Problème virus TK/crypt.ZPACK.gen aidez-moi
Roberto
-
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
J'ai un problème avec mon PC. Mon antivirus (Avira) me sollicite régulièrement en disant qu'un virus entre d'entrer dans mon PC. Son nom: TK/crypt.ZPACK.gen
C'est très embêtant.
Quelqu'un peut-il m'aider?
Merci beaucoup!
J'ai un problème avec mon PC. Mon antivirus (Avira) me sollicite régulièrement en disant qu'un virus entre d'entrer dans mon PC. Son nom: TK/crypt.ZPACK.gen
C'est très embêtant.
Quelqu'un peut-il m'aider?
Merci beaucoup!
A voir également:
- Problème virus TK/crypt.ZPACK.gen aidez-moi
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
5 réponses
OK TDSS...
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/
Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/
Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Marrant, dès que je viens sur ce forum e t je me dis "mince je sais pas", le virus revient. Donc, il se trouve dans C:/WINDOWS/Temp/bdlf.tmp/setup.exe
Je mets "supprimer" à chaque fois, ça ne marche pas.
J'ai eu un virus avant-hier soir, un truc pas possible, un gros boxon. J'ai restauré mon PC, tout est parti, mais depuis il y a ça.
J'en ai un autre qui vient d'apparaître, c'est dans:
C:/WINDOWS/Temp/ediu.tmp/setup.exe
Je mets "supprimer" à chaque fois, ça ne marche pas.
J'ai eu un virus avant-hier soir, un truc pas possible, un gros boxon. J'ai restauré mon PC, tout est parti, mais depuis il y a ça.
J'en ai un autre qui vient d'apparaître, c'est dans:
C:/WINDOWS/Temp/ediu.tmp/setup.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut.
Désolé pour le retard. Mon PC a planté hier avec Combofix et j'étais toute la journée au boulot aujourd'hui.
J'ai le rapport.
A noter que lors de ma tentative hier, deux nouvelles intrusions ont été stoppées.
La première se nomme TR/Patched.Gen et se trouvait dans C:/Qoobox/32788R22FWJFW/WudfPf.sys
La deuxième se nommait RKIT/Bubnix.EL et se trouvait dans C:/Windows/system32/Drivers/vknhbkhd.sys
Bref, voici le rapport:
ComboFix 10-07-20.01 - William 22/07/2010 0:13.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1977.1434 [GMT 2:00]
Lancé depuis: c:\documents and settings\William\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\William\Application Data\2CFC749864E7F5FA18ACF95C81C2B4FB
c:\documents and settings\William\Application Data\2CFC749864E7F5FA18ACF95C81C2B4FB\enemies-names.txt
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-21 au 2010-07-21 ))))))))))))))))))))))))))))))))))))
.
2010-07-18 23:35 . 2010-07-18 23:35 -------- d-----w- c:\windows\system32\wbem\Repository
2010-07-18 23:30 . 2010-07-18 23:30 -------- d-----w- c:\documents and settings\Administrateur\IETldCache
2010-07-18 23:30 . 2010-07-18 23:34 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft
2010-07-18 23:30 . 2010-07-18 23:34 -------- d-----w- c:\documents and settings\Administrateur\Modèles
2010-07-18 23:30 . 2010-07-18 23:34 -------- d-s---w- c:\documents and settings\Administrateur
2010-07-18 22:02 . 2010-07-18 22:02 0 ----a-w- c:\windows\system32\perf73845.dat
2010-07-13 19:07 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-21 22:05 . 2010-05-06 23:27 -------- d-----w- c:\program files\Fichiers communs\Akamai
2010-07-20 19:30 . 2010-03-27 08:00 -------- d-----w- c:\program files\RomStation
2010-07-18 22:05 . 2009-12-05 22:51 -------- d-----w- c:\documents and settings\William\Application Data\HPAppData
2010-07-13 21:05 . 2009-07-11 17:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-02 09:48 . 2009-07-11 17:42 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-06-24 21:30 . 2001-09-28 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-24 21:30 . 2001-09-28 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-20 13:46 . 2009-07-12 20:13 -------- d-----w- c:\program files\GTA2
2010-06-14 20:43 . 2009-12-05 22:46 -------- d-----w- c:\documents and settings\William\Application Data\HP
2010-06-14 14:31 . 2009-07-11 12:13 744448 ----a-w- c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-06-06 10:17 . 2009-07-11 12:33 110344 ----a-w- c:\documents and settings\William\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-06-05 10:20 . 2010-05-06 22:01 -------- d-----w- c:\program files\Pinnacle
2010-06-05 10:16 . 2010-05-07 08:14 -------- d-----w- c:\program files\MAGIX
2010-06-05 10:16 . 2010-05-07 08:14 -------- d-----w- c:\documents and settings\All Users\Application Data\MAGIX
2010-06-05 10:11 . 2010-05-07 08:11 -------- d-----w- c:\program files\Fichiers communs\MAGIX Services
2010-06-04 09:25 . 2010-02-18 10:40 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-02 09:58 . 2010-06-02 09:55 23799 ----a-w- c:\windows\hpqins15.dat
2010-05-24 01:02 . 2010-05-24 01:02 503808 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\msvcp71.dll
2010-05-24 01:02 . 2010-05-24 01:02 499712 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\jmc.dll
2010-05-24 01:02 . 2010-05-24 01:02 348160 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\msvcr71.dll
2010-05-06 10:33 . 2001-09-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2001-09-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2009-01-27 01:34 . 2009-07-12 20:18 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-07-12 20:18 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-03-13 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-03-13 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-03-13 142360]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-23 1434920]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-06-03 284728]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-12-11 1044480]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2009-7-12 83360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\EA GAMES\\MOHDA\\MOHAA.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
"c:\\Program Files\\Counter Strike 1.6\\hl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\William\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [28/09/2001 14:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/07/2009 00:06 108289]
R2 DisplayLinkService;DisplayLink Service;c:\program files\DisplayLink Core Software\DisplayLinkService.exe [10/03/2009 07:47 447848]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [11/07/2009 17:26 228408]
S3 GTFFBUS;GT FF BUS;c:\windows\system32\drivers\gtffbus.sys [19/05/2010 16:05 17152]
S3 GTMMDMUSB;GT M 3G+ USB MDM;c:\windows\system32\drivers\gtmmdmusb.sys [19/05/2010 16:05 25472]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:\windows\system32\drivers\Gtm51Irp.sys [19/05/2010 16:05 122240]
S3 GTMSERUSB;GT M 3G+ USB SER;c:\windows\system32\drivers\gtmserusb.sys [19/05/2010 16:05 21888]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
2010-07-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2010-07-21 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\William\Application Data\Mozilla\Firefox\Profiles\674vpj6y.default\
FF - plugin: c:\documents and settings\William\Application Data\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\documents and settings\William\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel
AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-22 00:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-07-22 00:20:24
ComboFix-quarantined-files.txt 2010-07-21 22:20
Avant-CF: 49 780 883 456 octets libres
Après-CF: 49 741 205 504 octets libres
- - End Of File - - 12BEFB60EE1CD7E81A4F352B231D3329
Désolé pour le retard. Mon PC a planté hier avec Combofix et j'étais toute la journée au boulot aujourd'hui.
J'ai le rapport.
A noter que lors de ma tentative hier, deux nouvelles intrusions ont été stoppées.
La première se nomme TR/Patched.Gen et se trouvait dans C:/Qoobox/32788R22FWJFW/WudfPf.sys
La deuxième se nommait RKIT/Bubnix.EL et se trouvait dans C:/Windows/system32/Drivers/vknhbkhd.sys
Bref, voici le rapport:
ComboFix 10-07-20.01 - William 22/07/2010 0:13.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1977.1434 [GMT 2:00]
Lancé depuis: c:\documents and settings\William\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\William\Application Data\2CFC749864E7F5FA18ACF95C81C2B4FB
c:\documents and settings\William\Application Data\2CFC749864E7F5FA18ACF95C81C2B4FB\enemies-names.txt
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-21 au 2010-07-21 ))))))))))))))))))))))))))))))))))))
.
2010-07-18 23:35 . 2010-07-18 23:35 -------- d-----w- c:\windows\system32\wbem\Repository
2010-07-18 23:30 . 2010-07-18 23:30 -------- d-----w- c:\documents and settings\Administrateur\IETldCache
2010-07-18 23:30 . 2010-07-18 23:34 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft
2010-07-18 23:30 . 2010-07-18 23:34 -------- d-----w- c:\documents and settings\Administrateur\Modèles
2010-07-18 23:30 . 2010-07-18 23:34 -------- d-s---w- c:\documents and settings\Administrateur
2010-07-18 22:02 . 2010-07-18 22:02 0 ----a-w- c:\windows\system32\perf73845.dat
2010-07-13 19:07 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-21 22:05 . 2010-05-06 23:27 -------- d-----w- c:\program files\Fichiers communs\Akamai
2010-07-20 19:30 . 2010-03-27 08:00 -------- d-----w- c:\program files\RomStation
2010-07-18 22:05 . 2009-12-05 22:51 -------- d-----w- c:\documents and settings\William\Application Data\HPAppData
2010-07-13 21:05 . 2009-07-11 17:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-02 09:48 . 2009-07-11 17:42 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-06-24 21:30 . 2001-09-28 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-24 21:30 . 2001-09-28 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-20 13:46 . 2009-07-12 20:13 -------- d-----w- c:\program files\GTA2
2010-06-14 20:43 . 2009-12-05 22:46 -------- d-----w- c:\documents and settings\William\Application Data\HP
2010-06-14 14:31 . 2009-07-11 12:13 744448 ----a-w- c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-06-06 10:17 . 2009-07-11 12:33 110344 ----a-w- c:\documents and settings\William\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-06-05 10:20 . 2010-05-06 22:01 -------- d-----w- c:\program files\Pinnacle
2010-06-05 10:16 . 2010-05-07 08:14 -------- d-----w- c:\program files\MAGIX
2010-06-05 10:16 . 2010-05-07 08:14 -------- d-----w- c:\documents and settings\All Users\Application Data\MAGIX
2010-06-05 10:11 . 2010-05-07 08:11 -------- d-----w- c:\program files\Fichiers communs\MAGIX Services
2010-06-04 09:25 . 2010-02-18 10:40 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-02 09:58 . 2010-06-02 09:55 23799 ----a-w- c:\windows\hpqins15.dat
2010-05-24 01:02 . 2010-05-24 01:02 503808 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\msvcp71.dll
2010-05-24 01:02 . 2010-05-24 01:02 499712 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\jmc.dll
2010-05-24 01:02 . 2010-05-24 01:02 348160 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\msvcr71.dll
2010-05-06 10:33 . 2001-09-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2001-09-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2009-01-27 01:34 . 2009-07-12 20:18 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-07-12 20:18 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-03-13 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-03-13 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-03-13 142360]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-23 1434920]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-06-03 284728]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-12-11 1044480]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2009-7-12 83360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\EA GAMES\\MOHDA\\MOHAA.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
"c:\\Program Files\\Counter Strike 1.6\\hl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\William\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [28/09/2001 14:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/07/2009 00:06 108289]
R2 DisplayLinkService;DisplayLink Service;c:\program files\DisplayLink Core Software\DisplayLinkService.exe [10/03/2009 07:47 447848]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [11/07/2009 17:26 228408]
S3 GTFFBUS;GT FF BUS;c:\windows\system32\drivers\gtffbus.sys [19/05/2010 16:05 17152]
S3 GTMMDMUSB;GT M 3G+ USB MDM;c:\windows\system32\drivers\gtmmdmusb.sys [19/05/2010 16:05 25472]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:\windows\system32\drivers\Gtm51Irp.sys [19/05/2010 16:05 122240]
S3 GTMSERUSB;GT M 3G+ USB SER;c:\windows\system32\drivers\gtmserusb.sys [19/05/2010 16:05 21888]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
2010-07-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2010-07-21 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\William\Application Data\Mozilla\Firefox\Profiles\674vpj6y.default\
FF - plugin: c:\documents and settings\William\Application Data\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\documents and settings\William\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel
AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-22 00:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-07-22 00:20:24
ComboFix-quarantined-files.txt 2010-07-21 22:20
Avant-CF: 49 780 883 456 octets libres
Après-CF: 49 741 205 504 octets libres
- - End Of File - - 12BEFB60EE1CD7E81A4F352B231D3329
Voici le rapport que m'a donné Combofix:
http://cjoint.com/data/hymIMbpLm2.htm