Bloqué démarrage xp suite TROJAN

Résolu/Fermé
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016 - 10 août 2010 à 00:42
 Utilisateur anonyme - 17 août 2010 à 13:30
Bonsoir,

Je viens de manger un méchant trojan sortant de nullepart.

Là, cela me pose de gros problèmes puisque lors du démarrage, juste avant que windows xp se lance, j'ai la fameuse page bleu avec le texte en blanc de type : "windows vient de détecter un problème etc...."
Cette page dure 2 secondes et redémarre mon pc automatiquement et ce continuellement.
AVG me l'a détecté et je n'ai même pas eu le temps de voir le nom du trojan...

Que faire s'il vous plaît ? Je suis vraiment bloqué (j'écris d'un autre ordi)

Merci par avance pour votre aide.
A voir également:

65 réponses

Utilisateur anonyme
10 août 2010 à 01:06
bonsoir il demarre en mode sans echec ?
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
10 août 2010 à 10:50
Bonjour gen-hackman,

voici le rapport de combofix :

ComboFix 10-08-09.02 - florent 10/08/2010 1:35.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1437 [GMT 2:00]
Lancé depuis: H:\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\florent\Local Settings\Application Data\ficbnonns
c:\documents and settings\florent\Local Settings\Application Data\ficbnonns\jhuhebctssd.exe
c:\documents and settings\florent\Local Settings\Application Data\hhicmmlkj
c:\documents and settings\florent\Local Settings\Application Data\hhicmmlkj\jjhmkpxtssd.exe
c:\documents and settings\florent\Local Settings\Application Data\hugbnxawf
c:\documents and settings\florent\Local Settings\Application Data\hugbnxawf\jyhovxytssd.exe
c:\windows\$NtUninstallMTF1011$
c:\windows\$NtUninstallMTF1011$\apUninstall.exe
c:\windows\DUMP7fde.tmp
c:\windows\system32\msippsth.dll
c:\windows\system32\sshnas21.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Legacy_TCPIP_PASS-THROUGH_FILTER
-------\Service_SSHNAS
-------\Service_TCPIP Pass-through Filter


((((((((((((((((((((((((((((( Fichiers créés du 2010-07-09 au 2010-08-09 ))))))))))))))))))))))))))))))))))))
.

2010-08-09 22:06 . 2010-08-09 22:06 783872 ----a-w- c:\windows\system32\drivers\jjnettim.sys
2010-08-09 22:06 . 2010-08-09 23:58 783872 ----a-w- c:\windows\system32\drivers\adildr.sys
2010-08-09 22:06 . 2010-08-09 22:06 8192 ----a-w- c:\windows\system32\eoljj.dll
2010-08-09 22:05 . 2010-08-09 22:05 -------- d-----w- c:\documents and settings\florent\Application Data\F51A607546EB4C4C6A6CFAEE8949C105
2010-07-16 04:18 . 2010-07-16 04:18 246784 ----a-w- c:\windows\system32\hcfvp.dll
2010-07-16 04:18 . 2010-07-16 04:18 294912 ----a-w- c:\windows\system32\lcfvp.dll
2010-07-15 14:47 . 2010-07-15 14:47 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-07-14 10:59 . 2010-06-14 14:30 743936 ------w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-14 00:43 . 2010-07-14 00:43 40581 ----a-w- c:\windows\system32\ycfvp.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-09 23:58 . 2010-02-18 23:25 -------- d-----w- c:\documents and settings\florent\Application Data\Skype
2010-08-09 23:57 . 2010-02-18 23:28 -------- d-----w- c:\documents and settings\florent\Application Data\skypePM
2010-08-09 23:53 . 2009-09-15 17:26 37581644 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-08-09 23:53 . 2009-09-15 17:26 3235940384 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-08-09 23:15 . 2010-04-07 18:05 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9
2010-08-09 22:09 . 2006-12-16 19:14 90112 ----a-w- c:\windows\DUMP8155.tmp
2010-08-09 22:08 . 2006-12-16 19:14 90112 ----a-w- c:\windows\DUMPb381.tmp
2010-08-09 21:59 . 2007-01-05 13:46 -------- d-----w- c:\program files\xeron
2010-08-08 03:39 . 2009-09-20 15:40 -------- d-----w- c:\documents and settings\florent\Application Data\Winamp
2010-07-15 14:47 . 2009-09-03 18:56 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-07-15 14:46 . 2009-09-03 18:56 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-07-08 16:47 . 2010-06-30 17:19 -------- d-----w- c:\program files\Xscorch DriverInstaller
2010-07-03 12:59 . 2008-07-26 11:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Soulseek
2010-06-18 11:03 . 2008-10-14 17:23 -------- d-----w- c:\documents and settings\florent\Application Data\uTorrent
2010-06-14 14:30 . 2006-03-25 04:00 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-03 06:34 . 2009-09-03 18:56 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-15 10:13 . 2010-05-15 10:13 2922 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-05-15 10:13 . 2006-06-29 09:24 81072 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-15 10:13 . 2006-06-29 09:24 485132 ----a-w- c:\windows\system32\perfh00C.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 68856]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-03-09 26100520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-03-18 149280]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016]
"nwiz"="nwiz.exe" [2006-07-20 1519616]
"MsmqIntCert"="mqrt.dll" [2009-06-25 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-06-17 794713]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-06-19 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-23 487424]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-02-13 734624]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\malware.exe" [2009-09-10 1312080]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-12-18 39424]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-15 2065760]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
hpoddt01.exe.lnk - c:\program files\HP\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]
Ralink Wireless Utility.lnk - c:\windows\RaUI.exe [2007-7-10 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-15 14:47 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=ma_cmidn.dll
"midi2"=ma_cmidn.dll

[HKLM\~\startupfolder\C:^Documents and Settings^florent^Menu Démarrer^Programmes^Démarrage^YesMessenger.lnk]
path=c:\documents and settings\florent\Menu Démarrer\Programmes\Démarrage\YesMessenger.lnk
backup=c:\windows\pss\YesMessenger.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2007-04-03 22:29 165784 ----a-w- c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-08-05 19:34 64512 ----a-w- c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-12-18 00:30 39424 ----a-w- c:\program files\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Soulseek-Test\\slsk.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Quake III Arena\\quake3.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowOutboundDestinationUnreachable"= 1 (0x1)
"AllowOutboundSourceQuench"= 1 (0x1)
"AllowOutboundTimeExceeded"= 1 (0x1)
"AllowRedirect"= 1 (0x1)

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [03/09/2009 20:56 216400]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [03/09/2009 20:56 243024]
R1 is-90E2Odrv;is-90E2Odrv;c:\windows\system32\drivers\93643346.sys [28/08/2009 21:10 148496]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [15/07/2010 16:47 308136]
R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [06/06/2006 22:39 61952]
S1 is-F5L4Jdrv;is-F5L4Jdrv;c:\windows\system32\drivers\04019243.sys [30/08/2009 11:26 148496]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [07/02/2010 14:36 135664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25/01/2007 19:31 42000]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16/06/2007 17:24 682232]
.
Contenu du dossier 'Tâches planifiées'

2010-07-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-08-09 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-26 20:23]

2010-08-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 12:36]

2010-08-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 12:36]
.
.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uStart Page = hxxp://www.google.fr/
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://fr.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
LSP: c:\windows\system32\eoljj.dll
FF - ProfilePath - c:\documents and settings\florent\Application Data\Mozilla\Firefox\Profiles\i2q854v8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - GoogleCOM
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.ffgoo.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - component: c:\documents and settings\florent\Application Data\Mozilla\Firefox\Profiles\i2q854v8.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\documents and settings\florent\Application Data\Mozilla\Firefox\Profiles\i2q854v8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----

FF - user.js: browser.search.selectedEngine - GoogleCOM
FF - user.js: keyword.URL - hxxp://www.ffgoo.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - user.js: browser.sessionstore.resume_from_crash - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
MSConfigStartUp-EdenFlirt - c:\program files\Eden Flirt\EdenFlirt.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-10 01:56
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????L?@? ??? ???????'?@?????L?@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89319EC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebfc3
\Driver\ACPI -> ACPI.sys @ 0xf735dcb8
\Driver\atapi -> atapi.sys @ 0xf72d17b4
\Driver\iaStor -> iaStor.sys @ 0xf7207b58
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: Intel(R) PRO/1000 PL Network Connection #2 -> SendCompleteHandler -> NDIS.sys @ 0xf7107b30
PacketIndicateHandler -> NDIS.sys @ 0xf70f6a0d
SendHandler -> NDIS.sys @ 0xf710aac0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ADILOADER]
"ImagePath"="System32\Drivers\adildr.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(1116)
c:\windows\system32\eoljj.dll

- - - - - - - > 'explorer.exe'(3256)
c:\windows\system32\eoljj.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\msdtc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\mqsvc.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\dllhost.exe
c:\program files\Skype\Phone\Skype.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
c:\program files\Fichiers communs\Teleca Shared\Generic.exe
c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Heure de fin: 2010-08-10 02:09:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-10 00:09
ComboFix2.txt 2009-09-18 16:38

Avant-CF: 3 808 088 064 octets libres
Après-CF: 6 414 254 080 octets libres

- - End Of File - - 44BF22008DF07BF40F526761982A471F
0
hello


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------


Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

MBR::

Rootkit::
c:\windows\system32\drivers\jjnettim.sys

File::
c:\windows\system32\eoljj.dll
c:\windows\DUMP8155.tmp
c:\windows\DUMPb381.tmp

Folder::
c:\documents and settings\florent\Application Data\F51A607546EB4C4C6A6CFAEE8949C105

Driver::
jjnettim
------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt



<gras>?G3?-?@¢??@?(TM)©®?
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
11 août 2010 à 10:48
Bonjour Gen,

en fait je t'écris d'un autre pc. Je ne peux pas me connecter sur celui infecté...

Penses-tu que je peux le transférer via clé usb afin de réaliser la manip ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
11 août 2010 à 12:54
le CFScript ? bien sur !!
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
11 août 2010 à 15:48
Re gen,

voici le nouveau rapport :



ComboFix 10-08-10.06 - florent 11/08/2010 15:08:00.3.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1442 [GMT 2:00]
Lancé depuis: H:\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\florent\Bureau\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::
"c:\windows\DUMP8155.tmp"
"c:\windows\DUMPb381.tmp"
"c:\windows\system32\eoljj.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\florent\Application Data\F51A607546EB4C4C6A6CFAEE8949C105
c:\documents and settings\florent\Application Data\F51A607546EB4C4C6A6CFAEE8949C105\secureapp70700.exe
c:\windows\DUMP8155.tmp
c:\windows\DUMPb381.tmp
c:\windows\system32\eoljj.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-11 au 2010-08-11 ))))))))))))))))))))))))))))))))))))
.

2010-08-10 17:49 . 2010-08-11 08:00 -------- d-----w- c:\program files\trend micro
2010-08-10 17:49 . 2010-08-10 17:49 -------- d-----w- C:\rsit
2010-08-09 22:06 . 2010-08-11 13:26 783872 ----a-w- c:\windows\system32\drivers\adildr.sys
2010-07-15 14:47 . 2010-07-15 14:47 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-07-14 10:59 . 2010-06-14 14:30 743936 ------w- c:\windows\system32\dllcache\helpsvc.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-11 13:25 . 2010-02-18 23:25 -------- d-----w- c:\documents and settings\florent\Application Data\Skype
2010-08-11 13:21 . 2009-09-15 17:26 37619492 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-08-11 13:21 . 2009-09-15 17:26 3235940384 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-08-11 07:51 . 2010-02-18 23:28 -------- d-----w- c:\documents and settings\florent\Application Data\skypePM
2010-08-10 18:43 . 2009-09-15 16:53 -------- d-----w- c:\program files\Malwarebytes
2010-08-09 23:15 . 2010-04-07 18:05 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9
2010-08-09 21:59 . 2007-01-05 13:46 -------- d-----w- c:\program files\xeron
2010-08-08 03:39 . 2009-09-20 15:40 -------- d-----w- c:\documents and settings\florent\Application Data\Winamp
2010-07-15 14:47 . 2009-09-03 18:56 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-07-15 14:46 . 2009-09-03 18:56 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-07-08 16:47 . 2010-06-30 17:19 -------- d-----w- c:\program files\Xscorch DriverInstaller
2010-07-03 12:59 . 2008-07-26 11:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Soulseek
2010-06-18 11:03 . 2008-10-14 17:23 -------- d-----w- c:\documents and settings\florent\Application Data\uTorrent
2010-06-14 14:30 . 2006-03-25 04:00 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-03 06:34 . 2009-09-03 18:56 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-15 10:13 . 2010-05-15 10:13 2922 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-05-15 10:13 . 2006-06-29 09:24 81072 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-15 10:13 . 2006-06-29 09:24 485132 ----a-w- c:\windows\system32\perfh00C.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 68856]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-03-09 26100520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-03-18 149280]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016]
"nwiz"="nwiz.exe" [2006-07-20 1519616]
"MsmqIntCert"="mqrt.dll" [2009-06-25 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-06-17 794713]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-06-19 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-23 487424]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-02-13 734624]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\malware.exe" [2009-09-10 1312080]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-12-18 39424]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-15 2065760]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
hpoddt01.exe.lnk - c:\program files\HP\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]
Ralink Wireless Utility.lnk - c:\windows\RaUI.exe [2007-7-10 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-15 14:47 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=ma_cmidn.dll
"midi2"=ma_cmidn.dll

[HKLM\~\startupfolder\C:^Documents and Settings^florent^Menu Démarrer^Programmes^Démarrage^YesMessenger.lnk]
path=c:\documents and settings\florent\Menu Démarrer\Programmes\Démarrage\YesMessenger.lnk
backup=c:\windows\pss\YesMessenger.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2007-04-03 22:29 165784 ----a-w- c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-08-05 19:34 64512 ----a-w- c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-12-18 00:30 39424 ----a-w- c:\program files\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Soulseek-Test\\slsk.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Quake III Arena\\quake3.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowOutboundDestinationUnreachable"= 1 (0x1)
"AllowOutboundSourceQuench"= 1 (0x1)
"AllowOutboundTimeExceeded"= 1 (0x1)
"AllowRedirect"= 1 (0x1)

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [03/09/2009 20:56 216400]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [03/09/2009 20:56 243024]
R1 is-90E2Odrv;is-90E2Odrv;c:\windows\system32\drivers\93643346.sys [28/08/2009 21:10 148496]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [15/07/2010 16:47 308136]
R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [06/06/2006 22:39 61952]
S1 is-F5L4Jdrv;is-F5L4Jdrv;c:\windows\system32\drivers\04019243.sys [30/08/2009 11:26 148496]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [07/02/2010 14:36 135664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25/01/2007 19:31 42000]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16/06/2007 17:24 682232]
.
Contenu du dossier 'Tâches planifiées'

2010-07-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-08-11 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-26 20:23]

2010-08-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 12:36]

2010-08-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 12:36]
.
.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uStart Page = hxxp://www.google.fr/
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://fr.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\florent\Application Data\Mozilla\Firefox\Profiles\i2q854v8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - GoogleCOM
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.ffgoo.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - component: c:\documents and settings\florent\Application Data\Mozilla\Firefox\Profiles\i2q854v8.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\documents and settings\florent\Application Data\Mozilla\Firefox\Profiles\i2q854v8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----

FF - user.js: browser.search.selectedEngine - GoogleCOM
FF - user.js: keyword.URL - hxxp://www.ffgoo.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - user.js: browser.sessionstore.resume_from_crash - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-11 15:23
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????L?@? ??? ???????'?@?????L?@

Recherche de fichiers cachés ...


c:\docume~1\florent\LOCALS~1\Temp\jusched.log 403 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x898BFEC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebfc3
\Driver\ACPI -> ACPI.sys @ 0xf735dcb8
\Driver\atapi -> atapi.sys @ 0xf72d17b4
\Driver\iaStor -> iaStor.sys @ 0xf7207b58
IoDeviceObjectType -> SecurityProcedure -> ntkrnlpa.exe @ 0x80582be6
\Device\Harddisk0\DR0 -> SecurityProcedure -> ntkrnlpa.exe @ 0x80582be6
NDIS: Intel(R) PRO/1000 PL Network Connection #2 -> SendCompleteHandler -> NDIS.sys @ 0xf7107b30
PacketIndicateHandler -> NDIS.sys @ 0xf70f6a0d
SendHandler -> NDIS.sys @ 0xf710aac0
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ADILOADER]
"ImagePath"="System32\Drivers\adildr.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\msdtc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\mqsvc.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wscntfy.exe
c:\program files\Skype\Phone\Skype.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\Fichiers communs\Teleca Shared\Generic.exe
c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2010-08-11 15:37:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-11 13:37
ComboFix2.txt 2010-08-10 00:09
ComboFix3.txt 2009-09-18 16:38

Avant-CF: 7 809 130 496 octets libres
Après-CF: 7 793 647 616 octets libres

- - End Of File - - F19C98D1775E4F639B297DD49A9C0D57
0
Utilisateur anonyme
11 août 2010 à 16:12
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
12 août 2010 à 12:32
Bonjour Gen,

voici le lien, suivi du more.txt :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijQy1x6Af.txt

http://www.cijoint.fr/cjlink.php?file=cj201008/cijiXBWvvC.txt
0
Utilisateur anonyme
12 août 2010 à 12:51
bonjour :

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\system32\drivers\04019243.sys
c:\windows\system32\drivers\93643346.sys
C:\WINDOWS\System32\Install6x.dll
C:\WINDOWS\System32\mfcuia32.dll
C:\WINDOWS\System32\UCI32105.dll


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
12 août 2010 à 13:25
Je ne trouve pas l'intitulé " formaté " sur virus total après current status finished...
J'ai juste la possibilité de laisser un commentaire et rien à cliquer...
0
Utilisateur anonyme
12 août 2010 à 13:31
une fois l analyse terminée , colle le lien de virus total ici
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
12 août 2010 à 15:29
http://www.virustotal.com/file-scan/report.html?id=3e893bcf9e3ec8fa44c8ef0cf7c2d269212651d65c16b30bd953cc3a54f3b2aa-1281611992
http://www.virustotal.com/file-scan/report.html?id=3e893bcf9e3ec8fa44c8ef0cf7c2d269212651d65c16b30bd953cc3a54f3b2aa-1281613367
http://www.virustotal.com/file-scan/report.html?id=8d2fcf1d827d01d4d624ab996099446e407e6fb90e97a7767b34930f4a9ed419-1281616505
http://www.virustotal.com/file-scan/report.html?id=87e9854ab6141ab8de6335091111adf00f5274fe42b967bd6f206be9e61beefe-1281616779
http://www.virustotal.com/file-scan/report.html?id=4f2f3dafc542b61455a83f8d49fdf741a0dcbc228eb5f34972c4ccb459b91887-1281619123
0
Utilisateur anonyme
12 août 2010 à 15:54
ok la suite :p
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
12 août 2010 à 17:38
Voilà la suite :



¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.2.7 ¤¤¤¤¤¤¤¤¤¤

User : florent (Administrateurs)
Update on 12/08/2010 by g3n-h@ckm@n ::::: 00.40
Start at: 16:09:20 | 12/08/2010

Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : AVG Anti-Virus Free 9.0 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 102,52 Go (7,08 Go free) | NTFS
D:\ -> Disque fixe local | 8,24 Go (1,42 Go free) [HP_RECOVERY] | FAT32
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----428 Ko
C:\WINDOWS\system32\csrss.exe ----4860 Ko
C:\WINDOWS\system32\winlogon.exe ----3672 Ko
C:\WINDOWS\system32\services.exe ----6564 Ko
C:\WINDOWS\system32\lsass.exe ----6556 Ko
C:\WINDOWS\system32\svchost.exe ----5492 Ko
C:\WINDOWS\system32\svchost.exe ----5232 Ko
C:\WINDOWS\System32\svchost.exe ----22848 Ko
C:\Program Files\AVG\AVG9\avgchsvx.exe ----21032 Ko
C:\Program Files\AVG\AVG9\avgrsx.exe ----632 Ko
C:\WINDOWS\system32\svchost.exe ----4068 Ko
C:\Program Files\AVG\AVG9\avgcsrvx.exe ----428 Ko
C:\WINDOWS\Explorer.EXE ----9844 Ko
C:\WINDOWS\system32\svchost.exe ----3580 Ko
C:\WINDOWS\system32\cmd.exe ----2644 Ko
C:\WINDOWS\system32\spoolsv.exe ----5544 Ko
C:\WINDOWS\system32\svchost.exe ----3708 Ko
C:\WINDOWS\system32\msdtc.exe ----5492 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe ----6092 Ko
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe ----3204 Ko
C:\Program Files\AVG\AVG9\avgwdsvc.exe ----2136 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----4152 Ko
C:\WINDOWS\eHome\ehRecvr.exe ----4852 Ko
C:\WINDOWS\eHome\ehSched.exe ----3516 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe ----4448 Ko
C:\WINDOWS\eHome\ehRec.exe ----19372 Ko
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe ----4180 Ko
C:\Program Files\Java\jre6\bin\jqs.exe ----8352 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe ----6132 Ko
C:\Program Files\AVG\AVG9\avgnsx.exe ----7268 Ko
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe ----3136 Ko
C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe ----2916 Ko
C:\WINDOWS\system32\svchost.exe ----4324 Ko
C:\WINDOWS\system32\svchost.exe ----4768 Ko
C:\WINDOWS\system32\wdfmgr.exe ----2408 Ko
C:\WINDOWS\system32\wuauclt.exe ----8492 Ko
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe ----3968 Ko
C:\WINDOWS\ehome\mcrdsvc.exe ----3756 Ko
C:\WINDOWS\system32\mqsvc.exe ----6620 Ko
C:\WINDOWS\system32\mqtgsvc.exe ----4392 Ko
C:\WINDOWS\system32\dllhost.exe ----6644 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----7072 Ko
C:\WINDOWS\system32\wscntfy.exe ----2732 Ko
C:\WINDOWS\System32\alg.exe ----4028 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----3872 Ko
C:\Program Files\List_Kill'em\pv.exe ----3280 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Program Files\WinPCap
Quarantined & Deleted !! : C:\WINDOWS\DUMP901a.tmp

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\Packet.dll
Quarantined & Deleted !! : C:\WINDOWS\System32\SET2AF.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET2BB.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET2C8.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET2D6.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET2D8.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET2DF.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SETB7.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\WanPacket.dll
Quarantined & Deleted !! : C:\WINDOWS\Temp\flaD.tmp
Quarantined & Deleted !! : C:\Documents and Settings\florent\Application Data\wklnhst.dat

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : HKCR\CLSID\{003541a1-3bc0-1b1c-aaf3-040114001c01}
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\NPF
Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NPF
Deleted : HKLM\SYSTEM\ControlSet002\Services\NPF

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 1 (0x1)
FirewallOverride = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)

========
Services
=========

Ndisuio : Start = 3
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

FEATURE_BROWSER_EMULATION | svchost :
====================================

Deleted : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION : svchost.exe

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x898B2EC5]<<
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
12 août 2010 à 22:39
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
13 août 2010 à 01:06
Re :

sur l'onglet services, je n'ai qu'une ligne en rouge :
ADILOADER AUTO System32\Drivers\adildr.sys General purpose USB Driver(adildr.sys)
Quand je veux le supprimer une fenêtre warning s'ouvre me précisant que le système va planter si je le supprime.

Je n'ai rien pour l'onglet process et files...
0
Utilisateur anonyme
13 août 2010 à 01:07
tu as un emulateur ?
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
13 août 2010 à 01:09
De quel type ?

J'ai l'impression que mon ancien post avec le log n'a pas été pris en compte...
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
13 août 2010 à 01:27
Ca ne marche pas, quand je tente d'ouvrir ADILOADER, j'ai une fenêtre me précisant : erreur lors de l'ouverture de la clé.
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
13 août 2010 à 01:30
As-tu besoin du log gmer ? j'ai tenté de le poster 2 fois, il ne s'affiche pas....
0