Malware ou virus récurent / besoin d'aide
alex139a
Messages postés
134
Statut
Membre
-
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,
Je vous contacte car j'ai un soucis sur plusieurs PC :
En effet, j'ai le gestionnaire des tâches inaccessible (grisé) sur mes PC.
Après un passage avec combofix, malwarebytes ou AVG le gestionnaire des tâches revient.
Le problème est que celui-ci redevient grisé le lendemain ou le surlendemain...
Les malwares ou virus redeviennent actifs donc. Comment puis-je procéder pour les
éliminer définitivement sachant que je n'ai qu'un accès distant (VNC) sur les machines ?
Config PC : XP SP2 ou SP3 selon la machine, rattachées à mon domaine AD.
Merci beaucoup, je vous remercie d'avance de vos réponses,
Alex.
Je vous contacte car j'ai un soucis sur plusieurs PC :
En effet, j'ai le gestionnaire des tâches inaccessible (grisé) sur mes PC.
Après un passage avec combofix, malwarebytes ou AVG le gestionnaire des tâches revient.
Le problème est que celui-ci redevient grisé le lendemain ou le surlendemain...
Les malwares ou virus redeviennent actifs donc. Comment puis-je procéder pour les
éliminer définitivement sachant que je n'ai qu'un accès distant (VNC) sur les machines ?
Config PC : XP SP2 ou SP3 selon la machine, rattachées à mon domaine AD.
Merci beaucoup, je vous remercie d'avance de vos réponses,
Alex.
A voir également:
- Malware ou virus récurent / besoin d'aide
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Virus mcafee - Accueil - Piratage
- Tokyvideo virus ✓ - Forum TV & Vidéo
- Softonic virus ✓ - Forum Virus
- Virus facebook demande d'amis - Accueil - Facebook
3 réponses
Salut,
Voici un des rapports Combofix :
ComboFix 08-12-18.03 - Rm.cormontreuil 2010-04-28 12:46:20.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.652 [GMT 2:00]
Lancé depuis: c:\documents and settings\rm.cormontreuil\Bureau\ComboFix.exe
.
- Mode FONCTIONNALITES REDUITES -
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-28 au 2010-04-28 ))))))))))))))))))))))))))))))))))))
.
2010-04-05 17:14 . 2004-08-04 00:54 159,232 --a------ c:\windows\system32\ptpusd.dll
2010-04-05 17:14 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2010-04-05 17:14 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-26 07:42 46,080 ----a-w c:\windows\system32\ftp.exe
2010-04-26 07:42 --------- d-----w c:\documents and settings\rm.cormontreuil\Application Data\OpenOffice.org2
2010-02-12 17:56 9,758,152 ----a-w C:\windows-kb890830-v3.4.exe
2008-10-21 17:35 76,800 --sh--r c:\windows\system32\drivers\btwdins.exe
.
((((((((((((((((((((((((((((( snapshot@2010-02-12_11.42.37,51 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 07:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 06:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
- 2000-08-31 07:00:00 161,792 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 06:00:00 161,792 ----a-w c:\windows\SWREG.exe
- 2009-12-05 11:03:04 46,080 -c--a-w c:\windows\system32\dllcache\ftp.exe
+ 2010-04-26 07:42:35 46,080 -c--a-w c:\windows\system32\dllcache\ftp.exe
+ 2010-01-07 15:07:04 19,160 ----a-w c:\windows\system32\drivers\mbam.sys
+ 2010-01-07 15:07:14 38,224 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-02-01 10:26:22 30,364,104 ----a-w c:\windows\system32\MRT.exe
- 2009-10-31 18:28:03 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2010-04-24 08:46:16 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2009-10-31 18:28:03 48,616 ----a-w c:\windows\system32\perfc00C.dat
+ 2010-04-24 08:46:16 48,616 ----a-w c:\windows\system32\perfc00C.dat
- 2009-10-31 18:28:03 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2010-04-24 08:46:16 311,604 ----a-w c:\windows\system32\perfh009.dat
- 2009-10-31 18:28:03 367,658 ----a-w c:\windows\system32\perfh00C.dat
+ 2010-04-24 08:46:16 367,658 ----a-w c:\windows\system32\perfh00C.dat
+ 2010-04-26 07:42:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_594.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-23 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"btwdins.exe"="c:\windows\system32\drivers\btwdins.exe" [2008-10-21 76800]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\cormontreuil\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
c:\documents and settings\rm.cormontreuil\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe %WINDIR%\\system32\\drivers\\btwdins.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4038425909-613715726-4027953422-2295\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=ocs.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7089:TCP"= 7089:TCP:WWW
"17079:TCP"= 17079:TCP:NortonAV
R2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2009-07-03 6016]
S2 pfbjhs;pfbjhs;c:\windows\system32\svchost.exe -k netsvcs [2004-08-05 14336]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
pfbjhs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2270090f-e34e-11de-b102-0007e926eb58}]
\Shell\Auto\command - G:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22700910-e34e-11de-b102-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bfcdbf3-7b57-11de-b0fe-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7031f859-369f-11df-b105-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{914ca81f-ac13-11de-b100-0007e926eb58}]
\Shell\AutoRun\command - g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{914ca829-ac13-11de-b100-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0f0561e-1ad6-11df-b104-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0f05630-1ad6-11df-b104-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
mStart Page = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
TCP: {D3E0ABA9-E063-44EE-A4AE-02E024E4E456} = 192.168.0.102,192.168.0.100
c:\windows\system32\atl.dll - c:\windows\Downloaded Program Files\gp.ocx
O16 -: {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
c:\windows\Downloaded Program Files\gp.inf
FF - ProfilePath - c:\documents and settings\rm.cormontreuil\Application Data\Mozilla\Firefox\Profiles\[u]0/uchbrex6.default\
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-28 12:46:29
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-04-28 12:47:20
ComboFix-quarantined-files.txt 2010-04-28 10:47:05
ComboFix2.txt 2010-04-26 12:25:00
ComboFix3.txt 2010-04-26 09:21:04
ComboFix4.txt 2010-02-12 10:43:11
Avant-CF: 29,090,787,328 octets libres
Après-CF: 29,087,150,080 octets libres
138
Le rapport est un peu ancien mais ce sont tous les mêmes car mon problème est récurent, j'en poste un autre dès que possible.
Merci
Voici un des rapports Combofix :
ComboFix 08-12-18.03 - Rm.cormontreuil 2010-04-28 12:46:20.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.652 [GMT 2:00]
Lancé depuis: c:\documents and settings\rm.cormontreuil\Bureau\ComboFix.exe
.
- Mode FONCTIONNALITES REDUITES -
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-28 au 2010-04-28 ))))))))))))))))))))))))))))))))))))
.
2010-04-05 17:14 . 2004-08-04 00:54 159,232 --a------ c:\windows\system32\ptpusd.dll
2010-04-05 17:14 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2010-04-05 17:14 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-26 07:42 46,080 ----a-w c:\windows\system32\ftp.exe
2010-04-26 07:42 --------- d-----w c:\documents and settings\rm.cormontreuil\Application Data\OpenOffice.org2
2010-02-12 17:56 9,758,152 ----a-w C:\windows-kb890830-v3.4.exe
2008-10-21 17:35 76,800 --sh--r c:\windows\system32\drivers\btwdins.exe
.
((((((((((((((((((((((((((((( snapshot@2010-02-12_11.42.37,51 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 07:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 06:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
- 2000-08-31 07:00:00 161,792 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 06:00:00 161,792 ----a-w c:\windows\SWREG.exe
- 2009-12-05 11:03:04 46,080 -c--a-w c:\windows\system32\dllcache\ftp.exe
+ 2010-04-26 07:42:35 46,080 -c--a-w c:\windows\system32\dllcache\ftp.exe
+ 2010-01-07 15:07:04 19,160 ----a-w c:\windows\system32\drivers\mbam.sys
+ 2010-01-07 15:07:14 38,224 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-02-01 10:26:22 30,364,104 ----a-w c:\windows\system32\MRT.exe
- 2009-10-31 18:28:03 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2010-04-24 08:46:16 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2009-10-31 18:28:03 48,616 ----a-w c:\windows\system32\perfc00C.dat
+ 2010-04-24 08:46:16 48,616 ----a-w c:\windows\system32\perfc00C.dat
- 2009-10-31 18:28:03 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2010-04-24 08:46:16 311,604 ----a-w c:\windows\system32\perfh009.dat
- 2009-10-31 18:28:03 367,658 ----a-w c:\windows\system32\perfh00C.dat
+ 2010-04-24 08:46:16 367,658 ----a-w c:\windows\system32\perfh00C.dat
+ 2010-04-26 07:42:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_594.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-23 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"btwdins.exe"="c:\windows\system32\drivers\btwdins.exe" [2008-10-21 76800]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\cormontreuil\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
c:\documents and settings\rm.cormontreuil\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe %WINDIR%\\system32\\drivers\\btwdins.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4038425909-613715726-4027953422-2295\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=ocs.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7089:TCP"= 7089:TCP:WWW
"17079:TCP"= 17079:TCP:NortonAV
R2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2009-07-03 6016]
S2 pfbjhs;pfbjhs;c:\windows\system32\svchost.exe -k netsvcs [2004-08-05 14336]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
pfbjhs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2270090f-e34e-11de-b102-0007e926eb58}]
\Shell\Auto\command - G:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22700910-e34e-11de-b102-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bfcdbf3-7b57-11de-b0fe-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7031f859-369f-11df-b105-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{914ca81f-ac13-11de-b100-0007e926eb58}]
\Shell\AutoRun\command - g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{914ca829-ac13-11de-b100-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0f0561e-1ad6-11df-b104-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0f05630-1ad6-11df-b104-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
mStart Page = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
TCP: {D3E0ABA9-E063-44EE-A4AE-02E024E4E456} = 192.168.0.102,192.168.0.100
c:\windows\system32\atl.dll - c:\windows\Downloaded Program Files\gp.ocx
O16 -: {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
c:\windows\Downloaded Program Files\gp.inf
FF - ProfilePath - c:\documents and settings\rm.cormontreuil\Application Data\Mozilla\Firefox\Profiles\[u]0/uchbrex6.default\
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-28 12:46:29
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-04-28 12:47:20
ComboFix-quarantined-files.txt 2010-04-28 10:47:05
ComboFix2.txt 2010-04-26 12:25:00
ComboFix3.txt 2010-04-26 09:21:04
ComboFix4.txt 2010-02-12 10:43:11
Avant-CF: 29,090,787,328 octets libres
Après-CF: 29,087,150,080 octets libres
138
Le rapport est un peu ancien mais ce sont tous les mêmes car mon problème est récurent, j'en poste un autre dès que possible.
Merci
Salut alex139a
Effectivement, trop ancien comme rapport, a première vu l'infection ce propage via tes disques amovibles et réinfecte ton PC.
On va faire un nouveau diagnostique du PC :
Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
Vista - Clique droit sur RSIT.exe qui est sur le bureau et choisir exécuter en tant qu'administrateur
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/
- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
Et fais la même chose avec l'autre rapport C:\rsit\info.txt
@++ :)
Effectivement, trop ancien comme rapport, a première vu l'infection ce propage via tes disques amovibles et réinfecte ton PC.
On va faire un nouveau diagnostique du PC :
Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
Vista - Clique droit sur RSIT.exe qui est sur le bureau et choisir exécuter en tant qu'administrateur
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/
- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
Et fais la même chose avec l'autre rapport C:\rsit\info.txt
@++ :)
