Sujet Précédent Sujet Suivant

Trojan dans winit et explorer

Hardin Messages postés 18 Statut Membre -  
Hardin Messages postés 18 Statut Membre -
Bonjour à tous,

Je rejoins le forum suite à une infection d'un ordinateur après quelques recherches sur le site. Heureusement je dispose d'un autre ordinateur sain pour poster et me renseigner. :)

Voilà mes problèmes :

*Fenêtres pop-up me signalant que l'ordinateur est infecté, me conseillant d'acheter un antivirus qui dénombre une bonne vingtaine de trojans et autre backdoor sur ledit PC

*Impossibilité d'installer un antivirus (l'installation ne se lance pas)

*Fenêtres m'indiquant tout un tas de programmes/fichiers infectés

*Redirection de page sous firefox (+changement de page de démarrage parfois), IE ne fonctionne pas (pour éviter les contaminations)

Je remercie d'avance ceux qui prendront la peine de me lire et d'apporter leur aide.</gras> Bonne soirée !

A voir également:

20 réponses

Réponse 1 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Bonjour,

-+-+-+-+-> Rkill <-+-+-+-+-

[x] Télécharge rkill sur ton bureau.

[x] Rkill peut être reconnu comme indésirable par certains antivirus, ignore l'alerte et désactive momentanément l'antivirus.

[x] Lance le, une fenêtre noire s'ouvrira t'indiquant que l'installation s'est bien déroulée.

[x] Note : Si le premier lien ne fonctionne pas, essaie ces trois autres : n°1 , n°2 et n°3

[x] /!\ Il ne faut pas redémarrer le PC après avoir lancé rkill, sinon il faudra recommencer la procédure /!\

[x] Poste le contenu du rapport qui s'ouvrira -> rkill.log

-+-+-+-+-> ZHPDiag <-+-+-+-+-

[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
1
Réponse 2 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Je suis là :)

-+-+-+-+-> ZHPFix <-+-+-+-+-

/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
O4 - HKCU\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe
O4 - HKUS\S-1-5-21-2158339669-220001320-3990773030-1001\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe


[x] Lance ZHPFix qui est présent sur ton bureau.

[x] Clique sur le "H" bleu ( Coller les lignes Helper )

[x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

[x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-

[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles.

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
1
Réponse 3 / 20
Hardin Messages postés 18 Statut Membre
 
Merci pour ta réponse rapide :)

J'effectue d'abord le rapport donc ? (Rkill)
Ou bien les deux sont indépendants ?

EDIT : Impossible d'effectuer Rkill ni ZHPDiag, message :

Security warning
Application cannot be executed. The file ... .exe is infected
Do you want to activate your antivirus software now?
0
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Ok, c'est normal, le rogue bloque toutes les applications.

Redémarre en mode sans échec, là tu pourras faire les deux manip' ;-)
0
Réponse 4 / 20
Hardin
 
Merci, je viens de redémarrer en sans échec réseau, voilà le rapport de rkill

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as c'line on 16/08/2010 at 19:15:04.

Processes terminated by Rkill or while it was running:

\\?\C:\windows\system32\wbem\WMIADAP.EXE
C:\Users\céline\Downloads\rkill.scr

Rkill completed on 16/08/2010 at 19:15:11.


Je te poste bientôt celui de ZHP !

EDIT : voilà le lien vers le rapport ZHP :
https://www.cjoint.com/?iqtsMz4K0f
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Hardin Messages postés 18 Statut Membre
 
Si quelqu'un d'autre peut m'aider en attendant l'avis deXplode, je suis preneur :)
Merci beaucoup !
0
Réponse 6 / 20
Hardin
 
Merci pour ta réponse, voici le rapport ZHPfix

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-8-16-2010-8-42-52 PM.txt
Run by céline at 8/16/2010 8:42:52 PM
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2158339669-220001320-3990773030-1001\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe => Valeur absente

========== Fichier(s) ==========
c:\users\céline\appdata\roaming\jslxshxmi\pvpeuhkshdw.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Fichier(s)

End of the scan
0
Réponse 7 / 20
Hardin Messages postés 18 Statut Membre
 
De retour avec le rapport de MBAM ci dessous :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4437

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16/08/2010 21:50:23
mbam-log-2010-08-16 (21-50-23).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 212403
Temps écoulé: 1 heure(s), 3 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\céline\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\057JJMNZ\sjnvpnidk[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\céline\AppData\Local\Temp\soncxewmar.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\céline\AppData\Local\Temp\ecsrnaxwmo.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\céline\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.

Une nette amélioration mais j'imagine qu'on n'est pas encore venu à bout totalement de ce foutoir ? :/
(merci pour ton aide précieuse :)
0
Réponse 8 / 20
Hardin
 
Apparemment il y a encore des trojan implantés, antivir n'a pas l'air de pouvoir faire grand chose... De plus ils sont situés sur explorer.exe ce qui est assez embêtant :S

J'ai relancé une analyse MBAM mais ce n'est peut-être pas la meilleure solution ?
0
Réponse 9 / 20
Hardin Messages postés 18 Statut Membre
 
Bon, désolé pour le triple post, je détaille ici les menace signalées par AntiVir :

TR/Spy.96256.30 localisé dans system328winit.exe
TR/Spy.2614272.1 localisé dans explorer.exe

Quoique je fasse (Déplacer en qurantaine, supprimer, refuser l'accès) les deux messages reviennent inlassablement...

De l'aide s'il vous plait :S

Edit : à noter que Rkill détecte a détecté de nouveau des menaces dans le rapport.

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as c'line on 17/08/2010 at 10:59:48.

Processes terminated by Rkill or while it was running:

C:\windows\system32\DllHost.exe
C:\windows\system32\DllHost.exe
C:\Users\céline\Downloads\rkill.scr

Rkill completed on 17/08/2010 at 10:59:58.
0
Hardin Messages postés 18 Statut Membre
 
Les redirections de site sous firefox ont recommencé (vers page qui signale que la machine est exposée à des risques), je sais plus quoi faire là...
0
Hardin Messages postés 18 Statut Membre
 
Un nouveau Trojan s'est invité d'après Antivir : TR/Crypt.ZPACK.Gen
Les fichiers ont été ignoré par l'antivirus...

(C'est un vrai feuilleton cette affaire xD)
0
Réponse 10 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Bonjour,

Désolé du retard, j'étais pas disponible ce matin !

Ok ok.. fait ceci :

-+-+-+-+-> ComboFix <-+-+-+-

[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

/!\ Ferme toutes les fenêtres de programme ouvertes /!\

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
0
Hardin Messages postés 18 Statut Membre
 
Pas de problème c'est déjà super que tu m'aides !
(je pensais juste que quelqu'un d'autre en attendant pouvait aider mais c'est vrai que c'est mieux un "suivi personnalisé" en plus on m'a dit que t'étais bon :P
Je lance tout ça merci beaucoup, à tout à l'heure !
0
Hardin Messages postés 18 Statut Membre
 
Au redémarrage, les alertes antivir sont apparues (comme à chaque fois) malgré la désactivation du guard... Et le rapport combofix est toujours en cours de préparation. Je ne sais pas quel ordre de temps ça doit prendre (10 min, 1h?)
Dois-je recommencer ? (en désactivant bien toutes les fonctions de l'antivirus)
0
Réponse 11 / 20
Hardin Messages postés 18 Statut Membre
 
Suffisait d'en parler, le rapport vient de sortir :P

Le voici :

ComboFix 10-08-16.04 - céline 17/08/2010 13:15:32.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.2038.1088 [GMT 2:00]
Lancé depuis: c:\users\céline\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\FullRemove.exe
c:\users\céline\AppData\Local\jslxshxmi
c:\users\céline\AppData\Local\jslxshxmi\pvpeuhkshdw.exe
c:\windows\system32\Thumbs.db

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))
.

2010-08-17 11:27 . 2010-08-17 11:27 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-17 02:26 . 2010-08-17 02:26 -------- d-----w- c:\program files\CCleaner
2010-08-16 21:15 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-08-16 21:15 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\programdata\Avira
2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\program files\Avira
2010-08-16 21:01 . 2010-08-16 21:01 -------- d-----w- c:\windows\system32\log
2010-08-16 17:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-16 17:49 . 2010-08-16 17:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-16 17:49 . 2010-08-16 17:49 -------- d-----w- c:\programdata\Malwarebytes
2010-08-16 17:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-16 16:54 . 2010-08-17 01:44 -------- d-----w- c:\program files\ZHPDiag
2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\programdata\Alwil Software
2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\program files\Alwil Software
2010-07-18 15:16 . 2010-07-18 15:16 -------- d-----w- c:\program files\BitTorrent

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 08:54 . 2009-07-26 22:23 704480 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-17 08:54 . 2009-07-26 22:23 130754 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-17 08:49 . 2009-12-07 19:17 -------- d-----w- c:\program files\Trend Micro
2010-08-16 13:21 . 2010-06-07 09:38 -------- d-----w- c:\program files\Messenger Plus! Live
2010-08-13 06:29 . 2009-12-07 19:25 -------- d-----w- c:\program files\Microsoft Works
2010-07-29 06:30 . 2010-08-11 22:37 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-11 22:37 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-06-30 06:25 . 2010-08-11 22:37 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-29 06:50 . 2010-06-29 06:50 -------- d-----w- c:\program files\Microsoft.NET
2010-06-22 09:24 . 2010-02-17 09:37 -------- d-----w- c:\program files\Paint.NET
2010-06-22 02:47 . 2010-08-11 22:37 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-22 02:47 . 2010-08-11 22:37 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-22 02:47 . 2010-08-11 22:37 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-06-19 06:33 . 2010-08-11 22:37 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-11 22:37 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-06-19 06:23 . 2010-08-11 22:37 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-06-19 04:07 . 2010-08-11 22:37 2326016 ----a-w- c:\windows\system32\win32k.sys
2010-06-16 05:48 . 2010-08-11 22:37 224256 ----a-w- c:\windows\system32\schannel.dll
2010-06-14 06:12 . 2010-08-11 22:37 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-06-08 06:02 . 2010-08-11 22:37 1233920 ----a-w- c:\windows\system32\msxml3.dll
2010-05-27 07:24 . 2010-06-10 16:11 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-10 16:11 293888 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-02-15 19:17 221568 ------w- c:\windows\system32\MpSigStub.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

------- Sigcheck -------

[-] 2009-10-31 06:00 . !HASH: COULD NOT OPEN FILE !!!!! . 2614272 . . [------] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}"
[HKEY_CLASSES_ROOT\CLSID\{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{618A47A2-528B-4D9A-AFC8-97D3233511E2}"
[HKEY_CLASSES_ROOT\CLSID\{618A47A2-528B-4D9A-AFC8-97D3233511E2}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-20 1545512]
"HotkeyMon"="AsusSender.exe" [2009-09-11 33768]
"HotkeyService"="AsusSender.exe" [2009-09-11 33768]
"SuperHybridEngine"="AsusSender.exe" [2009-09-11 33768]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-12-07 3058304]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-11-17 414384]
"LiveUpdate"="AsusSender.exe" [2009-09-11 33768]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-07-20 83240]
"ASUSPRP"="c:\program files\ASUS\APRP\APRP.EXE" [2009-12-07 1385712]
"EeeStorageBackup"="c:\program files\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-11-26 1732608]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"EeeSplendidAgent"="c:\program files\ASUS\EPC\EeeSplendid\AsAgent.exe" [2009-11-18 104960]
"LivCam"="c:\program files\ASUS\LivCam\LivCam.exe" [2009-11-19 284160]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-05 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-05 150552]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-29 7744032]
"Boingo Wi-Fi"="c:\program files\Boingo\Boingo Wi-Fi\Boingo.lnk" [2010-02-15 2429]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"ASUS VIBE"="c:\program files\ASUS\ASUS VIBE\ASUS VIBE.exe" [2010-01-20 425984]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\users\c'line\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-11 1343400]
S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2009-07-06 11448]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-27 51712]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - worczy

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/portail
uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\céline\AppData\Roaming\Mozilla\Firefox\Profiles\nllna7b3.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\worczy]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(3388)
c:\progra~1\ASUS\ASUSWE~1\service\ASUSWS~1.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\taskhost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conhost.exe
c:\program files\EeePC\HotkeyService\HotKeyMon.exe
c:\program files\EeePC\SHE\SuperHybridEngine.exe
c:\program files\EeePC\HotkeyService\HotkeyService.exe
c:\program files\Asus\LiveUpdate\LiveUpdate.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Boingo\Boingo Wi-Fi\Boingo Wi-Fi.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\sppsvc.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2010-08-17 13:35:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-17 11:35

Avant-CF: 82 262 888 448 octets libres
Après-CF: 82 242 621 440 octets libres

- - End Of File - - E2C1EEB3F87477976617F6366FA93755
0
Réponse 12 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Ok.

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour Hardin /!\

[x] Copie le texte en gras ci dessous :


KillAll::

DDS::

uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
uInternet Settings,ProxyOverride = <local>


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
0
Hardin Messages postés 18 Statut Membre
 
En avant ! :)
Par contre le lien me renvoie à une page non trouvé (erreur 404) je vais voir comment faire le glisser déposer
0
Réponse 13 / 20
Hardin Messages postés 18 Statut Membre
 
Voilà le dernier rapport de combofix :

ComboFix 10-08-16.04 - céline 17/08/2010 15:12:11.2.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.2038.1133 [GMT 2:00]
Lancé depuis: c:\users\céline\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\users\céline\Desktop\CFScript.txt
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))
.

2010-08-17 13:24 . 2010-08-17 13:24 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-08-17 13:24 . 2010-08-17 13:24 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-17 02:26 . 2010-08-17 02:26 -------- d-----w- c:\program files\CCleaner
2010-08-16 21:15 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-08-16 21:15 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\programdata\Avira
2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\program files\Avira
2010-08-16 21:01 . 2010-08-16 21:01 -------- d-----w- c:\windows\system32\log
2010-08-16 17:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-16 17:49 . 2010-08-16 17:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-16 17:49 . 2010-08-16 17:49 -------- d-----w- c:\programdata\Malwarebytes
2010-08-16 17:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-16 16:54 . 2010-08-17 01:44 -------- d-----w- c:\program files\ZHPDiag
2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\programdata\Alwil Software
2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\program files\Alwil Software
2010-07-18 15:16 . 2010-07-18 15:16 -------- d-----w- c:\program files\BitTorrent

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 11:35 . 2009-07-26 22:23 704480 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-17 11:35 . 2009-07-26 22:23 130754 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-17 08:49 . 2009-12-07 19:17 -------- d-----w- c:\program files\Trend Micro
2010-08-16 13:21 . 2010-06-07 09:38 -------- d-----w- c:\program files\Messenger Plus! Live
2010-08-13 06:29 . 2009-12-07 19:25 -------- d-----w- c:\program files\Microsoft Works
2010-07-29 06:30 . 2010-08-11 22:37 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-11 22:37 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-06-30 06:25 . 2010-08-11 22:37 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-29 06:50 . 2010-06-29 06:50 -------- d-----w- c:\program files\Microsoft.NET
2010-06-22 09:24 . 2010-02-17 09:37 -------- d-----w- c:\program files\Paint.NET
2010-06-22 02:47 . 2010-08-11 22:37 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-22 02:47 . 2010-08-11 22:37 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-22 02:47 . 2010-08-11 22:37 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-06-19 06:33 . 2010-08-11 22:37 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-11 22:37 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-06-19 06:23 . 2010-08-11 22:37 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-06-19 04:07 . 2010-08-11 22:37 2326016 ----a-w- c:\windows\system32\win32k.sys
2010-06-16 05:48 . 2010-08-11 22:37 224256 ----a-w- c:\windows\system32\schannel.dll
2010-06-14 06:12 . 2010-08-11 22:37 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-06-08 06:02 . 2010-08-11 22:37 1233920 ----a-w- c:\windows\system32\msxml3.dll
2010-05-27 07:24 . 2010-06-10 16:11 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-10 16:11 293888 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-02-15 19:17 221568 ------w- c:\windows\system32\MpSigStub.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

------- Sigcheck -------

[-] 2009-10-31 06:00 . !HASH: COULD NOT OPEN FILE !!!!! . 2614272 . . [------] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}"
[HKEY_CLASSES_ROOT\CLSID\{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{618A47A2-528B-4D9A-AFC8-97D3233511E2}"
[HKEY_CLASSES_ROOT\CLSID\{618A47A2-528B-4D9A-AFC8-97D3233511E2}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-20 1545512]
"HotkeyMon"="AsusSender.exe" [2009-09-11 33768]
"HotkeyService"="AsusSender.exe" [2009-09-11 33768]
"SuperHybridEngine"="AsusSender.exe" [2009-09-11 33768]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-12-07 3058304]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-11-17 414384]
"LiveUpdate"="AsusSender.exe" [2009-09-11 33768]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-07-20 83240]
"ASUSPRP"="c:\program files\ASUS\APRP\APRP.EXE" [2009-12-07 1385712]
"EeeStorageBackup"="c:\program files\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-11-26 1732608]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"EeeSplendidAgent"="c:\program files\ASUS\EPC\EeeSplendid\AsAgent.exe" [2009-11-18 104960]
"LivCam"="c:\program files\ASUS\LivCam\LivCam.exe" [2009-11-19 284160]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-05 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-05 150552]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-29 7744032]
"Boingo Wi-Fi"="c:\program files\Boingo\Boingo Wi-Fi\Boingo.lnk" [2010-02-15 2429]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"ASUS VIBE"="c:\program files\ASUS\ASUS VIBE\ASUS VIBE.exe" [2010-01-20 425984]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\users\c'line\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-11 1343400]
S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2009-07-06 11448]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-27 51712]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - worczy

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/portail
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\céline\AppData\Roaming\Mozilla\Firefox\Profiles\nllna7b3.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\worczy]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(3356)
c:\progra~1\ASUS\ASUSWE~1\service\ASUSWS~1.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\taskhost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conhost.exe
c:\program files\EeePC\HotkeyService\HotKeyMon.exe
c:\program files\EeePC\HotkeyService\HotkeyService.exe
c:\program files\EeePC\SHE\SuperHybridEngine.exe
c:\program files\Asus\LiveUpdate\LiveUpdate.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Boingo\Boingo Wi-Fi\Boingo Wi-Fi.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2010-08-17 15:32:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-17 13:32
ComboFix2.txt 2010-08-17 11:35

Avant-CF: 82 296 582 144 octets libres
Après-CF: 82 250 235 904 octets libres

- - End Of File - - 45E464C3FF36E893E0BA3FBFFFD3BD37
0
Réponse 14 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Ok, les fichiers sont encore infectés, combofix ne parvient pas à les désinfecter. On va tenter de les piocher dans la restauration système voir ce que ça donne.

Fais ceci :

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour Hardin /!\

[x] Copie le texte en gras ci dessous :


SRPeek::

c:\windows\explorer.exe
c:\windows\System32\wininit.exe


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
0
Réponse 15 / 20
Hardin Messages postés 18 Statut Membre
 
Bon après quelques minutes, le rapport semble être assez lourd pour le poster directement, voilà donc le rapport joint :

http://cjoint.com/data/irqJ7dq5ZP.htm

Les notifications sont toujours présentes au démarrage. Est-ce censé être si coriace ?

Merci pour ton précieux suivi ;)
0
Réponse 16 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
C'est coriace je confirme.

Fais ceci s'il te plait :

-+-+-+-+-> SystemLook <-+-+-+-+-

[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc : 

:filefind

explorer.exe
wininit.exe


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.
0
Réponse 17 / 20
Hardin Messages postés 18 Statut Membre
 
Voici :

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:06 on 17/08/2010 by céline (Administrator - Elevation successful)

========== filefind ==========

Searching for "explorer.exe"
C:\Windows\explorer.exe --a--- 2614272 bytes [09:38 16/02/2010] [06:00 31/10/2009] (Unable to calculate MD5)
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe --a--- 2613248 bytes [23:41 13/07/2009] [01:14 14/07/2009] 15BC38A7492BEFE831966ADB477CF76F
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe --a--- 2613248 bytes [19:19 07/12/2009] [05:35 03/08/2009] B95EEB0F4E5EFBF1038A35B3351CF047
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe --a--- 2614272 bytes [09:38 16/02/2010] [05:45 31/10/2009] 2626FC9755BE22F805D3CFA0CE3EE727
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe --a--- 2613248 bytes [19:19 07/12/2009] [05:49 03/08/2009] 9FF6C4C91A3711C0A3B18F87B08B518D
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe --a--- 2614272 bytes [09:38 16/02/2010] [06:00 31/10/2009] C76153C7ECA00FA852BB0C193378F917

Searching for "wininit.exe"
C:\Windows\System32\wininit.exe --a--- 96256 bytes [23:36 13/07/2009] [01:14 14/07/2009] (Unable to calculate MD5)
C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe --a--- 96256 bytes [23:36 13/07/2009] [01:14 14/07/2009] B5C5DCAD3899512020D135600129D665

-=End Of File=-
0
Réponse 18 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Tu as ton CD de Seven? On va en avoir besoin pour remplacer les fichiers.
0
Réponse 19 / 20
Hardin Messages postés 18 Statut Membre
 
J'ai un CD qui s'apparente à ça, c'est le CD du constructeur (Asus) mais j'imagine qu'il y a le système d'exploitation dessus (étant donné la mention Windows 7 Home Premium).
Par contre pas de lecteur DVD donc je vais faire ça par clé USB j'imagine, faut sécuriser tout ça d'abord ? :)
0
Réponse 20 / 20
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Fais ceci avant , ca va peut être marcher :

-+-+-+-> Dr.Web CureIt! <-+-+-+-

[x] Télécharge Dr.Web CureIt

[x] Lance le, puis clique sur " Commencer le scan "

[x] Il commencera une analyse des processus, s'il trouve des processus infectés, clique sur " Oui pour tout ".

[x] A la fin du scan rapide, clique sur Option > Changer la configuration

[x] A l'onglet Scanner, décoche " Analyse heuristique ".

[x] De retour à la fenêtre principale, choisis " Analyse complète "

[x] Clique sur la flèche verte pour que le scan débute.

[x] Si un fichier est détécté, clique sur " Oui pour tout "

[x] A la fin du scan, si des infections sont trouvées, clique sur Tout séléctionner > Désinfecter

[x] Si la désinfection est impossible, mettre en quarantaine.

[x] De retour au menu principal, clique sur Fichier > Enregistrer le rapport

[x] Sauvegarde le sur ton bureau, puis ferme Dr.Web et redémarre ton ordinateur ( important )

[x] Au redémarrage, poste le contenu du rapport de DrWeb ( DrWeb.csv ) dans ta prochaine réponse.
0
Hardin Messages postés 18 Statut Membre
 
Ça marche j'essaie ça tout de suite merci.
0

Discussions similaires

App explorer Sa sert a quoi ?
Mada_alpha -
SATS_fr -

1 réponse