est apparament impossible de le désactiver complètement, je n'ai en fait désactivé que le "bouclier résident" , pas suffisant pour Combofix. Du coup, je télécharge Antivir, afin d'enlever proprement AVG et en avoir un plus maléable. Je vous tiens au courant une fois que Combofix a opéré!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 18:10
13 juil. 2010 à 18:10
C'est de pire en pire j'ai l'impression. Je n'arrive pas à désintaller AVG, il y a un probleme lors de la désinstallation concernant une clé du registre, problème qui fait abandonner la désinstallation. En même temps, je ne peux pas le désactiver a priori. De plus, Antimalware Doctor s'est installé sur l'ordi tout seul. J'ai réactivé l'antivirus qui a bloqué quelques attaques, et juste pour voir j'ai lancé MBAM (qui a trouvé 13 éléments infectés mais qui n'a pas pu tous les enlever je crois). Je crois que désactiver le bouclier résident d'AVG a fait très mal...
Connaissez-vous un moyen de forcer la désinstallation d'AVG? Ou mieux, de forcer sa désactivation? Sinon, faut-il absolument que l'antivirus soit désactivé pour que Combofix puisse fonctionner correctement?
Je suis vraiment désolé que ça vous prenne autant de votre temps...
Connaissez-vous un moyen de forcer la désinstallation d'AVG? Ou mieux, de forcer sa désactivation? Sinon, faut-il absolument que l'antivirus soit désactivé pour que Combofix puisse fonctionner correctement?
Je suis vraiment désolé que ça vous prenne autant de votre temps...
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 18:14
13 juil. 2010 à 18:14
Lance Combofix quand même, c'est pas très grave ;-)
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 19:17
13 juil. 2010 à 19:17
Voici le rapport de Combofix:
ComboFix 10-07-12.06 - Utilisateur 13/07/2010 18:36:34.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.604 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Emsisoft Anti-Malware *On-access scanning disabled* (Outdated) {0F8591BB-342B-4493-91C3-4E948ED21255}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Utilisateur\Application Data\4E1D4B21444ABE02C86F83F6C00B2851
c:\documents and settings\Utilisateur\Local Settings\Application Data\Windows Server
C:\feed.txt
c:\windows.0\polripr.dll
c:\windows.0\system32\comsats.sys
c:\windows.0\system32\hlp.dat
c:\windows.0\system32\Install.txt
c:\windows.0\system32\service.sys
Une copie infectée de c:\windows.0\system32\drivers\ftdisk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
c:\windows.0\system32\ws2_32.dll . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-13 au 2010-07-13 ))))))))))))))))))))))))))))))))))))
.
2010-07-13 16:48 . 2010-07-13 16:48 16384 ----a-w- c:\windows.0\system32\updata.exe
2010-07-13 15:45 . 2010-07-13 15:45 134656 ----a-w- c:\windows.0\system32\dfttuyo.exe
2010-07-13 15:45 . 2010-07-13 15:45 151552 ----a-w- c:\windows.0\system32\dfttuyox.exe
2010-07-13 13:19 . 2010-07-13 13:19 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\AVG9
2010-07-13 13:16 . 2010-07-13 13:16 223744 ----a-w- c:\windows.0\Jwuwoa.exe
2010-07-12 14:50 . 2010-07-12 14:50 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\Malwarebytes
2010-07-12 14:20 . 2010-07-13 12:24 -------- d-----w- c:\program files\ZHPDiag
2010-07-12 13:32 . 2010-07-12 13:50 -------- d-----w- C:\Lop SD
2010-07-12 07:56 . 2010-07-12 07:56 0 ----a-w- c:\windows.0\nsreg.dat
2010-07-12 07:56 . 2010-07-12 07:56 -------- d-----w- c:\documents and settings\Utilisateur\Local Settings\Application Data\Mozilla
2010-07-09 11:35 . 2010-07-09 11:35 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-07-09 11:33 . 2010-07-09 11:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-07-07 11:02 . 2010-07-07 18:49 -------- d-----w- c:\program files\Emsisoft Anti-Malware
2010-07-07 10:29 . 2010-04-29 13:39 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-07-07 10:29 . 2010-04-29 13:39 20952 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-07-01 10:05 . 2010-07-01 10:05 -------- d-----w- C:\$AVG
2010-06-30 14:50 . 2010-06-30 14:50 12536 ----a-w- c:\windows.0\system32\avgrsstx.dll
2010-06-30 14:50 . 2010-06-30 14:50 243024 ----a-w- c:\windows.0\system32\drivers\avgtdix.sys
2010-06-30 14:50 . 2010-06-30 14:50 216400 ----a-w- c:\windows.0\system32\drivers\avgldx86.sys
2010-06-30 14:50 . 2010-06-30 14:50 29584 ----a-w- c:\windows.0\system32\drivers\avgmfx86.sys
2010-06-30 14:50 . 2010-07-13 16:26 -------- d-----w- c:\windows.0\system32\drivers\Avg
2010-06-30 14:50 . 2010-06-30 14:50 -------- d-----w- c:\program files\AVG
2010-06-30 14:50 . 2010-07-13 15:40 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\avg9
2010-06-30 14:23 . 2010-07-07 10:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-30 14:10 . 2010-06-30 14:23 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Malwarebytes
2010-06-30 12:41 . 2010-06-30 12:41 -------- d-----w- c:\documents and settings\Utilisateur\DoctorWeb
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\PrivacIE
2010-06-16 10:43 . 2010-06-16 10:43 -------- d-----w- c:\documents and settings\HelpAssistant\IETldCache
2010-06-16 10:43 . 2010-06-16 10:43 -------- d-----w- c:\documents and settings\HelpAssistant\IECompatCache
2010-06-16 10:39 . 2010-06-16 10:39 -------- d-----w- c:\documents and settings\HelpAssistant\.thumbnails
2010-06-16 01:33 . 2010-06-29 17:04 -------- d-----w- c:\documents and settings\Utilisateur\Local Settings\Application Data\olhoto
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-12 12:46 . 2009-09-25 14:03 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\vlc
2010-07-12 10:17 . 2001-08-28 11:00 71248 ----a-w- c:\windows.0\system32\perfc00C.dat
2010-07-12 10:17 . 2001-08-28 11:00 458230 ----a-w- c:\windows.0\system32\perfh00C.dat
2010-07-12 07:42 . 2007-06-01 08:35 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-12 07:36 . 2009-12-01 14:39 36864 ----a-w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Temp\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\PostBuild.exe
2010-07-12 07:34 . 2009-11-29 00:03 -------- d-----w- c:\program files\Bonjour
2010-07-12 07:34 . 2007-09-08 13:13 -------- d-----w- c:\program files\Atheros
2010-07-12 07:27 . 2009-12-29 00:19 -------- d-----w- c:\program files\BitComet
2010-07-11 23:21 . 2009-09-25 14:00 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Apple Computer
2010-07-09 12:22 . 2009-09-24 16:53 31840 ----a-w- c:\documents and settings\Utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-07-09 11:29 . 2006-11-02 11:18 -------- d-----w- c:\program files\Common Files
2010-07-07 11:42 . 2009-11-22 18:57 1 ----a-w- c:\documents and settings\Utilisateur\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-15 22:08 . 2009-10-03 13:05 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\dvdcss
2010-05-30 11:55 . 2010-05-30 11:55 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\msvcp71.dll
2010-05-30 11:55 . 2010-05-30 11:55 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\jmc.dll
2010-05-30 11:55 . 2010-05-30 11:55 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\msvcr71.dll
2010-05-30 10:31 . 2009-10-29 20:04 -------- d-----w- c:\program files\Cossacks
2010-05-24 12:01 . 2009-12-29 01:22 -------- d-----w- c:\program files\MpcStar
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
------- Sigcheck -------
[-] 2008-04-13 . D16B1E4CE4FAA3329CD614CE82F25751 . 579584 . . [5.1.2600.5512] . . c:\windows.0\system32\user32.dll
[-] 2008-04-13 . D16B1E4CE4FAA3329CD614CE82F25751 . 579584 . . [5.1.2600.5512] . . c:\windows.0\system32\dllcache\user32.dll
[-] 2008-04-13 . D62908B25308DD09BC7E863564132F6B . 82432 . . [5.1.2600.5512] . . c:\windows.0\system32\ws2_32.dll
[-] 2008-04-13 . 7AC118169390DE840EF40AAAD8F10519 . 19968 . . [5.1.2600.5512] . . c:\windows.0\system32\ws2help.dll
[-] 2008-04-13 . 7AC118169390DE840EF40AAAD8F10519 . 19968 . . [5.1.2600.5512] . . c:\windows.0\system32\dllcache\ws2help.dll
[-] 2008-11-22 . 33578A738C564B4F84D906EFD91025E5 . 1571840 . . [5.1.2600.5512] . . c:\windows.0\system32\sfcfiles.dll
.
ComboFix 10-07-12.06 - Utilisateur 13/07/2010 18:36:34.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.604 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Emsisoft Anti-Malware *On-access scanning disabled* (Outdated) {0F8591BB-342B-4493-91C3-4E948ED21255}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Utilisateur\Application Data\4E1D4B21444ABE02C86F83F6C00B2851
c:\documents and settings\Utilisateur\Local Settings\Application Data\Windows Server
C:\feed.txt
c:\windows.0\polripr.dll
c:\windows.0\system32\comsats.sys
c:\windows.0\system32\hlp.dat
c:\windows.0\system32\Install.txt
c:\windows.0\system32\service.sys
Une copie infectée de c:\windows.0\system32\drivers\ftdisk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
c:\windows.0\system32\ws2_32.dll . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-13 au 2010-07-13 ))))))))))))))))))))))))))))))))))))
.
2010-07-13 16:48 . 2010-07-13 16:48 16384 ----a-w- c:\windows.0\system32\updata.exe
2010-07-13 15:45 . 2010-07-13 15:45 134656 ----a-w- c:\windows.0\system32\dfttuyo.exe
2010-07-13 15:45 . 2010-07-13 15:45 151552 ----a-w- c:\windows.0\system32\dfttuyox.exe
2010-07-13 13:19 . 2010-07-13 13:19 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\AVG9
2010-07-13 13:16 . 2010-07-13 13:16 223744 ----a-w- c:\windows.0\Jwuwoa.exe
2010-07-12 14:50 . 2010-07-12 14:50 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\Malwarebytes
2010-07-12 14:20 . 2010-07-13 12:24 -------- d-----w- c:\program files\ZHPDiag
2010-07-12 13:32 . 2010-07-12 13:50 -------- d-----w- C:\Lop SD
2010-07-12 07:56 . 2010-07-12 07:56 0 ----a-w- c:\windows.0\nsreg.dat
2010-07-12 07:56 . 2010-07-12 07:56 -------- d-----w- c:\documents and settings\Utilisateur\Local Settings\Application Data\Mozilla
2010-07-09 11:35 . 2010-07-09 11:35 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-07-09 11:33 . 2010-07-09 11:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-07-07 11:02 . 2010-07-07 18:49 -------- d-----w- c:\program files\Emsisoft Anti-Malware
2010-07-07 10:29 . 2010-04-29 13:39 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-07-07 10:29 . 2010-04-29 13:39 20952 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-07-01 10:05 . 2010-07-01 10:05 -------- d-----w- C:\$AVG
2010-06-30 14:50 . 2010-06-30 14:50 12536 ----a-w- c:\windows.0\system32\avgrsstx.dll
2010-06-30 14:50 . 2010-06-30 14:50 243024 ----a-w- c:\windows.0\system32\drivers\avgtdix.sys
2010-06-30 14:50 . 2010-06-30 14:50 216400 ----a-w- c:\windows.0\system32\drivers\avgldx86.sys
2010-06-30 14:50 . 2010-06-30 14:50 29584 ----a-w- c:\windows.0\system32\drivers\avgmfx86.sys
2010-06-30 14:50 . 2010-07-13 16:26 -------- d-----w- c:\windows.0\system32\drivers\Avg
2010-06-30 14:50 . 2010-06-30 14:50 -------- d-----w- c:\program files\AVG
2010-06-30 14:50 . 2010-07-13 15:40 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\avg9
2010-06-30 14:23 . 2010-07-07 10:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-30 14:10 . 2010-06-30 14:23 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Malwarebytes
2010-06-30 12:41 . 2010-06-30 12:41 -------- d-----w- c:\documents and settings\Utilisateur\DoctorWeb
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\PrivacIE
2010-06-16 10:43 . 2010-06-16 10:43 -------- d-----w- c:\documents and settings\HelpAssistant\IETldCache
2010-06-16 10:43 . 2010-06-16 10:43 -------- d-----w- c:\documents and settings\HelpAssistant\IECompatCache
2010-06-16 10:39 . 2010-06-16 10:39 -------- d-----w- c:\documents and settings\HelpAssistant\.thumbnails
2010-06-16 01:33 . 2010-06-29 17:04 -------- d-----w- c:\documents and settings\Utilisateur\Local Settings\Application Data\olhoto
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-12 12:46 . 2009-09-25 14:03 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\vlc
2010-07-12 10:17 . 2001-08-28 11:00 71248 ----a-w- c:\windows.0\system32\perfc00C.dat
2010-07-12 10:17 . 2001-08-28 11:00 458230 ----a-w- c:\windows.0\system32\perfh00C.dat
2010-07-12 07:42 . 2007-06-01 08:35 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-12 07:36 . 2009-12-01 14:39 36864 ----a-w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Temp\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\PostBuild.exe
2010-07-12 07:34 . 2009-11-29 00:03 -------- d-----w- c:\program files\Bonjour
2010-07-12 07:34 . 2007-09-08 13:13 -------- d-----w- c:\program files\Atheros
2010-07-12 07:27 . 2009-12-29 00:19 -------- d-----w- c:\program files\BitComet
2010-07-11 23:21 . 2009-09-25 14:00 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Apple Computer
2010-07-09 12:22 . 2009-09-24 16:53 31840 ----a-w- c:\documents and settings\Utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-07-09 11:29 . 2006-11-02 11:18 -------- d-----w- c:\program files\Common Files
2010-07-07 11:42 . 2009-11-22 18:57 1 ----a-w- c:\documents and settings\Utilisateur\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-15 22:08 . 2009-10-03 13:05 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\dvdcss
2010-05-30 11:55 . 2010-05-30 11:55 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\msvcp71.dll
2010-05-30 11:55 . 2010-05-30 11:55 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\jmc.dll
2010-05-30 11:55 . 2010-05-30 11:55 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\msvcr71.dll
2010-05-30 10:31 . 2009-10-29 20:04 -------- d-----w- c:\program files\Cossacks
2010-05-24 12:01 . 2009-12-29 01:22 -------- d-----w- c:\program files\MpcStar
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
------- Sigcheck -------
[-] 2008-04-13 . D16B1E4CE4FAA3329CD614CE82F25751 . 579584 . . [5.1.2600.5512] . . c:\windows.0\system32\user32.dll
[-] 2008-04-13 . D16B1E4CE4FAA3329CD614CE82F25751 . 579584 . . [5.1.2600.5512] . . c:\windows.0\system32\dllcache\user32.dll
[-] 2008-04-13 . D62908B25308DD09BC7E863564132F6B . 82432 . . [5.1.2600.5512] . . c:\windows.0\system32\ws2_32.dll
[-] 2008-04-13 . 7AC118169390DE840EF40AAAD8F10519 . 19968 . . [5.1.2600.5512] . . c:\windows.0\system32\ws2help.dll
[-] 2008-04-13 . 7AC118169390DE840EF40AAAD8F10519 . 19968 . . [5.1.2600.5512] . . c:\windows.0\system32\dllcache\ws2help.dll
[-] 2008-11-22 . 33578A738C564B4F84D906EFD91025E5 . 1571840 . . [5.1.2600.5512] . . c:\windows.0\system32\sfcfiles.dll
.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 19:18
13 juil. 2010 à 19:18
suite
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows.0\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows.0\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows.0\system32\igfxpers.exe" [2008-02-15 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-25 149280]
"UpdatePDRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-30 2065760]
"dfttuyo"="c:\windows.0\system32\dfttuyo.exe" [2010-07-13 134656]
"dfttuyox"="c:\windows.0\system32\dfttuyox.exe" [2010-07-13 151552]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-30 14:50 12536 ----a-w- c:\windows.0\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Logitech\\Logitech Vid\\Vid.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8940:TCP"= 8940:TCP:BitComet 8940 TCP
"8940:UDP"= 8940:UDP:BitComet 8940 UDP
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"5253:TCP"= 5253:TCP:Services
"9006:TCP"= 9006:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows.0\system32\drivers\avgldx86.sys [30/06/2010 16:50 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows.0\system32\drivers\avgtdix.sys [30/06/2010 16:50 243024]
R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\program files\Emsisoft Anti-Malware\a2service.exe [07/07/2010 13:02 1935120]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [30/06/2010 16:50 921440]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [30/06/2010 16:50 308136]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows.0\system32\drivers\RTL8192su.sys [17/11/2009 19:40 584832]
S3 a2acc;a2acc;c:\program files\Emsisoft Anti-Malware\a2accx86.sys [07/07/2010 13:03 71008]
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [06/01/2010 20:49 691696]
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/
uInternet Settings,ProxyOverride = <local>
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-Locked - (no file)
HKCU-Run-likhwtmbac - c:\documents and settings\utilisateur\local settings\application data\olhoto\cworjf.exe
HKCU-Run-Bnezo - c:\windows.0\polripr.dll
HKCU-Run-070700Setup.exe - c:\documents and settings\Utilisateur\Application Data\4E1D4B21444ABE02C86F83F6C00B2851\070700Setup.exe
HKLM-Run-likhwtmbac - c:\documents and settings\utilisateur\local settings\application data\olhoto\cworjf.exe
HKLM-Run-sxuluj - c:\windows.0\system32\msmxjchn.dll
AddRemove-Adobe_32fdd767b4383606e8168e834af5d90 - c:\program files\Fichiers communs\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
AddRemove-Adobe_b7dd24a87e82dcf8af8876fd727b7cf - c:\program files\Fichiers communs\Adobe\Installers\b7dd24a87e82dcf8af8876fd727b7cf\Setup.exe
AddRemove-InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E} - c:\program files\Fichiers communs\InstallShield\Driver\9\Intel 32\IDriver.exe
AddRemove-lvdrivers_12.0 - c:\program files\Fichiers communs\LogiShrd\LogiDriverStore\lvdrivers\12.0.1278\LgDrvInst.exe
AddRemove-{F4F8BF8F-4147-41AD-B3EB-9EB54F5CAB89} - c:\program files\ITS\Audio Browser\Uninst.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-13 18:47
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\windows.0\system32\Install.txt 244 bytes
c:\windows.0\system32\updata.exe 16384 bytes executable
Scan terminé avec succès
Fichiers cachés: 2
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3080)
c:\windows.0\system32\ieframe.dll
c:\windows.0\system32\webcheck.dll
c:\windows.0\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows.0\system32\msiexec.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\windows.0\system32\locator.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows.0\system32\wscntfy.exe
c:\windows.0\system32\igfxsrvc.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-07-13 18:54:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-13 16:53
Avant-CF: 23 732 764 672 octets libres
Après-CF: 24 743 460 864 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 4004C446504C845EC90A7F7FAC6763F2
Au niveau des changements: Antimalware Doctor est parti! Pour l'instant je n'ai pas eu de nouvelle attaque (mis à part quelques unes identiques pendant que Combofix terminait son boulot (au dernier redémarrage d'ordinateur (PHOTO JOINTE N°1)). Je n'ai pour l'instant pas été redirigé sur d'autres sites hasardeux.
Il y a toujours les deux iexplore (PHOTO JOINTE N°2). Et il y a une application/processus bizarre (sûrement savez-vous ce que c'est) PHOTO 3.
https://www.cjoint.com/?hntfa8ycfm
https://www.cjoint.com/?hntiJWpA02
https://www.cjoint.com/?hntjvSeLeD
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows.0\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows.0\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows.0\system32\igfxpers.exe" [2008-02-15 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-25 149280]
"UpdatePDRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-30 2065760]
"dfttuyo"="c:\windows.0\system32\dfttuyo.exe" [2010-07-13 134656]
"dfttuyox"="c:\windows.0\system32\dfttuyox.exe" [2010-07-13 151552]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-30 14:50 12536 ----a-w- c:\windows.0\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Logitech\\Logitech Vid\\Vid.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8940:TCP"= 8940:TCP:BitComet 8940 TCP
"8940:UDP"= 8940:UDP:BitComet 8940 UDP
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"5253:TCP"= 5253:TCP:Services
"9006:TCP"= 9006:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows.0\system32\drivers\avgldx86.sys [30/06/2010 16:50 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows.0\system32\drivers\avgtdix.sys [30/06/2010 16:50 243024]
R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\program files\Emsisoft Anti-Malware\a2service.exe [07/07/2010 13:02 1935120]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [30/06/2010 16:50 921440]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [30/06/2010 16:50 308136]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows.0\system32\drivers\RTL8192su.sys [17/11/2009 19:40 584832]
S3 a2acc;a2acc;c:\program files\Emsisoft Anti-Malware\a2accx86.sys [07/07/2010 13:03 71008]
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [06/01/2010 20:49 691696]
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/
uInternet Settings,ProxyOverride = <local>
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-Locked - (no file)
HKCU-Run-likhwtmbac - c:\documents and settings\utilisateur\local settings\application data\olhoto\cworjf.exe
HKCU-Run-Bnezo - c:\windows.0\polripr.dll
HKCU-Run-070700Setup.exe - c:\documents and settings\Utilisateur\Application Data\4E1D4B21444ABE02C86F83F6C00B2851\070700Setup.exe
HKLM-Run-likhwtmbac - c:\documents and settings\utilisateur\local settings\application data\olhoto\cworjf.exe
HKLM-Run-sxuluj - c:\windows.0\system32\msmxjchn.dll
AddRemove-Adobe_32fdd767b4383606e8168e834af5d90 - c:\program files\Fichiers communs\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
AddRemove-Adobe_b7dd24a87e82dcf8af8876fd727b7cf - c:\program files\Fichiers communs\Adobe\Installers\b7dd24a87e82dcf8af8876fd727b7cf\Setup.exe
AddRemove-InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E} - c:\program files\Fichiers communs\InstallShield\Driver\9\Intel 32\IDriver.exe
AddRemove-lvdrivers_12.0 - c:\program files\Fichiers communs\LogiShrd\LogiDriverStore\lvdrivers\12.0.1278\LgDrvInst.exe
AddRemove-{F4F8BF8F-4147-41AD-B3EB-9EB54F5CAB89} - c:\program files\ITS\Audio Browser\Uninst.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-13 18:47
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\windows.0\system32\Install.txt 244 bytes
c:\windows.0\system32\updata.exe 16384 bytes executable
Scan terminé avec succès
Fichiers cachés: 2
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3080)
c:\windows.0\system32\ieframe.dll
c:\windows.0\system32\webcheck.dll
c:\windows.0\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows.0\system32\msiexec.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\windows.0\system32\locator.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows.0\system32\wscntfy.exe
c:\windows.0\system32\igfxsrvc.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-07-13 18:54:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-13 16:53
Avant-CF: 23 732 764 672 octets libres
Après-CF: 24 743 460 864 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 4004C446504C845EC90A7F7FAC6763F2
Au niveau des changements: Antimalware Doctor est parti! Pour l'instant je n'ai pas eu de nouvelle attaque (mis à part quelques unes identiques pendant que Combofix terminait son boulot (au dernier redémarrage d'ordinateur (PHOTO JOINTE N°1)). Je n'ai pour l'instant pas été redirigé sur d'autres sites hasardeux.
Il y a toujours les deux iexplore (PHOTO JOINTE N°2). Et il y a une application/processus bizarre (sûrement savez-vous ce que c'est) PHOTO 3.
https://www.cjoint.com/?hntfa8ycfm
https://www.cjoint.com/?hntiJWpA02
https://www.cjoint.com/?hntjvSeLeD
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 19:21
13 juil. 2010 à 19:21
mince j'ai inversé la photo 1 et 2... Désolé. Pour les deux iexplore, ils sont en bas, dans les 5 derniers processus.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 20:26
13 juil. 2010 à 20:26
Re-bonsoir,
C'est le bronx dans ton PC ! Par contre, ton ami t'as refourgué un Windows modifié/cracké , donc tu auras l'occasion de lui dire merci :)
Habituellement sur CCM nous n'aidons pas les utilisateurs qui ont un windows cracké/modifié pour une question d'éthique, mais vu que pour ton cas c'est involontaire, et que tu n'es pas désagréable ( si, si ! ) , eh bien je vais continuer à t'aider.
Je te prépare la suite et je te poste ça dans la soirée.
C'est le bronx dans ton PC ! Par contre, ton ami t'as refourgué un Windows modifié/cracké , donc tu auras l'occasion de lui dire merci :)
Habituellement sur CCM nous n'aidons pas les utilisateurs qui ont un windows cracké/modifié pour une question d'éthique, mais vu que pour ton cas c'est involontaire, et que tu n'es pas désagréable ( si, si ! ) , eh bien je vais continuer à t'aider.
Je te prépare la suite et je te poste ça dans la soirée.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 20:48
13 juil. 2010 à 20:48
-+-+-+-+-> CFScript <-+-+-+-+-
/!\ Attention : Cette procédure n'est valable que pour martbass /!\
[x] Copie le texte en gras ci dessous :
Killall::
File::
c:\windows.0\system32\updata.exe
c:\windows.0\system32\Install.txt
c:\windows.0\system32\dfttuyox.exe
c:\windows.0\system32\dfttuyo.exe
c:\windows.0\Jwuwoa.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dfttuyo"=-
"dfttuyox=-
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
-------------------------
Ensuite, puisque Bootkit remover ne passe pas, on va faire un fixmbr en console de récupération.
Combofix l'a automatiquement installé, normalement au démarrage tu dois avoir deux choix ( console de récupération ou windows XP ).
Redémarre le PC et choisis console de récupération.
Ensuite suis ce tutoriel et redémarre le PC.
-------------------------
Maintenant tu relances combofix normalement puis tu postes le rapport.
Note : Heberge les deux rapports sur cjoint en les renommant en " CombofixPre " pour le premier ( le cfscript ) et " CombofixPost " pour le second ( le combofix normal ).
Si tu as une question, n'hésite pas.
/!\ Attention : Cette procédure n'est valable que pour martbass /!\
[x] Copie le texte en gras ci dessous :
Killall::
File::
c:\windows.0\system32\updata.exe
c:\windows.0\system32\Install.txt
c:\windows.0\system32\dfttuyox.exe
c:\windows.0\system32\dfttuyo.exe
c:\windows.0\Jwuwoa.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dfttuyo"=-
"dfttuyox=-
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
-------------------------
Ensuite, puisque Bootkit remover ne passe pas, on va faire un fixmbr en console de récupération.
Combofix l'a automatiquement installé, normalement au démarrage tu dois avoir deux choix ( console de récupération ou windows XP ).
Redémarre le PC et choisis console de récupération.
Ensuite suis ce tutoriel et redémarre le PC.
-------------------------
Maintenant tu relances combofix normalement puis tu postes le rapport.
Note : Heberge les deux rapports sur cjoint en les renommant en " CombofixPre " pour le premier ( le cfscript ) et " CombofixPost " pour le second ( le combofix normal ).
Si tu as une question, n'hésite pas.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 05:12
14 juil. 2010 à 05:12
Tout d'abord, merci de m'aider et merci aussi pour le compliment (je ne suis pas désagréable). Etant donné le ratio questions/jour affiché en haut de la page et le nombre de réponses et de prises en main que vous faîtes, ce compliment doit valoir son poids!
Ensuite, pour mon "ami" l'informaticien véreux, j'ai plutôt des envies de meurtre quand je vois qu'il m'a piqué 90€ pour tous ces beaux cadeaux...... (envies que je ne pourrai pas assouvir il est à Lyon et moi très loin en dessous).
Bref, j'ai fait le pré-combofix, mais je bloque à la console de récupération, plus précisément sur le tuto, vu qu'il parle de redémarrer l'ordinateur avec le cd d'XP que je n'ai pas :/ . Est-il indispensable?
(Bonne nuit et à demain!)
Ensuite, pour mon "ami" l'informaticien véreux, j'ai plutôt des envies de meurtre quand je vois qu'il m'a piqué 90€ pour tous ces beaux cadeaux...... (envies que je ne pourrai pas assouvir il est à Lyon et moi très loin en dessous).
Bref, j'ai fait le pré-combofix, mais je bloque à la console de récupération, plus précisément sur le tuto, vu qu'il parle de redémarrer l'ordinateur avec le cd d'XP que je n'ai pas :/ . Est-il indispensable?
(Bonne nuit et à demain!)
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
14 juil. 2010 à 10:56
14 juil. 2010 à 10:56
Non, en fait, on peut charger la console de récupération à partir du CD d'xp. Mais on peut aussi la télécharger et l'installer ( ce que fais combofix automatiquement )
Donc normalement au démarrage, tu dois avoir deux choix ( console de récupération ou windows XP )
Donc normalement au démarrage, tu dois avoir deux choix ( console de récupération ou windows XP )
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 11:21
14 juil. 2010 à 11:21
D'accord, autres petites questions histoire de pas faire de bêtises:
- Lorsque je lance la console de récupération, elle me demande de choisir entre 1: C:windows ou C:WINDOWS 0. (Pour moi ça semble louche déjà). Que dois-je faire?
- Ensuite, juste pour confirmer, je devrai bien taper ensuite "fixmbr" et pas "fixmbr c:"? (il y a une contradiction entre le tuto et le premier commentaire en fait, c'est juste pour être sûr).
Merci!
- Lorsque je lance la console de récupération, elle me demande de choisir entre 1: C:windows ou C:WINDOWS 0. (Pour moi ça semble louche déjà). Que dois-je faire?
- Ensuite, juste pour confirmer, je devrai bien taper ensuite "fixmbr" et pas "fixmbr c:"? (il y a une contradiction entre le tuto et le premier commentaire en fait, c'est juste pour être sûr).
Merci!
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
14 juil. 2010 à 11:25
14 juil. 2010 à 11:25
Alors déjà si tu as Windows et Windows 0 , ca veut dire que tu as deux windows d'installé..
Mais choisis le deuxième ( windows 0 )
Et c'est bien fixmbr tout court :)
Mais choisis le deuxième ( windows 0 )
Et c'est bien fixmbr tout court :)
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 11:29
14 juil. 2010 à 11:29
Ouaw... C'est possible ça? Effectivement 'c'est le bronx comme vous dîtes....
Bon je fais ces étapes et je poste tout au prochain message
Bon je fais ces étapes et je poste tout au prochain message
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 12:16
14 juil. 2010 à 12:16
Voilà c'est fait! Pour le fixmbr là, la console m'a averti que tout allait bien et que ça pouvait être risqué de lancer tout de même cette commande. J'ai tout de même confirmé avec "o" (oui), et ça n'a duré que 3/4 secondes.
Voici les rapport Pré et Post:
https://www.cjoint.com/?homnJOaOPV
https://www.cjoint.com/?homodRB3fG
Juste pour vous tenir au courant de l'avancée, j'ai toujours les deux iexplore, mais depuis la manip précédente je crois, je n'ai plus d'attaques, ni de détournement vers des pages hasardeuses, et l'ordinateur semble aller un peu plus vite (y compris lors de la navigation sur internet!).
Voilà, je vous attends si vous avez d'autres étapes à me conseiller d'après les rapports
Voici les rapport Pré et Post:
https://www.cjoint.com/?homnJOaOPV
https://www.cjoint.com/?homodRB3fG
Juste pour vous tenir au courant de l'avancée, j'ai toujours les deux iexplore, mais depuis la manip précédente je crois, je n'ai plus d'attaques, ni de détournement vers des pages hasardeuses, et l'ordinateur semble aller un peu plus vite (y compris lors de la navigation sur internet!).
Voilà, je vous attends si vous avez d'autres étapes à me conseiller d'après les rapports
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
14 juil. 2010 à 12:57
14 juil. 2010 à 12:57
Ok, bonne nouvelle alors :) On a nettoyé le MBR, maintenant il y a toujours quelque chose qui me chagrine :
c:\windows.0\system32\ws2_32.dll . . . est infecté!!
On va faire une vérification :
-+-+-+-+-> SEAF <-+-+-+-+-
[x] Télécharge SEAF ( de C_XX ) sur ton bureau.
[x] Lance le puis dans la partie " Entrez ci dessous[...] " copie/colle ceci :
[x] Coche " Afficher les ADS "
[x] A droite de " Calculer le checksum " , sélectionne " MD5 ".
[x] Clique maintenant sur " Lancer la recherche " puis poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
c:\windows.0\system32\ws2_32.dll . . . est infecté!!
On va faire une vérification :
-+-+-+-+-> SEAF <-+-+-+-+-
[x] Télécharge SEAF ( de C_XX ) sur ton bureau.
[x] Lance le puis dans la partie " Entrez ci dessous[...] " copie/colle ceci :
ws2_32.dll
[x] Coche " Afficher les ADS "
[x] A droite de " Calculer le checksum " , sélectionne " MD5 ".
[x] Clique maintenant sur " Lancer la recherche " puis poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 13:08
14 juil. 2010 à 13:08
Erf... Petit problème :
https://www.cjoint.com/?honh4Wo1dQ
Au moment de lancer ce message d'erreur s'affiche.
:/
https://www.cjoint.com/?honh4Wo1dQ
Au moment de lancer ce message d'erreur s'affiche.
:/
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
14 juil. 2010 à 13:20
14 juil. 2010 à 13:20
Ok, on va utiliser autre chose :
-+-+-+-+-> SystemLook <-+-+-+-+-
[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.
[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :
[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.
-+-+-+-+-> SystemLook <-+-+-+-+-
[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.
[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :
:file c:\windows.0\system32\ws2_32.dll
[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 13:28
14 juil. 2010 à 13:28
Ca a été très très court, voici le rapport:
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 13:27 on 14/07/2010 by Utilisateur (Administrator - Elevation successful)
========== file ==========
c:\windows.0\system32\ws2_32.dll - File found and opened.
MD5: D62908B25308DD09BC7E863564132F6B
Created at 17:33 on 13/04/2008
Modified at 17:33 on 13/04/2008
Size: 82432 bytes
Attributes: --a---
FileDescription: Windows Socket 2.0 32-Bit DLL
FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
ProductVersion: 5.1.2600.5512
OriginalFilename: ws2_32.dll
InternalName: ws2_32.dll
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.
-=End Of File=-
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 13:27 on 14/07/2010 by Utilisateur (Administrator - Elevation successful)
========== file ==========
c:\windows.0\system32\ws2_32.dll - File found and opened.
MD5: D62908B25308DD09BC7E863564132F6B
Created at 17:33 on 13/04/2008
Modified at 17:33 on 13/04/2008
Size: 82432 bytes
Attributes: --a---
FileDescription: Windows Socket 2.0 32-Bit DLL
FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
ProductVersion: 5.1.2600.5512
OriginalFilename: ws2_32.dll
InternalName: ws2_32.dll
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.
-=End Of File=-
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
14 juil. 2010 à 13:30
14 juil. 2010 à 13:30
-+-+-+-+-> Virustotal <-+-+-+-+-
[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".
[x] Sélectionne ce fichier : c:\windows.0\system32\ws2_32.dll
puis cliques sur " Ouvrir ". Patiente pendant l'envoi.
[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".
[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".
[x] Sélectionne ce fichier : c:\windows.0\system32\ws2_32.dll
puis cliques sur " Ouvrir ". Patiente pendant l'envoi.
[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".
[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 13:47
14 juil. 2010 à 13:47
Voilà le rapport de Virustotal:
Fichier ws2_32.dll reçu le 2010.07.14 11:42:09 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/42 (9.53%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.14 -
AhnLab-V3 2010.07.14.01 2010.07.14 -
AntiVir 8.2.4.10 2010.07.14 -
Antiy-AVL 2.0.3.7 2010.07.14 -
Authentium 5.2.0.5 2010.07.14 -
Avast 4.8.1351.0 2010.07.14 -
Avast5 5.0.332.0 2010.07.14 -
AVG 9.0.0.836 2010.07.14 -
BitDefender 7.2 2010.07.14 -
CAT-QuickHeal 11.00 2010.07.14 -
ClamAV 0.96.0.3-git 2010.07.14 -
Comodo 5424 2010.07.14 -
DrWeb 5.0.2.03300 2010.07.14 -
eSafe 7.0.17.0 2010.07.14 -
eTrust-Vet 36.1.7706 2010.07.14 -
F-Prot 4.6.1.107 2010.07.14 -
F-Secure 9.0.15370.0 2010.07.14 -
Fortinet 4.1.143.0 2010.07.14 -
GData 21 2010.07.14 -
Ikarus T3.1.1.84.0 2010.07.14 -
Jiangmin 13.0.900 2010.07.14 -
Kaspersky 7.0.0.125 2010.07.14 -
McAfee 5.400.0.1158 2010.07.14 -
McAfee-GW-Edition 2010.1 2010.07.14 -
Microsoft 1.5902 2010.07.14 Virus:Win32/Bamital.A
NOD32 5277 2010.07.14 Win32/Patched.FC
Norman 6.05.11 2010.07.14 -
nProtect 2010-07-14.01 2010.07.14 -
Panda 10.0.2.7 2010.07.14 -
PCTools 7.0.3.5 2010.07.14 -
Prevx 3.0 2010.07.14 -
Rising 22.56.02.04 2010.07.14 Trojan.Win32.Generic.521B7084
Sophos 4.55.0 2010.07.14 W32/Patched-J
Sunbelt 6579 2010.07.14 -
SUPERAntiSpyware 4.40.0.1006 2010.07.14 -
Symantec 20101.1.1.7 2010.07.14 -
TheHacker 6.5.2.1.313 2010.07.13 -
TrendMicro 9.120.0.1004 2010.07.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.14 -
VBA32 3.12.12.6 2010.07.13 -
ViRobot 2010.7.12.3932 2010.07.14 -
VirusBuster 5.0.27.0 2010.07.13 -
Information additionnelle
File size: 82432 bytes
MD5...: d62908b25308dd09bc7e863564132f6b
SHA1..: 26cb368eb5693946136c7e67ddb7948bc9591297
SHA256: 28c5b5ca075859a1126dcf742f4d09ca015366febb06e72ad6155dae44ba23e9
ssdeep: 1536:LVidIkC3Q/SxCKEy2hdhdTe729cZpRJPf5QpZaqq/R8elG:LVgLEp2hdrTe
7IcZpR55QZVj
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x13156
timedatestamp.....: 0x4802c299 (Mon Apr 14 02:34:01 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x121fb 0x12200 6.50 7f4189ab9919ec2f5ad5f1845fae3071
.data 0x14000 0x914 0xa00 4.87 398f55d2c3049411bdc9baf7c51d8148
.rsrc 0x15000 0x3f8 0x400 3.43 5ff68b649c14d167754073f671ef1ef1
.reloc 0x16000 0xdc8 0xe00 6.65 c085926e9053221b19c5e6bcc1c08384
( 5 imports )
> ADVAPI32.dll: RegNotifyChangeKeyValue, RegDeleteKeyA, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegEnumKeyExA
> KERNEL32.dll: GetTickCount, QueryPerformanceCounter, lstrcmpA, HeapReAlloc, HeapFree, HeapAlloc, InterlockedCompareExchange, IsBadWritePtr, GetEnvironmentVariableA, GetComputerNameA, GetVersionExA, GetSystemDirectoryA, GetWindowsDirectoryA, WaitForMultipleObjectsEx, ResetEvent, IsBadReadPtr, TlsSetValue, GetHandleInformation, ExpandEnvironmentStringsA, InterlockedExchange, GetCurrentThreadId, TlsAlloc, GetSystemInfo, HeapCreate, GetProcessHeap, HeapDestroy, TlsFree, lstrlenA, lstrcpyA, IsBadCodePtr, GetProcAddress, CreateEventA, GetModuleFileNameA, LoadLibraryA, CreateThread, FreeLibrary, WaitForSingleObject, CloseHandle, FreeLibraryAndExitThread, EnterCriticalSection, SetEvent, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SwitchToThread, SetLastError, DelayLoadFailureHook, TlsGetValue, InterlockedDecrement, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, LeaveCriticalSection
> msvcrt.dll: __isascii, isspace, _except_handler3, sprintf, _adjust_fdiv, malloc, _initterm, free, _stricmp, fclose, fgets, atoi, strchr, fopen, wcscpy, strtoul, wcscmp, wcslen, wcschr
> ntdll.dll: RtlIpv4StringToAddressW, RtlIpv6StringToAddressExW, RtlIpv4StringToAddressA
> WS2HELP.dll: WahCompleteRequest, WahQueueUserApc, WahEnableNonIFSHandleSupport, WahDisableNonIFSHandleSupport, WahCreateSocketHandle, WahNotifyAllProcesses, WahCreateNotificationHandle, WahWaitForNotification, WahOpenCurrentThread, WahCloseThread, WahInsertHandleContext, WahRemoveHandleContext, WahDestroyHandleContextTable, WahCreateHandleContextTable, WahEnumerateHandleContexts, WahCloseApcHelper, WahCloseHandleHelper, WahCloseNotificationHandleHelper, WahOpenNotificationHandleHelper, WahOpenHandleHelper, WahOpenApcHelper, WahCloseSocketHandle, WahReferenceContextByHandle
( 117 exports )
FreeAddrInfoW, GetAddrInfoW, GetNameInfoW, WEP, WPUCompleteOverlappedRequest, WSAAccept, WSAAddressToStringA, WSAAddressToStringW, WSAAsyncGetHostByAddr, WSAAsyncGetHostByName, WSAAsyncGetProtoByName, WSAAsyncGetProtoByNumber, WSAAsyncGetServByName, WSAAsyncGetServByPort, WSAAsyncSelect, WSACancelAsyncRequest, WSACancelBlockingCall, WSACleanup, WSACloseEvent, WSAConnect, WSACreateEvent, WSADuplicateSocketA, WSADuplicateSocketW, WSAEnumNameSpaceProvidersA, WSAEnumNameSpaceProvidersW, WSAEnumNetworkEvents, WSAEnumProtocolsA, WSAEnumProtocolsW, WSAEventSelect, WSAGetLastError, WSAGetOverlappedResult, WSAGetQOSByName, WSAGetServiceClassInfoA, WSAGetServiceClassInfoW, WSAGetServiceClassNameByClassIdA, WSAGetServiceClassNameByClassIdW, WSAHtonl, WSAHtons, WSAInstallServiceClassA, WSAInstallServiceClassW, WSAIoctl, WSAIsBlocking, WSAJoinLeaf, WSALookupServiceBeginA, WSALookupServiceBeginW, WSALookupServiceEnd, WSALookupServiceNextA, WSALookupServiceNextW, WSANSPIoctl, WSANtohl, WSANtohs, WSAProviderConfigChange, WSARecv, WSARecvDisconnect, WSARecvFrom, WSARemoveServiceClass, WSAResetEvent, WSASend, WSASendDisconnect, WSASendTo, WSASetBlockingHook, WSASetEvent, WSASetLastError, WSASetServiceA, WSASetServiceW, WSASocketA, WSASocketW, WSAStartup, WSAStringToAddressA, WSAStringToAddressW, WSAUnhookBlockingHook, WSAWaitForMultipleEvents, WSApSetPostRoutine, WSCDeinstallProvider, WSCEnableNSProvider, WSCEnumProtocols, WSCGetProviderPath, WSCInstallNameSpace, WSCInstallProvider, WSCUnInstallNameSpace, WSCUpdateProvider, WSCWriteNameSpaceOrder, WSCWriteProviderOrder, __WSAFDIsSet, accept, bind, closesocket, connect, freeaddrinfo, getaddrinfo, gethostbyaddr, gethostbyname, gethostname, getnameinfo, getpeername, getprotobyname, getprotobynumber, getservbyname, getservbyport, getsockname, getsockopt, htonl, htons, inet_addr, inet_ntoa, ioctlsocket, listen, ntohl, ntohs, recv, recvfrom, select, send, sendto, setsockopt, shutdown, socket
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows Socket 2.0 32-Bit DLL
original name: ws2_32.dll
internal name: ws2_32.dll
file version.: 5.1.2600.5512 (xpsp.080413-0852)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Je vous ai tout mis comme info car je ne savais pas à partir d'où copier/coller. Je me demande vraiment comment vous faîtes pour comprendre toutes ces choses...
Fichier ws2_32.dll reçu le 2010.07.14 11:42:09 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/42 (9.53%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.14 -
AhnLab-V3 2010.07.14.01 2010.07.14 -
AntiVir 8.2.4.10 2010.07.14 -
Antiy-AVL 2.0.3.7 2010.07.14 -
Authentium 5.2.0.5 2010.07.14 -
Avast 4.8.1351.0 2010.07.14 -
Avast5 5.0.332.0 2010.07.14 -
AVG 9.0.0.836 2010.07.14 -
BitDefender 7.2 2010.07.14 -
CAT-QuickHeal 11.00 2010.07.14 -
ClamAV 0.96.0.3-git 2010.07.14 -
Comodo 5424 2010.07.14 -
DrWeb 5.0.2.03300 2010.07.14 -
eSafe 7.0.17.0 2010.07.14 -
eTrust-Vet 36.1.7706 2010.07.14 -
F-Prot 4.6.1.107 2010.07.14 -
F-Secure 9.0.15370.0 2010.07.14 -
Fortinet 4.1.143.0 2010.07.14 -
GData 21 2010.07.14 -
Ikarus T3.1.1.84.0 2010.07.14 -
Jiangmin 13.0.900 2010.07.14 -
Kaspersky 7.0.0.125 2010.07.14 -
McAfee 5.400.0.1158 2010.07.14 -
McAfee-GW-Edition 2010.1 2010.07.14 -
Microsoft 1.5902 2010.07.14 Virus:Win32/Bamital.A
NOD32 5277 2010.07.14 Win32/Patched.FC
Norman 6.05.11 2010.07.14 -
nProtect 2010-07-14.01 2010.07.14 -
Panda 10.0.2.7 2010.07.14 -
PCTools 7.0.3.5 2010.07.14 -
Prevx 3.0 2010.07.14 -
Rising 22.56.02.04 2010.07.14 Trojan.Win32.Generic.521B7084
Sophos 4.55.0 2010.07.14 W32/Patched-J
Sunbelt 6579 2010.07.14 -
SUPERAntiSpyware 4.40.0.1006 2010.07.14 -
Symantec 20101.1.1.7 2010.07.14 -
TheHacker 6.5.2.1.313 2010.07.13 -
TrendMicro 9.120.0.1004 2010.07.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.14 -
VBA32 3.12.12.6 2010.07.13 -
ViRobot 2010.7.12.3932 2010.07.14 -
VirusBuster 5.0.27.0 2010.07.13 -
Information additionnelle
File size: 82432 bytes
MD5...: d62908b25308dd09bc7e863564132f6b
SHA1..: 26cb368eb5693946136c7e67ddb7948bc9591297
SHA256: 28c5b5ca075859a1126dcf742f4d09ca015366febb06e72ad6155dae44ba23e9
ssdeep: 1536:LVidIkC3Q/SxCKEy2hdhdTe729cZpRJPf5QpZaqq/R8elG:LVgLEp2hdrTe
7IcZpR55QZVj
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x13156
timedatestamp.....: 0x4802c299 (Mon Apr 14 02:34:01 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x121fb 0x12200 6.50 7f4189ab9919ec2f5ad5f1845fae3071
.data 0x14000 0x914 0xa00 4.87 398f55d2c3049411bdc9baf7c51d8148
.rsrc 0x15000 0x3f8 0x400 3.43 5ff68b649c14d167754073f671ef1ef1
.reloc 0x16000 0xdc8 0xe00 6.65 c085926e9053221b19c5e6bcc1c08384
( 5 imports )
> ADVAPI32.dll: RegNotifyChangeKeyValue, RegDeleteKeyA, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegEnumKeyExA
> KERNEL32.dll: GetTickCount, QueryPerformanceCounter, lstrcmpA, HeapReAlloc, HeapFree, HeapAlloc, InterlockedCompareExchange, IsBadWritePtr, GetEnvironmentVariableA, GetComputerNameA, GetVersionExA, GetSystemDirectoryA, GetWindowsDirectoryA, WaitForMultipleObjectsEx, ResetEvent, IsBadReadPtr, TlsSetValue, GetHandleInformation, ExpandEnvironmentStringsA, InterlockedExchange, GetCurrentThreadId, TlsAlloc, GetSystemInfo, HeapCreate, GetProcessHeap, HeapDestroy, TlsFree, lstrlenA, lstrcpyA, IsBadCodePtr, GetProcAddress, CreateEventA, GetModuleFileNameA, LoadLibraryA, CreateThread, FreeLibrary, WaitForSingleObject, CloseHandle, FreeLibraryAndExitThread, EnterCriticalSection, SetEvent, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SwitchToThread, SetLastError, DelayLoadFailureHook, TlsGetValue, InterlockedDecrement, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, LeaveCriticalSection
> msvcrt.dll: __isascii, isspace, _except_handler3, sprintf, _adjust_fdiv, malloc, _initterm, free, _stricmp, fclose, fgets, atoi, strchr, fopen, wcscpy, strtoul, wcscmp, wcslen, wcschr
> ntdll.dll: RtlIpv4StringToAddressW, RtlIpv6StringToAddressExW, RtlIpv4StringToAddressA
> WS2HELP.dll: WahCompleteRequest, WahQueueUserApc, WahEnableNonIFSHandleSupport, WahDisableNonIFSHandleSupport, WahCreateSocketHandle, WahNotifyAllProcesses, WahCreateNotificationHandle, WahWaitForNotification, WahOpenCurrentThread, WahCloseThread, WahInsertHandleContext, WahRemoveHandleContext, WahDestroyHandleContextTable, WahCreateHandleContextTable, WahEnumerateHandleContexts, WahCloseApcHelper, WahCloseHandleHelper, WahCloseNotificationHandleHelper, WahOpenNotificationHandleHelper, WahOpenHandleHelper, WahOpenApcHelper, WahCloseSocketHandle, WahReferenceContextByHandle
( 117 exports )
FreeAddrInfoW, GetAddrInfoW, GetNameInfoW, WEP, WPUCompleteOverlappedRequest, WSAAccept, WSAAddressToStringA, WSAAddressToStringW, WSAAsyncGetHostByAddr, WSAAsyncGetHostByName, WSAAsyncGetProtoByName, WSAAsyncGetProtoByNumber, WSAAsyncGetServByName, WSAAsyncGetServByPort, WSAAsyncSelect, WSACancelAsyncRequest, WSACancelBlockingCall, WSACleanup, WSACloseEvent, WSAConnect, WSACreateEvent, WSADuplicateSocketA, WSADuplicateSocketW, WSAEnumNameSpaceProvidersA, WSAEnumNameSpaceProvidersW, WSAEnumNetworkEvents, WSAEnumProtocolsA, WSAEnumProtocolsW, WSAEventSelect, WSAGetLastError, WSAGetOverlappedResult, WSAGetQOSByName, WSAGetServiceClassInfoA, WSAGetServiceClassInfoW, WSAGetServiceClassNameByClassIdA, WSAGetServiceClassNameByClassIdW, WSAHtonl, WSAHtons, WSAInstallServiceClassA, WSAInstallServiceClassW, WSAIoctl, WSAIsBlocking, WSAJoinLeaf, WSALookupServiceBeginA, WSALookupServiceBeginW, WSALookupServiceEnd, WSALookupServiceNextA, WSALookupServiceNextW, WSANSPIoctl, WSANtohl, WSANtohs, WSAProviderConfigChange, WSARecv, WSARecvDisconnect, WSARecvFrom, WSARemoveServiceClass, WSAResetEvent, WSASend, WSASendDisconnect, WSASendTo, WSASetBlockingHook, WSASetEvent, WSASetLastError, WSASetServiceA, WSASetServiceW, WSASocketA, WSASocketW, WSAStartup, WSAStringToAddressA, WSAStringToAddressW, WSAUnhookBlockingHook, WSAWaitForMultipleEvents, WSApSetPostRoutine, WSCDeinstallProvider, WSCEnableNSProvider, WSCEnumProtocols, WSCGetProviderPath, WSCInstallNameSpace, WSCInstallProvider, WSCUnInstallNameSpace, WSCUpdateProvider, WSCWriteNameSpaceOrder, WSCWriteProviderOrder, __WSAFDIsSet, accept, bind, closesocket, connect, freeaddrinfo, getaddrinfo, gethostbyaddr, gethostbyname, gethostname, getnameinfo, getpeername, getprotobyname, getprotobynumber, getservbyname, getservbyport, getsockname, getsockopt, htonl, htons, inet_addr, inet_ntoa, ioctlsocket, listen, ntohl, ntohs, recv, recvfrom, select, send, sendto, setsockopt, shutdown, socket
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows Socket 2.0 32-Bit DLL
original name: ws2_32.dll
internal name: ws2_32.dll
file version.: 5.1.2600.5512 (xpsp.080413-0852)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Je vous ai tout mis comme info car je ne savais pas à partir d'où copier/coller. Je me demande vraiment comment vous faîtes pour comprendre toutes ces choses...
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
14 juil. 2010 à 14:02
14 juil. 2010 à 14:02
Ok...
Télécharge ceci sur ton bureau ( ne le lance pas )
Télécharge ceci et copie le sous C:\ ( important )
Ensuite lance replace.bat, puis repasse combofix.
Télécharge ceci sur ton bureau ( ne le lance pas )
Télécharge ceci et copie le sous C:\ ( important )
Ensuite lance replace.bat, puis repasse combofix.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
14 juil. 2010 à 14:26
14 juil. 2010 à 14:26
Voilà donc le rapport combofix après avoir utilisé replace.bat:
https://www.cjoint.com/?hooyFv1rnD
L'élément qui vous dérangeait n'est plus là, je me trompe?
https://www.cjoint.com/?hooyFv1rnD
L'élément qui vous dérangeait n'est plus là, je me trompe?