Sujet Précédent Sujet Suivant

Ordinateur infecté

nogarounet -  
moment de grace Messages postés 30049 Statut Contributeur sécurité -
Bonjour,

Voilà mon ordinateur a été infecté, je ne peux pas utilisé internet explorer, tous les .exe lancés sont contaminé ( sauf windows ( .explorer ? ) qui semble marcher ). Je ne peux pas bien sûr installer d'antivirus afin de faire un scan, ni de faire de scan online. Aussi, un anti-virus que je n'ai pas me propose de scaner mon ordi, je refuse à chaque connection bien sûr.

Je vous écris d'un autre ordinateur et j'aurai besoin de votre aide pour résoudre ce soucis :).

Merci à vous

A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
bonjour

tu es victime d'un rogue (faux antivirus

essaies ceci dans un premier temps sur le pc malade

redémarres en mode sans échec avec prise en charge réseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

Télécharge rkill

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr https://download.bleepingcomputer.com/grinler/rkill.scr

Rkill PIF: Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif
http://download.bleepingcomputer.com/grinler/rkill.pif

une fois qu'il aura terminé

Téléchargez MalwareByte's Anti-Malware

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

0
Réponse 2 / 30
nogarounet
 
Administrateur ou mon prénom en mode sans échec avec prise réseau ? Merci !
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
mon prénom
0
nogarounet
 
Me suis mis en Admin, pas trop grave etant donné que j'ai commencé le scan ? :o)
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

on va jusqu'au bout et surtout supprimes bien ce qu'il trouve...
0
nogarounet
 
Oui oui je t'envois le compte rendu du scan dés que c'est terminé. Merci encore pour ton aide :) !
0
Réponse 3 / 30
nogarounet
 
voila là réponse du scan :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

14/08/2010 21:49:20
mbam-log-2010-08-14 (21-49-20).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 158999
Temps écoulé: 22 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{90ac7636-ea1f-488b-a104-be61c1b40a13} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{90ac7636-ea1f-488b-a104-be61c1b40a13} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{536c1cfe-d0d0-46a8-b689-c78ea5b78422} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{536c1cfe-d0d0-46a8-b689-c78ea5b78422} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{536c1cff-d0d0-46a8-b689-c78ea5b78422} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{536c1cff-d0d0-46a8-b689-c78ea5b78422} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{536c1cfe-d0d0-46a8-b689-c78ea5b78422} (Adware.Mirar) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drdap.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bc78.dll (Adware.Mirar) -> Quarantined and deleted successfully.
C:\Documents and Settings\Clément\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Clément\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Clément\Bureau\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Clément\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
0
Réponse 4 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

tu peux vider la quarantaine

puis en mode normal

fais ceci pour un diagnostic complet du PC :

Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint :? http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
nogarounet
 
Impossible de lancer ZHP Diag, mon ordinateur en normal semble toujours infecté, les pubs d'anti-virus qui me proposent un scan, ainsi que tous les setup impossible à lancer ( mais windows marche toujours ).

J'ai bien effacé les virus en quarantaine, par contre quand j'ai installé Malware, sur les mises à jours je ne pouvaient pas en mettre de nouvelle, il y avait un message d'erreur qui me disait de contacté le constructeur.
0
Réponse 6 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

refais un coup de rkill

puis

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs en le renommant NOGA.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

0
Réponse 7 / 30
nogarounet
 
Tout ça en mode normal je suis pose.

Note : Je n'ai pas d'antivirus sur l'ordinateur contaminé, je sais c'est mal de ma part :) ! J'installe un antivirus une fois l'étape terminée grace à ma clé usb que j'utilise depuis tout à l'heure entre l'ordinateur normal et celui contaminé ?
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
Tout ça en mode normal je suis pose.
pour commencer oui

grace à ma clé usb que j'utilise depuis tout à l'heure entre l'ordinateur normal et celui contaminé

je pensais que tu étais en mode sans echec avec prise en charge reseau...!

il est possible que le rogue reconnaisse combo, alors le faire en mode sans echec
0
nogarounet
 
Excuses-moi de pas préciser. Oui je suis en mode échec depuis tout à l'heure, pour le scan ainsi que le compte rendu, je m'étais remis juste en mode normal comme tu me l'as dis pour essayer ZHP qui ne marche pas :)
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
pas de soucis

1)
en normal
rkill+ combo renommé

si ca coince

2)

en sans chec
rkill+ combo renommé
0
nogarounet
 
Je passe sur internet sur l'ordinateur contaminé en mode sans échec avec prise en charge réseau dans un premier temps pour te parler. Je vais essayer la seconde étape étant donné que je suis sur le mode, après ce que tu m'as dis de faire plus haut :)
0
nogarounet
 
Combofix a detecté la présence d'une activité de rootkit et a besoin de faire redémarrer le PC.

Je le redémarre donc. ( ce message a apparu avant le scan, mais après la console de récup )
0
Réponse 8 / 30
nogarounet
 
ComboFix 10-08-14.02 - Clément 14/08/2010 22:40:18.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2039.1625 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\NOGA.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Clément\Application Data\AEB179B1C6992AA40A4B35CBE1971BE9
c:\documents and settings\Clément\Application Data\AEB179B1C6992AA40A4B35CBE1971BE9\enemies-names.txt
c:\documents and settings\Clément\Application Data\AEB179B1C6992AA40A4B35CBE1971BE9\local.ini
c:\documents and settings\Clément\Application Data\AEB179B1C6992AA40A4B35CBE1971BE9\lsrslt.ini
c:\documents and settings\Clément\Application Data\AEB179B1C6992AA40A4B35CBE1971BE9\secureapp70700.exe
c:\documents and settings\Clément\Local Settings\Application Data\qwdwniysn
c:\documents and settings\Clément\Local Settings\Application Data\qwdwniysn\sgntswnshdw.exe
c:\windows\$NtUninstallMTF1011$
c:\windows\$NtUninstallMTF1011$\apUninstall.exe
c:\windows\$NtUninstallMTF1011$\zrpt.xml
c:\windows\system32\qrdap.exe
c:\windows\system32\zrdap.dll
c:\windows\system32\ztgqhgr.dll

Une copie infectée de c:\windows\system32\drivers\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IEGYIKSS
-------\Service_iegyikss

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-14 au 2010-08-14 ))))))))))))))))))))))))))))))))))))
.

2010-08-14 19:20 . 2010-08-14 20:23 -------- d-----w- c:\documents and settings\Administrateur\Favoris
2010-08-14 19:20 . 2010-08-14 19:20 -------- d-----w- c:\documents and settings\Administrateur
2010-08-14 19:20 . 2010-05-26 11:18 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2010-08-14 19:20 . 2010-05-26 11:18 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
2010-08-14 19:20 . 2010-05-26 11:18 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
2010-08-14 19:20 . 2010-05-26 11:18 -------- d-----r- c:\documents and settings\Administrateur\Menu Démarrer
2010-08-14 19:20 . 2010-05-16 09:24 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2010-08-13 19:09 . 2010-08-12 22:59 57608 ----a-w- c:\documents and settings\All Users\Application Data\ResultDns\resultdns111.exe
2010-08-13 19:06 . 2010-08-13 19:13 -------- d-----w- c:\program files\ResultDns
2010-08-13 19:06 . 2010-08-13 19:09 -------- d-----w- c:\documents and settings\All Users\Application Data\ResultDns
2010-08-13 19:06 . 2010-08-14 20:48 783872 ----a-w- c:\windows\system32\drivers\arriqhd.sys
2010-07-20 09:42 . 2010-08-07 14:46 -------- d-----w- c:\program files\Raptr
2010-07-18 18:44 . 2001-08-17 19:56 7552 -c--a-w- c:\windows\system32\dllcache\sonypvu1.sys
2010-07-18 18:44 . 2001-08-17 19:56 7552 ----a-w- c:\windows\system32\drivers\SONYPVU1.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-14 20:46 . 2010-08-14 20:46 96784 ----a-w- c:\windows\system32\WPRO_40_1340woem.tmp
2010-08-14 20:46 . 2010-08-14 20:46 109072 ----a-w- c:\windows\system32\WPRO_40_1340woem_nm.tmp
2010-08-14 20:05 . 2010-08-14 20:05 -------- d-----w- c:\program files\ZHPDiag
2010-08-14 19:25 . 2010-08-14 19:25 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-17 19:22 . 2010-07-15 13:04 -------- d-----w- c:\program files\TuneUpMedia
2010-07-15 13:04 . 2010-07-15 13:03 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUpMedia
2010-07-15 13:04 . 2010-05-18 18:47 -------- d-----w- c:\program files\iTunes
2010-07-06 15:33 . 2010-06-20 11:49 -------- d-----w- c:\program files\JDownloader
2010-07-04 11:19 . 2010-07-04 11:18 -------- d-----w- c:\program files\GIMP-2.0
2010-07-01 19:47 . 2010-07-01 19:47 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-06-26 22:47 . 2010-05-16 10:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-06-23 17:47 . 2002-08-30 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-23 17:47 . 2002-08-30 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-23 10:52 . 2010-06-23 10:52 -------- d-----w- c:\program files\iPod
2010-06-23 10:52 . 2010-05-16 10:11 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-06-23 10:48 . 2010-06-23 10:48 -------- d-----w- c:\program files\Bonjour
2010-06-23 10:36 . 2010-06-23 10:36 72504 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:30 . 2010-05-16 09:26 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-13 12:26 . 2010-05-16 10:12 14204 ---ha-w- c:\windows\system32\mlfcache.dat
2010-05-18 17:03 . 2010-05-18 17:03 411368 -c--a-w- c:\windows\system32\deploytk.dll
2010-05-18 14:35 . 2010-05-18 14:35 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-05-17 15:17 . 2010-05-16 09:28 86331 -c--a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-16 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Google Update"="c:\documents and settings\Clément\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-05-25 136176]
"Octoshape Streaming Services"="c:\documents and settings\Clément\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
"Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2010-07-28 52136]
"GabPath"="c:\documents and settings\Clément\Application Data\GabPath\gabpath.exe" [2010-08-13 1052672]
"SfKg6wIPuSp"="c:\documents and settings\Clément\Application Data\Microsoft\Windows\jnipmo.exe" [2010-08-13 532480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-08 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-08 137752]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\Clément\\Application Data\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\Clément\\Application Data\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 ResultDns Service;ResultDns Service;c:\documents and settings\All Users\Application Data\ResultDns\resultdns111.exe [13/08/2010 21:09 57608]
R3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys --> c:\windows\system32\drivers\WPRO_40_1340.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/05/2010 12:13 135664]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - arriqhd
.
Contenu du dossier 'Tâches planifiées'

2010-07-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-16 10:13]

2010-08-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-16 10:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.tangotoolbar.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mSearch Bar = hxxp://www.tangosearch.com/?useie5=1&q=
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{536C1CFE-D0D0-46A8-B689-C78EA5B78422} - (no file)
HKCU-Run-secureapp70700.exe - c:\documents and settings\Clément\Application Data\AEB179B1C6992AA40A4B35CBE1971BE9\secureapp70700.exe
HKCU-Run-gevcdojv - c:\documents and settings\Clément\Local Settings\Application Data\qwdwniysn\sgntswnshdw.exe
HKLM-Run-sta - drdap.dll
HKLM-Run-MChk - c:\windows\system32\qrdap.exe
HKLM-Run-gevcdojv - c:\documents and settings\Clément\Local Settings\Application Data\qwdwniysn\sgntswnshdw.exe
AddRemove-$NtUninstallMTF1011$ - c:\windows\$NtUninstallMTF1011$\apUninstall.exe
AddRemove-8461-7759-5462-8226 - c:\program files\Vuze\uninstall.exe
AddRemove-LimeWire - c:\program files\LimeWire\uninstall.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-14 22:46
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\arriqhd]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(284)
c:\progra~1\Raptr\ltc_help.dll
c:\program files\ResultDns\resultdns.dll
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\program files\ResultDns\resultdns.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\progra~1\Raptr\raptr.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\rundll32.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\iTunes\iTunes.exe
c:\program files\TuneUpMedia\TuneUpApp.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
c:\program files\Fichiers communs\Apple\Apple Application Support\distnoted.exe
.
**************************************************************************
.
Heure de fin: 2010-08-14 22:53:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-14 20:53

Avant-CF: 6 620 499 968 octets libres
Après-CF: 6 955 872 256 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 4804CB4B24C3B2458B5A6E6B2CCF514D
0
Réponse 9 / 30
nogarounet
 
JE précise qu'en mode normal je n'ai plus les annonces comme quoi mon ordi est infecté et les propositions d'anti virus. tout semble normal
0
Réponse 10 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
tout n'est pas normal encore (sévèrement infecté)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour nogarounet, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::

Rootkit::

c:\windows\system32\drivers\arriqhd.sys

Driver::

ResultDns

arriqhd

File::

c:\documents and settings\All Users\Application Data\ResultDns\resultdns111.exe

Folder::

c:\program files\ResultDns
c:\documents and settings\All Users\Application Data\ResultDns

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
GabPath"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SfKg6wIPuSp"=-

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe renommé
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
0
Réponse 11 / 30
nogarounet
 
Je vois pas de quoi tu parle sur le second point, soit le fichier Combofix.exe

Une manip pour le retrouver, quel renommage ( celui de bloc note .txt en .exe ? ) ? J'ai fait c:\combodix.txt que j'ai enregistré sur l'ordinateur ( c'est le rapport que je t'ai marqué en dernier message ), je l'ai mis en .exe mais en copiant collant ce que tu m'as mis le combofix.exe ne fait rien a part ouvrir une page noir .exe ou il se déroule que dalle :)
0
Réponse 12 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
(sourire)

Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

KillAll::

Rootkit::

c:\windows\system32\drivers\arriqhd.sys

Driver::

ResultDns

arriqhd

File::

c:\documents and settings\All Users\Application Data\ResultDns\resultdns111.exe

Folder::

c:\program files\ResultDns
c:\documents and settings\All Users\Application Data\ResultDns

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
GabPath"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SfKg6wIPuSp"=-

Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
Quitte le Bloc Notes

Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix renommé NOGA.exe
http://nsa05.casimages.com/img/2009/02/15/090215120407220272.gif

Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

0
Réponse 13 / 30
nogarounet
 
Merci pour la patience :)

Je vois ou est le problème. Mon fichier CFSscript est dans la partie en mode sans échec, lorsque on a fait les manips de combos, il a rallumé mon ordinateur pour le remettre en mode normal, et là je l'ai nul part sur mon bureau. Je repasse en mode sans échec ?
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
comme tu veux pourvu que la manip se fasse
0
nogarounet
 
Mon fichier Noga.exe n'est nul part, je ne comprends pas, je l'avais bien renommé auparavent.

Je l'ai trouvé sur le module recherche de windows, mais ca me met quand je colle le CFS dessus :

Debug Assertion Failed !

Program : C;\NOGA\NirCmdC.cfxxe
File: f:\dd\vctools\crt_bld\self_x86\crt\tscpy_s.inl
Line: 30

Expression: ( L "buffer is too small"&& 0)
For information on ho your program can cause an assertion failure, see the Visual C++ documentation on asserts )

J'ai mis recommencé comme ils disent pour débug l'application, et là c'est en train de recréer une console de récup.

En gros je refais la manip
0
Réponse 14 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

en mode normal

telecharges combofix sur le bureau normalement
ne le lance pas, et fait la manip attendue avec CFSscript

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

CONTRIBUTEUR SECURITE
0
Réponse 15 / 30
nogarounet
 
ComboFix 10-08-14.02 - Clément 15/08/2010 0:26.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2039.1440 [GMT 2:00]
Lancé depuis: c:\documents and settings\Clément\Bureau\NOGA.exe
Commutateurs utilisés :: c:\documents and settings\Clément\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
"c:\documents and settings\All Users\Application Data\ResultDns\resultdns111.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\ResultDns
c:\documents and settings\All Users\Application Data\ResultDns\resultdns111.exe
c:\program files\ResultDns
c:\program files\ResultDns\resultdns.dll
c:\program files\ResultDns\resultdns.exe
c:\program files\ResultDns\uninstall.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ARRIQHD
-------\Service_arriqhd
-------\Legacy_ResultDns_Service
-------\Legacy_ResultDns_Service
-------\Service_ResultDns Service
-------\Service_ResultDns Service

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-14 au 2010-08-14 ))))))))))))))))))))))))))))))))))))
.

2010-08-14 19:20 . 2010-08-14 20:23 -------- d-----w- c:\documents and settings\Administrateur\Favoris
2010-08-14 19:20 . 2010-08-14 19:20 -------- d-----w- c:\documents and settings\Administrateur
2010-08-14 19:20 . 2010-05-26 11:18 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2010-08-14 19:20 . 2010-05-26 11:18 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
2010-08-14 19:20 . 2010-05-26 11:18 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
2010-08-14 19:20 . 2010-05-26 11:18 -------- d-----r- c:\documents and settings\Administrateur\Menu Démarrer
2010-08-14 19:20 . 2010-05-16 09:24 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2010-07-20 09:42 . 2010-08-07 14:46 -------- d-----w- c:\program files\Raptr
2010-07-18 18:44 . 2001-08-17 19:56 7552 -c--a-w- c:\windows\system32\dllcache\sonypvu1.sys
2010-07-18 18:44 . 2001-08-17 19:56 7552 ----a-w- c:\windows\system32\drivers\SONYPVU1.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-14 22:32 . 2010-08-14 22:32 96784 ----a-w- c:\windows\system32\WPRO_40_1340woem.tmp
2010-08-14 22:32 . 2010-08-14 22:32 109072 ----a-w- c:\windows\system32\WPRO_40_1340woem_nm.tmp
2010-08-14 20:05 . 2010-08-14 20:05 -------- d-----w- c:\program files\ZHPDiag
2010-08-14 19:25 . 2010-08-14 19:25 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-17 19:22 . 2010-07-15 13:04 -------- d-----w- c:\program files\TuneUpMedia
2010-07-15 13:04 . 2010-07-15 13:03 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUpMedia
2010-07-15 13:04 . 2010-05-18 18:47 -------- d-----w- c:\program files\iTunes
2010-07-06 15:33 . 2010-06-20 11:49 -------- d-----w- c:\program files\JDownloader
2010-07-04 11:19 . 2010-07-04 11:18 -------- d-----w- c:\program files\GIMP-2.0
2010-07-01 19:47 . 2010-07-01 19:47 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-06-26 22:47 . 2010-05-16 10:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-06-23 17:47 . 2002-08-30 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-23 17:47 . 2002-08-30 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-23 10:52 . 2010-06-23 10:52 -------- d-----w- c:\program files\iPod
2010-06-23 10:52 . 2010-05-16 10:11 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-06-23 10:48 . 2010-06-23 10:48 -------- d-----w- c:\program files\Bonjour
2010-06-23 10:36 . 2010-06-23 10:36 72504 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:30 . 2010-05-16 09:26 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-13 12:26 . 2010-05-16 10:12 14204 ---ha-w- c:\windows\system32\mlfcache.dat
2010-05-18 17:03 . 2010-05-18 17:03 411368 -c--a-w- c:\windows\system32\deploytk.dll
2010-05-18 14:35 . 2010-05-18 14:35 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-05-17 15:17 . 2010-05-16 09:28 86331 -c--a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-16 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Google Update"="c:\documents and settings\Clément\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-05-25 136176]
"Octoshape Streaming Services"="c:\documents and settings\Clément\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
"Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2010-07-28 52136]
"GabPath"="c:\documents and settings\Clément\Application Data\GabPath\gabpath.exe" [2010-08-13 1052672]
"SfKg6wIPuSp"="c:\documents and settings\Clément\Application Data\Microsoft\Windows\jnipmo.exe" [2010-08-13 532480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-08 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-08 137752]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\Clément\\Application Data\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\Clément\\Application Data\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys --> c:\windows\system32\drivers\WPRO_40_1340.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/05/2010 12:13 135664]
.
Contenu du dossier 'Tâches planifiées'

2010-07-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-16 10:13]

2010-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-16 10:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.tangotoolbar.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
mSearch Bar = hxxp://www.tangosearch.com/?useie5=1&q=
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-ResultDns - c:\program files\ResultDns\uninstall.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-15 00:32
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2828)
c:\progra~1\Raptr\ltc_help.dll
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\progra~1\Raptr\raptr.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\iTunes\iTunes.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
c:\program files\Fichiers communs\Apple\Apple Application Support\distnoted.exe
.
**************************************************************************
.
Heure de fin: 2010-08-15 00:37:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-14 22:37
ComboFix2.txt 2010-08-14 20:53

Avant-CF: 6 907 723 776 octets libres
Après-CF: 6 899 224 576 octets libres

- - End Of File - - 5C3DB10ACA1E90FCFFD76363649A6B6A
0
Réponse 16 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
petite erreur de ma part

même manip avec ce texte là

KillAll::

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GabPath"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SfKg6wIPuSp"=-

CONTRIBUTEUR SECURITE
0
Réponse 17 / 30
nogarounet
 
ComboFix 10-08-14.02 - Clément 15/08/2010 0:49.3.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2039.1410 [GMT 2:00]
Lancé depuis: c:\documents and settings\Clément\Bureau\NOGA.exe
Commutateurs utilisés :: c:\documents and settings\Clément\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-14 au 2010-08-14 ))))))))))))))))))))))))))))))))))))
.

2010-08-14 19:20 . 2010-08-14 20:23 -------- d-----w- c:\documents and settings\Administrateur\Favoris
2010-08-14 19:20 . 2010-08-14 19:20 -------- d-----w- c:\documents and settings\Administrateur
2010-08-14 19:20 . 2010-05-26 11:18 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2010-08-14 19:20 . 2010-05-26 11:18 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
2010-08-14 19:20 . 2010-05-26 11:18 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
2010-08-14 19:20 . 2010-05-26 11:18 -------- d-----r- c:\documents and settings\Administrateur\Menu Démarrer
2010-08-14 19:20 . 2010-05-16 09:24 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2010-07-20 09:42 . 2010-08-07 14:46 -------- d-----w- c:\program files\Raptr
2010-07-18 18:44 . 2001-08-17 19:56 7552 -c--a-w- c:\windows\system32\dllcache\sonypvu1.sys
2010-07-18 18:44 . 2001-08-17 19:56 7552 ----a-w- c:\windows\system32\drivers\SONYPVU1.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-14 22:53 . 2010-08-14 22:53 96784 ----a-w- c:\windows\system32\WPRO_40_1340woem.tmp
2010-08-14 22:53 . 2010-08-14 22:53 109072 ----a-w- c:\windows\system32\WPRO_40_1340woem_nm.tmp
2010-08-14 20:05 . 2010-08-14 20:05 -------- d-----w- c:\program files\ZHPDiag
2010-08-14 19:25 . 2010-08-14 19:25 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-17 19:22 . 2010-07-15 13:04 -------- d-----w- c:\program files\TuneUpMedia
2010-07-15 13:04 . 2010-07-15 13:03 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUpMedia
2010-07-15 13:04 . 2010-05-18 18:47 -------- d-----w- c:\program files\iTunes
2010-07-06 15:33 . 2010-06-20 11:49 -------- d-----w- c:\program files\JDownloader
2010-07-04 11:19 . 2010-07-04 11:18 -------- d-----w- c:\program files\GIMP-2.0
2010-07-01 19:47 . 2010-07-01 19:47 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-06-26 22:47 . 2010-05-16 10:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-06-23 17:47 . 2002-08-30 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-23 17:47 . 2002-08-30 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-23 10:52 . 2010-06-23 10:52 -------- d-----w- c:\program files\iPod
2010-06-23 10:52 . 2010-05-16 10:11 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-06-23 10:48 . 2010-06-23 10:48 -------- d-----w- c:\program files\Bonjour
2010-06-23 10:36 . 2010-06-23 10:36 72504 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:30 . 2010-05-16 09:26 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-13 12:26 . 2010-05-16 10:12 14204 ---ha-w- c:\windows\system32\mlfcache.dat
2010-05-18 17:03 . 2010-05-18 17:03 411368 -c--a-w- c:\windows\system32\deploytk.dll
2010-05-18 14:35 . 2010-05-18 14:35 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-05-17 15:17 . 2010-05-16 09:28 86331 -c--a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-16 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Google Update"="c:\documents and settings\Clément\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-05-25 136176]
"Octoshape Streaming Services"="c:\documents and settings\Clément\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
"Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2010-07-28 52136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-08 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-08 137752]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\Clément\\Application Data\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\Clément\\Application Data\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys --> c:\windows\system32\drivers\WPRO_40_1340.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/05/2010 12:13 135664]
.
Contenu du dossier 'Tâches planifiées'

2010-07-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-16 10:13]

2010-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-16 10:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.tangotoolbar.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mSearch Bar = hxxp://www.tangosearch.com/?useie5=1&q=
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-15 00:53
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2944)
c:\progra~1\Raptr\ltc_help.dll
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\progra~1\Raptr\raptr.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\rundll32.exe
c:\program files\iTunes\iTunes.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
c:\program files\Fichiers communs\Apple\Apple Application Support\distnoted.exe
.
**************************************************************************
.
Heure de fin: 2010-08-15 01:00:32 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-14 23:00
ComboFix2.txt 2010-08-14 22:37
ComboFix3.txt 2010-08-14 20:53

Avant-CF: 6 879 006 720 octets libres
Après-CF: 6 872 309 760 octets libres

- - End Of File - - 8CCC470C8EE70764484B74B4C1A31115
0
Réponse 18 / 30
nogarounet
 
Je vais me coucher, je vous répondrai demain dans la matinée.

Merci pour tout en tout les cas, ainsi que pour votre patience.

Bonne soirée.
0
Réponse 19 / 30
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok bonne nuit

pour demain

1)

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

c:\windows\system32\WPRO_40_1340woem.tmp
c:\windows\system32\WPRO_40_1340woem_nm.tmp

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

.........................

supprimes le zhp déjà present et on recommence

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

0
Réponse 20 / 30
nogarounet
 
Je ne pouvais pas mettre les deux fichiers, alors j'ai mis le second, j'ai essayer avec le premier ça donne le meme résultat :

Antivirus Version Last update Result
AhnLab-V3 2010.08.15.00 2010.08.14 -
AntiVir 8.2.4.34 2010.08.13 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.14 -
Avast 4.8.1351.0 2010.08.14 -
Avast5 5.0.332.0 2010.08.14 -
AVG 9.0.0.851 2010.08.14 -
BitDefender 7.2 2010.08.15 -
CAT-QuickHeal 11.00 2010.08.14 -
ClamAV 0.96.0.3-git 2010.08.15 -
Comodo 5745 2010.08.15 -
DrWeb 5.0.2.03300 2010.08.15 -
Emsisoft 5.0.0.37 2010.08.15 -
eSafe 7.0.17.0 2010.08.12 -
eTrust-Vet 36.1.7790 2010.08.13 -
F-Prot 4.6.1.107 2010.08.14 -
F-Secure 9.0.15370.0 2010.08.15 -
Fortinet 4.1.143.0 2010.08.14 -
GData 21 2010.08.15 -
Ikarus T3.1.1.88.0 2010.08.15 -
Jiangmin 13.0.900 2010.08.15 -
Kaspersky 7.0.0.125 2010.08.15 -
McAfee 5.400.0.1158 2010.08.15 -
McAfee-GW-Edition 2010.1 2010.08.14 -
Microsoft 1.6004 2010.08.15 -
NOD32 5367 2010.08.14 -
Norman 6.05.11 2010.08.14 -
nProtect 2010-08-15.01 2010.08.15 -
Panda 10.0.2.7 2010.08.14 -
PCTools 7.0.3.5 2010.08.15 -
Prevx 3.0 2010.08.15 -
Rising 22.60.06.03 2010.08.15 -
Sophos 4.56.0 2010.08.15 -
Sunbelt 6735 2010.08.15 -
SUPERAntiSpyware 4.40.0.1006 2010.08.15 -
Symantec 20101.1.1.7 2010.08.15 -
TheHacker 6.5.2.1.348 2010.08.14 -
TrendMicro 9.120.0.1004 2010.08.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.15 -
VBA32 3.12.14.0 2010.08.13 -
ViRobot 2010.8.9.3978 2010.08.14 -
VirusBuster 5.0.27.0 2010.08.14 -
MD5: dcfea580f394ca0ea1a264dffaf5af55
SHA1: d3c432a495030b9cc3a002b42ca8b310af2f447b
SHA256: c835dbba79593f362e1f4de8c70432276dc9deef5e578ff0dabaa8e54f688f29
File size: 96784 bytes
Scan date: 2010-08-15 08:28:53 (UTC)

----------------------------

Le lien : http://www.cijoint.fr/cjlink.php?file=cj201008/cijJ3DK60I.txt
0