A voir également:
- Rapport highjackthis
- Plan rapport de stage - Guide
- On vous a donné accès à un fichier rapport. il est partagé avec plusieurs personnes sur cet espace pix cloud. répondez aux questions - Forum Cloud
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant ✓ - Forum Excel
- Rapport d'erreur windows - Guide
- Rapport de visite commerciale word ✓ - Forum Word
42 réponses
Utilisateur anonyme
10 août 2010 à 22:56
10 août 2010 à 22:56
bonsoir :
le rootkit va sauter :
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
▶ Télécharge ici :List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
▶ laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶ Fais de même avec more.txt qui se trouve sur ton bureau
le rootkit va sauter :
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
▶ Télécharge ici :List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
▶ laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶ Fais de même avec more.txt qui se trouve sur ton bureau
Bonjour Gen-hackman, merci, je viens de lancer List - Kill'em, il est 10 h (petit rappel pour moi)...
il est 10h24, le scan est resté bloqué à 10%, pourriez-vous me dire si c'est normal ou ce que de dois faire?
10h40 maintenant, scan toujours à 10%. Peut-être mon PC contient-il des pare feu, spywares qui sont là sans rien dire à personne, et forcément, comme je n'en ai pas conscience, je ne les ai pas désactivés...Science sans conscience n'est que ruine de l'âme, l'âme à chine, bon j'éteins tout...I'm going nuts
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
11 août 2010 à 12:28
11 août 2010 à 12:28
Juste pour suivre...car y'a déja assez de monde dessus!
Salut à tous !
Salut à tous !
Utilisateur anonyme
Modifié par gen-hackman le 11/08/2010 à 13:03
Modifié par gen-hackman le 11/08/2010 à 13:03
ok s il bloque on fera autrement
?G3?-?@¢??@?(TM)©®?
?G3?-?@¢??@?(TM)©®?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
11 août 2010 à 13:18
11 août 2010 à 13:18
ah quand même, tu es là !!
(sourire)
un combo en MSE est en finalisation
à ta toi suite
ps : bienvenu archet9
(sourire)
un combo en MSE est en finalisation
à ta toi suite
ps : bienvenu archet9
Salut tlm,
alors le compte rendu est en cours de préparation, norton m'avertit en même temps que tahaz.exe tente d'accéder à internet et me demande ce que je souhaite faire... que dois-je faire hein?
alors le compte rendu est en cours de préparation, norton m'avertit en même temps que tahaz.exe tente d'accéder à internet et me demande ce que je souhaite faire... que dois-je faire hein?
Ok, merci, c'est fait, aussitôt remplacé par PEV.cfxxe qui tente d'accéder à un serveur DNS, je suppose que je bloque également?
Utilisateur anonyme
11 août 2010 à 14:12
11 août 2010 à 14:12
non
J'ai cru comprendre que cela n'était pas important :
moment de grace - 11 aoû 2010 à 12:13
laisses tomber norton
en revanche choisis avec prise en charge reseau
Il faut vraiment recommencer? Et comment fait-on pour désactiver norton, je l'ai pourtant désactiver mais il redevient actif sans que je sache comment...
Sinon, voici le rapport :
ComboFix 10-08-10.06 - HP_Propriétaire 11/08/2010 12:57:34.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.510.255 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Bureau\Elia.ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 090102-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur.NOM-EB85C523610\Application Data\ozzfhv.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\fuwidol.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\tahaz.exe
c:\program files\Need2Find
c:\program files\Need2Find\bar\8.bin\N2FFXTBR.JAR
c:\program files\Need2Find\bar\8.bin\N2NTSTBR.JAR
c:\program files\Need2Find\bar\8.bin\PARTNER.DAT
c:\program files\Need2Find\bar\8.bin\trz1E90.tmp
c:\program files\Need2Find\bar\Cache\000154A3
c:\program files\Need2Find\bar\Cache\00A8E146
c:\program files\Need2Find\bar\Cache\014F0283
c:\program files\Need2Find\bar\Cache\022F42B7
c:\program files\Need2Find\bar\Cache\022F468F
c:\program files\Need2Find\bar\Cache\files.ini
c:\program files\Need2Find\bar\History\search
c:\program files\Need2Find\bar\Settings\prevcfg.htm
c:\program files\Need2Find\bar\Settings\settings.dat
c:\program files\Need2Find\bar\Settings\settings.dat.bak
c:\program files\Need2Find\bar\Settings\settings.htm
c:\program files\Need2Find\bar\Settings\settings.htm.bak
c:\recycler\S-1-5-21-0030003365-3104860179-852222573-1581\yv8g67.exe
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\cdmxtras
c:\windows\cdmxtras\uninst.exe
c:\windows\Fonts\acrsec.fon
c:\windows\NDNuninstall7_22.exe
c:\windows\NDNuninstall7_48.exe
Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\ndis.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-11 au 2010-08-11 ))))))))))))))))))))))))))))))))))))
.
2010-08-11 10:02 . 2010-08-11 10:57 33792 ----a-w- c:\windows\system32\agmtisuks.exe
2010-08-11 09:48 . 2010-08-11 09:48 -------- d-sh--w- c:\documents and settings\Administrateur.NOM-EB85C523610\IETldCache
2010-08-11 07:58 . 2010-08-11 07:58 -------- d-----w- C:\Kill'em
2010-08-11 07:55 . 2010-08-11 08:00 -------- d-----w- c:\program files\List_Kill'em
2010-08-10 19:10 . 2010-08-10 19:10 12192 ----a-w- c:\windows\system32\drivers\Fdcq.sys
2010-08-09 19:08 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-09 19:08 . 2010-08-09 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-08-09 19:08 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-09 19:08 . 2010-08-09 19:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-08 07:10 . 2010-08-08 07:10 -------- d-----w- c:\program files\CCleaner
1601-01-01 00:00 . 1601-01-01 00:00 -------- d-----w- c:\windows\LastGood.Tmp
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-11 09:57 . 2005-01-01 22:50 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-08-11 08:51 . 2009-01-26 21:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-08-08 07:10 . 2010-06-21 13:52 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2010-08-08 07:10 . 2010-06-21 13:49 -------- d-----w- c:\program files\AVS4YOU
2010-08-08 07:08 . 2005-01-01 22:59 -------- d-----w- c:\program files\InterVideo
2010-08-08 07:08 . 2005-01-01 22:32 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-31 09:04 . 2005-08-28 16:26 -------- d-----w- c:\program files\Lexmark X1100 Series
2010-07-02 21:02 . 2010-07-02 21:01 -------- d-----w- c:\program files\QuickTime
2010-07-02 21:01 . 2005-01-01 22:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-06-22 06:45 . 2010-06-18 14:34 -------- d-----w- c:\program files\ESTsoft
2010-06-22 06:45 . 2010-06-18 14:35 -------- d-----w- c:\documents and settings\All Users\Application Data\ESTsoft
2010-06-21 13:54 . 2010-06-21 13:49 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2010-06-19 12:04 . 2010-06-18 14:41 -------- d-----w- c:\program files\Oryte_Games_1.9
2010-06-18 14:41 . 2010-06-18 14:41 -------- d-----w- c:\program files\Conduit
2010-06-18 13:28 . 2006-03-07 13:32 -------- d-----w- c:\program files\eMule
2010-06-15 13:27 . 2006-10-29 10:21 -------- d-----w- c:\program files\Sony
2010-06-14 14:30 . 2004-08-05 18:00 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2008-08-26 17:22 . 2005-08-04 17:30 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2005-11-14 16:17 . 2005-11-14 16:17 774144 ----a-w- c:\program files\RngInterstitial.dll
2005-07-29 05:16 . 2005-07-28 20:16 22 --sha-w- c:\windows\SMINST\HPCD.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e7f88e02-0c78-48a1-86d2-82d8865de2df}"= "c:\program files\Oryte_Games_1.9\tbOry1.dll" [2010-06-13 2734688]
[HKEY_CLASSES_ROOT\clsid\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
2010-06-13 17:10 2734688 ----a-w- c:\program files\Oryte_Games_1.9\tbOry1.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e7f88e02-0c78-48a1-86d2-82d8865de2df}"= "c:\program files\Oryte_Games_1.9\tbOry1.dll" [2010-06-13 2734688]
[HKEY_CLASSES_ROOT\clsid\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E7F88E02-0C78-48A1-86D2-82D8865DE2DF}"= "c:\program files\Oryte_Games_1.9\tbOry1.dll" [2010-06-13 2734688]
[HKEY_CLASSES_ROOT\clsid\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"diquow"="c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\fuwidol.exe" [2010-08-05 226304]
"agmtisuks"="c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\agmtisuks.exe" [2010-08-11 33792]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"diquow"="c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\fuwidol.exe" [2010-08-05 226304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-10-13 278528]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-09-07 58488]
"URLLSTCK.exe"="c:\program files\Norton Internet Security\UrlLstCk.exe" [2004-08-31 33936]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-04 344064]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"agmtisuks"="c:\windows\System32\agmtisuks.exe" [2010-08-11 33792]
c:\documents and settings\HP_Propri'taire.NOM-EB85C523610.000\Menu D'marrer\Programmes\D'marrage\
1gb5xno.exe [2010-8-11 42496]
1gccxoo.exe [2010-8-8 43008]
1kvgw9s.exe [2010-8-9 42496]
2nii6uu.exe [2010-8-11 42496]
2too6aa.exe [2010-8-11 42496]
3msyekq.exe [2010-8-9 43008]
3vrmm6y.exe [2010-8-9 42496]
3wwrito.exe [2010-8-11 43008]
69q1mii.exe [2010-8-11 42496]
6hxxnt6.exe [2010-8-7 43008]
6qq6sni.exe [2010-8-9 43008]
70bxss6.exe [2010-8-11 42496]
9a1wssn.exe [2010-8-11 42496]
aa6mm6yy6.exe [2010-8-11 42496]
aqw2xdefaa.exe [2010-8-7 42496]
bw1soojaav.exe [2010-8-7 43008]
dyy6kk6ww.exe [2010-8-10 42496]
ezqqlcxn2o.exe [2010-8-11 43008]
f2gw0ntz.exe [2010-8-10 43008]
fbww6ii6.exe [2010-8-8 43008]
hii1eaavrr.exe [2010-8-10 43008]
hso0ka0lwm.exe [2010-8-11 43008]
jafbrrnddzp.exe [2010-8-9 43008]
ju3gg6ss6ee.exe [2010-8-11 42496]
k5q1miid.exe [2010-8-11 43008]
c:\documents and settings\Administrateur.NOM-EB85C523610\Menu D'marrer\Programmes\D'marrage\
AutoTBar.exe [2003-9-30 57344]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29/10/2008 22:57 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/10/2008 22:57 20560]
R2 Fdcq;Fdcq;c:\windows\system32\drivers\Fdcq.sys [10/08/2010 21:10 12192]
R3 RTL8187B;TG123g USB Wireless Adapter;c:\windows\system32\drivers\RTL8187B.sys [23/09/2008 15:39 264576]
S2 aeezovdieuga4y;Canon BJ Memory Card Manager;c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\keduw.exe [11/08/2010 13:10 226304]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [04/10/2009 22:36 133104]
.
Contenu du dossier 'Tâches planifiées'
2010-08-11 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-01 22:41]
2010-08-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-04 20:36]
2010-08-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-04 20:36]
2010-08-08 c:\windows\Tasks\Norton AntiVirus - Analyser mon ordinateur - HP_Propriétaire.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2004-08-31 15:48]
2010-08-08 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-01-01 17:22]
2010-08-11 c:\windows\Tasks\User_Feed_Synchronization-{FE84677E-AC92-4804-A01C-15A3B6CE05B2}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2476266
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
FF - ProfilePath - c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Mozilla\Firefox\Profiles\yb1d9ba3.default\
FF - prefs.js: browser.startup.homepage - hxxp://mail2.voila.fr/webmail/fr_FR/login.html
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIAWB1&q=
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npracplug.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-diquow - c:\windows\system32\fuwidol.exe
AddRemove-gakou - c:\documents and settings\hp_propriétaire.nom-eb85c523610.000\local settings\application data\gakou.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-11 13:10
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(4636)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\ArcSoft\Software Suite\PhotoImpression 5\share\pihook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\AGRSMMSG.exe
c:\windows\ALCXMNTR.EXE
c:\program files\Lexmark X1100 Series\lxbkbmon.exe
c:\program files\Logitech\Video\FxSvr2.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\tahaz.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2010-08-11 14:03:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-11 12:03
Avant-CF: 149 763 657 728 octets libres
Après-CF: 149 708 873 728 octets libres
- - End Of File - - E45737BF8853BA10C56FEF64DD83F680
moment de grace - 11 aoû 2010 à 12:13
laisses tomber norton
en revanche choisis avec prise en charge reseau
Il faut vraiment recommencer? Et comment fait-on pour désactiver norton, je l'ai pourtant désactiver mais il redevient actif sans que je sache comment...
Sinon, voici le rapport :
ComboFix 10-08-10.06 - HP_Propriétaire 11/08/2010 12:57:34.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.510.255 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Bureau\Elia.ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 090102-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur.NOM-EB85C523610\Application Data\ozzfhv.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\fuwidol.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\tahaz.exe
c:\program files\Need2Find
c:\program files\Need2Find\bar\8.bin\N2FFXTBR.JAR
c:\program files\Need2Find\bar\8.bin\N2NTSTBR.JAR
c:\program files\Need2Find\bar\8.bin\PARTNER.DAT
c:\program files\Need2Find\bar\8.bin\trz1E90.tmp
c:\program files\Need2Find\bar\Cache\000154A3
c:\program files\Need2Find\bar\Cache\00A8E146
c:\program files\Need2Find\bar\Cache\014F0283
c:\program files\Need2Find\bar\Cache\022F42B7
c:\program files\Need2Find\bar\Cache\022F468F
c:\program files\Need2Find\bar\Cache\files.ini
c:\program files\Need2Find\bar\History\search
c:\program files\Need2Find\bar\Settings\prevcfg.htm
c:\program files\Need2Find\bar\Settings\settings.dat
c:\program files\Need2Find\bar\Settings\settings.dat.bak
c:\program files\Need2Find\bar\Settings\settings.htm
c:\program files\Need2Find\bar\Settings\settings.htm.bak
c:\recycler\S-1-5-21-0030003365-3104860179-852222573-1581\yv8g67.exe
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\cdmxtras
c:\windows\cdmxtras\uninst.exe
c:\windows\Fonts\acrsec.fon
c:\windows\NDNuninstall7_22.exe
c:\windows\NDNuninstall7_48.exe
Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\ndis.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-11 au 2010-08-11 ))))))))))))))))))))))))))))))))))))
.
2010-08-11 10:02 . 2010-08-11 10:57 33792 ----a-w- c:\windows\system32\agmtisuks.exe
2010-08-11 09:48 . 2010-08-11 09:48 -------- d-sh--w- c:\documents and settings\Administrateur.NOM-EB85C523610\IETldCache
2010-08-11 07:58 . 2010-08-11 07:58 -------- d-----w- C:\Kill'em
2010-08-11 07:55 . 2010-08-11 08:00 -------- d-----w- c:\program files\List_Kill'em
2010-08-10 19:10 . 2010-08-10 19:10 12192 ----a-w- c:\windows\system32\drivers\Fdcq.sys
2010-08-09 19:08 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-09 19:08 . 2010-08-09 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-08-09 19:08 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-09 19:08 . 2010-08-09 19:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-08 07:10 . 2010-08-08 07:10 -------- d-----w- c:\program files\CCleaner
1601-01-01 00:00 . 1601-01-01 00:00 -------- d-----w- c:\windows\LastGood.Tmp
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-11 09:57 . 2005-01-01 22:50 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-08-11 08:51 . 2009-01-26 21:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-08-08 07:10 . 2010-06-21 13:52 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2010-08-08 07:10 . 2010-06-21 13:49 -------- d-----w- c:\program files\AVS4YOU
2010-08-08 07:08 . 2005-01-01 22:59 -------- d-----w- c:\program files\InterVideo
2010-08-08 07:08 . 2005-01-01 22:32 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-31 09:04 . 2005-08-28 16:26 -------- d-----w- c:\program files\Lexmark X1100 Series
2010-07-02 21:02 . 2010-07-02 21:01 -------- d-----w- c:\program files\QuickTime
2010-07-02 21:01 . 2005-01-01 22:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-06-22 06:45 . 2010-06-18 14:34 -------- d-----w- c:\program files\ESTsoft
2010-06-22 06:45 . 2010-06-18 14:35 -------- d-----w- c:\documents and settings\All Users\Application Data\ESTsoft
2010-06-21 13:54 . 2010-06-21 13:49 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2010-06-19 12:04 . 2010-06-18 14:41 -------- d-----w- c:\program files\Oryte_Games_1.9
2010-06-18 14:41 . 2010-06-18 14:41 -------- d-----w- c:\program files\Conduit
2010-06-18 13:28 . 2006-03-07 13:32 -------- d-----w- c:\program files\eMule
2010-06-15 13:27 . 2006-10-29 10:21 -------- d-----w- c:\program files\Sony
2010-06-14 14:30 . 2004-08-05 18:00 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2008-08-26 17:22 . 2005-08-04 17:30 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2005-11-14 16:17 . 2005-11-14 16:17 774144 ----a-w- c:\program files\RngInterstitial.dll
2005-07-29 05:16 . 2005-07-28 20:16 22 --sha-w- c:\windows\SMINST\HPCD.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e7f88e02-0c78-48a1-86d2-82d8865de2df}"= "c:\program files\Oryte_Games_1.9\tbOry1.dll" [2010-06-13 2734688]
[HKEY_CLASSES_ROOT\clsid\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
2010-06-13 17:10 2734688 ----a-w- c:\program files\Oryte_Games_1.9\tbOry1.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e7f88e02-0c78-48a1-86d2-82d8865de2df}"= "c:\program files\Oryte_Games_1.9\tbOry1.dll" [2010-06-13 2734688]
[HKEY_CLASSES_ROOT\clsid\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E7F88E02-0C78-48A1-86D2-82D8865DE2DF}"= "c:\program files\Oryte_Games_1.9\tbOry1.dll" [2010-06-13 2734688]
[HKEY_CLASSES_ROOT\clsid\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"diquow"="c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\fuwidol.exe" [2010-08-05 226304]
"agmtisuks"="c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\agmtisuks.exe" [2010-08-11 33792]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"diquow"="c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\fuwidol.exe" [2010-08-05 226304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-10-13 278528]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-09-07 58488]
"URLLSTCK.exe"="c:\program files\Norton Internet Security\UrlLstCk.exe" [2004-08-31 33936]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-04 344064]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"agmtisuks"="c:\windows\System32\agmtisuks.exe" [2010-08-11 33792]
c:\documents and settings\HP_Propri'taire.NOM-EB85C523610.000\Menu D'marrer\Programmes\D'marrage\
1gb5xno.exe [2010-8-11 42496]
1gccxoo.exe [2010-8-8 43008]
1kvgw9s.exe [2010-8-9 42496]
2nii6uu.exe [2010-8-11 42496]
2too6aa.exe [2010-8-11 42496]
3msyekq.exe [2010-8-9 43008]
3vrmm6y.exe [2010-8-9 42496]
3wwrito.exe [2010-8-11 43008]
69q1mii.exe [2010-8-11 42496]
6hxxnt6.exe [2010-8-7 43008]
6qq6sni.exe [2010-8-9 43008]
70bxss6.exe [2010-8-11 42496]
9a1wssn.exe [2010-8-11 42496]
aa6mm6yy6.exe [2010-8-11 42496]
aqw2xdefaa.exe [2010-8-7 42496]
bw1soojaav.exe [2010-8-7 43008]
dyy6kk6ww.exe [2010-8-10 42496]
ezqqlcxn2o.exe [2010-8-11 43008]
f2gw0ntz.exe [2010-8-10 43008]
fbww6ii6.exe [2010-8-8 43008]
hii1eaavrr.exe [2010-8-10 43008]
hso0ka0lwm.exe [2010-8-11 43008]
jafbrrnddzp.exe [2010-8-9 43008]
ju3gg6ss6ee.exe [2010-8-11 42496]
k5q1miid.exe [2010-8-11 43008]
c:\documents and settings\Administrateur.NOM-EB85C523610\Menu D'marrer\Programmes\D'marrage\
AutoTBar.exe [2003-9-30 57344]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29/10/2008 22:57 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/10/2008 22:57 20560]
R2 Fdcq;Fdcq;c:\windows\system32\drivers\Fdcq.sys [10/08/2010 21:10 12192]
R3 RTL8187B;TG123g USB Wireless Adapter;c:\windows\system32\drivers\RTL8187B.sys [23/09/2008 15:39 264576]
S2 aeezovdieuga4y;Canon BJ Memory Card Manager;c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\keduw.exe [11/08/2010 13:10 226304]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [04/10/2009 22:36 133104]
.
Contenu du dossier 'Tâches planifiées'
2010-08-11 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-01 22:41]
2010-08-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-04 20:36]
2010-08-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-04 20:36]
2010-08-08 c:\windows\Tasks\Norton AntiVirus - Analyser mon ordinateur - HP_Propriétaire.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2004-08-31 15:48]
2010-08-08 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-01-01 17:22]
2010-08-11 c:\windows\Tasks\User_Feed_Synchronization-{FE84677E-AC92-4804-A01C-15A3B6CE05B2}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2476266
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
FF - ProfilePath - c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Mozilla\Firefox\Profiles\yb1d9ba3.default\
FF - prefs.js: browser.startup.homepage - hxxp://mail2.voila.fr/webmail/fr_FR/login.html
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIAWB1&q=
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npracplug.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-diquow - c:\windows\system32\fuwidol.exe
AddRemove-gakou - c:\documents and settings\hp_propriétaire.nom-eb85c523610.000\local settings\application data\gakou.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-11 13:10
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(4636)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\ArcSoft\Software Suite\PhotoImpression 5\share\pihook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\AGRSMMSG.exe
c:\windows\ALCXMNTR.EXE
c:\program files\Lexmark X1100 Series\lxbkbmon.exe
c:\program files\Logitech\Video\FxSvr2.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\tahaz.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2010-08-11 14:03:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-11 12:03
Avant-CF: 149 763 657 728 octets libres
Après-CF: 149 708 873 728 octets libres
- - End Of File - - E45737BF8853BA10C56FEF64DD83F680
Utilisateur anonyme
11 août 2010 à 14:53
11 août 2010 à 14:53
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
MBR::
File::
c:\windows\system32\agmtisuks.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\agmtisuks.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\keduw.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\1gb5xno.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\1gccxoo.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\1kvgw9s.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\2nii6uu.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\2too6aa.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\3msyekq.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\3vrmm6y.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\3wwrito.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\69q1mii.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\6hxxnt6.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\6qq6sni.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\70bxss6.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\9a1wssn.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\aa6mm6yy6.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\aqw2xdefaa.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\bw1soojaav.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\dyy6kk6ww.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\ezqqlcxn2o.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\f2gw0ntz.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\fbww6ii6.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\hii1eaavrr.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\hso0ka0lwm.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\jafbrrnddzp.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\ju3gg6ss6ee.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Menu Démarrer\Programmes\Démarrage\k5q1miid.exe
c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Application Data\Microsoft\tahaz.exe
Folder::
c:\program files\Conduit
c:\program files\Oryte_Games_1.9
Driver::
aeezovdieuga4y
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e7f88e02-0c78-48a1-86d2-82d8865de2df}"=-
[-HKEY_CLASSES_ROOT\clsid\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e7f88e02-0c78-48a1-86d2-82d8865de2df}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e7f88e02-0c78-48a1-86d2-82d8865de2df}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E7F88E02-0C78-48A1-86D2-82D8865DE2DF}"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"diquow"=-
"agmtisuks"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"diquow"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPHUPD06"=-
"iTunesHelper"=-
"AlcxMonitor"=-
"QuickTime Task"=-
"LVCOMSX"=-
"agmtisuks"=-
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
Utilisateur anonyme
11 août 2010 à 16:06
11 août 2010 à 16:06
c'est ecrit juste au dessus :)
faut lire les instructions jusqu'au bout lol
faut lire les instructions jusqu'au bout lol
Salut Gen ;-)
Je pense que tu l'as vu mais j'ai pigé pourquoi ça ne va pas ce Pc.
Il y aurait Avast en plus de Norton installé là-dessus.
ComboFix 10-08-10.06 - HP_Propriétaire 11/08/2010 12:57:34.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.510.255 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Bureau\Elia.ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 090102-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
Je pense que tu l'as vu mais j'ai pigé pourquoi ça ne va pas ce Pc.
Il y aurait Avast en plus de Norton installé là-dessus.
ComboFix 10-08-10.06 - HP_Propriétaire 11/08/2010 12:57:34.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.510.255 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire.NOM-EB85C523610.000\Bureau\Elia.ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 090102-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
Naan, je vois pas, c'est quoi le fichier combofix,? Quelqu'un acceptera-t-il de me dire, je suis épuisée, n'oubliez pas que vous comprenez ce qui se passe et vous savez pourquoi il faut faire ceci ou cela, c'est évident pour vous, pour moi, c'est du chinois, alors ce fichier, il a changé de nom en cours de route, où a-t-on parlé d'un fichier combofix?
Ah, oui, autant pour moi!!!! Qu'est ce que je dois faire, j'écrase le texte de combo avec le tien ou je colle en-dessus? au-dessous? Et le scan va redémarrer tout seul une fois que j'aurais fait cela ? ou alors il faut se remettre en mode sans échec etc?
Utilisateur anonyme
11 août 2010 à 23:38
11 août 2010 à 23:38
tu as bien fait ceci ? :
https://forums.commentcamarche.net/forum/affich-18763377-rapport-highjackthis?page=2#67
https://forums.commentcamarche.net/forum/affich-18763377-rapport-highjackthis?page=2#67
Bonjour Gen-hackman,
Concernant norton, il n'y a que les mises à jour Windows que je ne sais pas comment désactiver. Est-ce important?
Sinon, pour répondre à ta question, j'ai bien copié ton texte, là où je cale, c'est pour coller ce texte dans le fichier combo, dois-je écraser le texte du fichier combo avec ton texte, ou le coller en-dessous, au-dessus...? Et comment le scan redémarre-t-il? Il faut refaire toute la procédure?
Merci d'avance
Concernant norton, il n'y a que les mises à jour Windows que je ne sais pas comment désactiver. Est-ce important?
Sinon, pour répondre à ta question, j'ai bien copié ton texte, là où je cale, c'est pour coller ce texte dans le fichier combo, dois-je écraser le texte du fichier combo avec ton texte, ou le coller en-dessous, au-dessus...? Et comment le scan redémarre-t-il? Il faut refaire toute la procédure?
Merci d'avance
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
12 août 2010 à 09:50
12 août 2010 à 09:50
là où je cale, c'est pour coller ce texte dans le fichier combo,
faire glisser le fichier bloc note crée sur combofix
voir lien
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
faire glisser le fichier bloc note crée sur combofix
voir lien
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
12 août 2010 à 09:56
12 août 2010 à 09:56
il faut le faire glisser sur l'icône combo sur mon bureau
=> oui
Et concernant les protections sécurité windows, comment les désactiver,
juste norton pas les MAJ Windows
=> oui
Et concernant les protections sécurité windows, comment les désactiver,
juste norton pas les MAJ Windows
Super !!! je te remercie, combofix, j'aillais dire qu'il est reparti mais une fenêtre de combo m'avertit que norton est toujours actif, pourtant sur mon écran, en bas à droite, il y a une croix sur l'icône norton pour signifier que je l'ai désactivé, ce nq'est pas ce que détecte combo, est-ce que tu as le temps de me dire comment on le désactive stp?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
12 août 2010 à 10:07
12 août 2010 à 10:07
Le Pc me dit ressources système insuffisantes, je n'ai plus accès au panneau de configuration...que faut-il faire?
Je ne peux pas, quand je vais dans démarrer, mes documents, mon PC ne réagit pas...sur mon bureau, je ne retrouve que le scan effectué il y a 2 jours, après le dernier scan de combo, le PC a redémarré et plus rien, je n'ai pas accès à mes doc. , plus de réseau, impossible d'accéder à configuration, poste de travail etc...
Utilisateur anonyme
12 août 2010 à 22:31
12 août 2010 à 22:31
essaie cette solution :
http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html
http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html
