Sujet Précédent Sujet Suivant

Explorer.exe infecté

Fermé
web1skywalker Messages postés 7 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 29 août 2010 - 23 août 2010 à 19:39
 Utilisateur anonyme - 30 août 2010 à 01:16
Bonjour,

Mon explorer.exe est infecté (détection Avira : TR/Spy.1037824.6 (Trojan)). Je n'ose pas faire "réparer" avec Avira de peur de ne plus avoir de explorer.exe dans C:/Windows .

J'ai lancé Spybot, Ad-Aware, MBAM, a-squared, AVG antirootkit et j'en passe, rien n'y fait.

Que faire SVP ?
Ci-joint mon log HiJackThis.

D'avance, merci de votre précieuse aide.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:52, on 23/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Emsisoft Anti-Malware\a2service.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\PSNLite\PsnLite.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\SuperCopier\SuperCopier2.exe
C:\PROGRA~1\PSNLite\PSNGive.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: SuperCopier2.lnk = C:\Program Files\SuperCopier\SuperCopier2.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC5947CB-4C48-4F57-AAE1-6D3209F04613}: NameServer = 192.168.1.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate1ca616110760f18) (gupdate1ca616110760f18) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

13 réponses

Réponse 1 / 13
Utilisateur anonyme
23 août 2010 à 19:51
salut ton windows est un windows "maison" ca va pas etre facile :)

sauvegarde tes documents importants


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 2 / 13
web1skywalker Messages postés 7 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 29 août 2010
Modifié par web1skywalker le 23/08/2010 à 21:42
Bonjour gen-hackman,

Merci pour ta réponse ultra-rapide.
J'ai lancé ComboFix, qui m'a fait télécharger une console de récupération Microsoft.
Le PC a redémarré, pas de message indiquant que le virus soit de nouveau présent. Dans la liste d'événements d'Avira il n'y a plus de nouvelles détection du problème. J'ai lancé un scan sur explorer.exe, pas d'infection ! Merci !

Concernant le compte-rendu, ComboFix m'indique qu'il est en cours de préparation (depuis plrs minutes), mais rien n'apparait et je ne le trouve pas à C:/Combofix.txt. Je ne sais s'il est possible de le récupérer ?

Merci beaucoup, c'est vraiment très sympa de m'être venu en aide.
0
Réponse 3 / 13
Utilisateur anonyme
23 août 2010 à 22:03
non des fois il est un peu long faut laisser faire
0
Réponse 4 / 13
web1skywalker Messages postés 7 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 29 août 2010
23 août 2010 à 22:29
J'ai trouvé le fichier, mais ComboFix est toujours en route (préparation du compte-rendu) :

ComboFix 10-08-22.07 - XX 23/08/2010 20:37:28.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1564 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\XX\Bureau\XX.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
C:\Program Files\SuperCopier\SC2Hook.dll

Qu'en penses-tu ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
Utilisateur anonyme
23 août 2010 à 23:05
non laisse le faire y a rien là...
0
Réponse 6 / 13
web1skywalker Messages postés 7 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 29 août 2010
24 août 2010 à 18:48
J'ai dû quitter ComboFix pour pouvoir éteindre le pc. A son rallumage le compte-rendu ne contenait pas plus d'information.
J'espère que tout a été réparé, en tous cas le pc ne pose plus de problème. Je relance des scans antivirus pour vérifier.

Merci mille fois, bonne continuation.
0
Réponse 7 / 13
Utilisateur anonyme
24 août 2010 à 19:23
c'est pas fini :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
0
Réponse 8 / 13
web1skywalker Messages postés 7 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 29 août 2010
27 août 2010 à 18:50
Bonjour,

Voici les liens : (désolé cijoint.fr a planté au moment où j'ai tenté de l'utiliser)
- http://dl.free.fr/getfile.pl?file=/Y29h25aA
- http://dl.free.fr/getfile.pl?file=/5tL0LtfN

Merci.
0
Réponse 9 / 13
Utilisateur anonyme
27 août 2010 à 23:11
bonsoir desinstalle AD-Aware

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
Réponse 10 / 13
web1skywalker Messages postés 7 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 29 août 2010
28 août 2010 à 19:15
Ad-Aware désinstallé.
Compte-rendu :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.1 ¤¤¤¤¤¤¤¤¤¤

User : XXx (Administrateurs)
Update on 27/08/2010 by g3n-h@ckm@n ::::: 01.55
Start at: 14:43:50 | 28/08/2010

Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 93,15 Go (15,16 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----400 Ko
C:\WINDOWS\system32\csrss.exe ----4784 Ko
C:\WINDOWS\system32\winlogon.exe ----4584 Ko
C:\WINDOWS\system32\services.exe ----3596 Ko
C:\WINDOWS\system32\lsass.exe ----1952 Ko
C:\WINDOWS\system32\Ati2evxx.exe ----3120 Ko
C:\WINDOWS\system32\svchost.exe ----5152 Ko
C:\WINDOWS\system32\svchost.exe ----4604 Ko
C:\WINDOWS\System32\svchost.exe ----38244 Ko
C:\WINDOWS\system32\Ati2evxx.exe ----3804 Ko
C:\WINDOWS\system32\svchost.exe ----3564 Ko
C:\WINDOWS\system32\svchost.exe ----4232 Ko
C:\WINDOWS\system32\spoolsv.exe ----7868 Ko
C:\Program Files\Avira\AntiVir Desktop\sched.exe ----768 Ko
C:\Program Files\Avira\AntiVir Desktop\avguard.exe ----11868 Ko
C:\WINDOWS\system32\svchost.exe ----3248 Ko
C:\Program Files\Emsisoft Anti-Malware\a2service.exe ----268 Ko
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe ----3204 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----3620 Ko
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe ----5152 Ko
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe ----2296 Ko
C:\Program Files\Java\jre6\bin\jqs.exe ----1388 Ko
C:\WINDOWS\system32\svchost.exe ----4552 Ko
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe ----952 Ko
C:\WINDOWS\Explorer.EXE ----38700 Ko
C:\WINDOWS\System32\alg.exe ----3568 Ko
C:\WINDOWS\system32\wbem\wmiapsrv.exe ----4564 Ko
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe ----3484 Ko
C:\Program Files\Apoint2K\Apoint.exe ----10124 Ko
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe ----3072 Ko
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe ----1540 Ko
C:\WINDOWS\system32\ctfmon.exe ----4040 Ko
C:\Program Files\PSNLite\PsnLite.exe ----7072 Ko
C:\Program Files\SuperCopier\SuperCopier2.exe ----3944 Ko
C:\PROGRA~1\PSNLite\PSNGive.exe ----4324 Ko
C:\Program Files\Apoint2K\Apntex.exe ----2012 Ko
C:\WINDOWS\system32\cmd.exe ----3268 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----6744 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----3600 Ko
C:\Program Files\List_Kill'em\pv.exe ----3016 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Program Files\ResultDns
Quarantined & Deleted !! : C:\WINDOWS\002705_.tmp
Quarantined & Deleted !! : C:\WINDOWS\DUMPa4ac.tmp
Quarantined & Deleted !! : C:\WINDOWS\DUMPaa97.tmp
Quarantined & Deleted !! : C:\WINDOWS\DUMPb100.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\SET154.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET196.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET197.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET198.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET199.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET19A.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET19B.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET19C.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET19D.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET19E.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1A2.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1A3.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1A4.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1A5.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1A6.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1AC.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1AE.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1AF.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1B0.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1B1.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1B3.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1B4.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1B6.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1B9.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1BA.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1BD.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1BE.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1BF.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C0.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C1.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C3.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C5.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C6.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C7.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C8.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1C9.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1CB.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1CC.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1CD.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1F5.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1F6.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1F8.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1F9.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1FA.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1FD.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1FF.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET24E.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET773.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET775.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET779.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET781.tmp
Quarantined & Deleted !! : C:\Documents and Settings\AnthonyBussiere\0.5095051377102573.exe
Quarantined & Deleted !! : C:\Documents and Settings\AnthonyBussiere\Application Data\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Documents and Settings\AnthonyBussiere\Local Settings\Temp\alm.log
Quarantined & Deleted !! : C:\Documents and Settings\AnthonyBussiere\Local Settings\Temp\amt.log
Quarantined & Deleted !! : C:\Documents and Settings\AnthonyBussiere\LOCAL Settings\Temp\catchme.dll
Deleted !! : C:\RECYCLER\S-1-5-21-1275210071-152049171-839522115-1003\Dc1.bmp
Deleted !! : C:\RECYCLER\S-1-5-21-1275210071-152049171-839522115-1003\Dc2.pdf
Deleted !! : C:\RECYCLER\S-1-5-21-1275210071-152049171-839522115-1003\Dc3.txt
Deleted !! : C:\RECYCLER\S-1-5-21-1275210071-152049171-839522115-1003\Dc4.doc
Deleted !! : C:\RECYCLER\S-1-5-21-1275210071-152049171-839522115-1003\Dc6.doc

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : HKCU\Software\GabPath
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gabpath
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\resultdns
Deleted : HKLM\SOFTWARE\ResultDns
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\MEMSWEEP2
Deleted : HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_MEMSWEEP2
Deleted : HKLM\SYSTEM\ControlSet004\Services\MEMSWEEP2

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spdt.sys >>UNKNOWN [0x8A644938]<<
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 11 / 13
Utilisateur anonyme
29 août 2010 à 01:17
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0
Réponse 12 / 13
web1skywalker Messages postés 7 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 29 août 2010
29 août 2010 à 21:35
J'ai lancé le logiciel, puis j'ai eu un écran bleu, type erreur système, alors j'ai rebooté. Une explication chef ?
merci.
0
Réponse 13 / 13
Utilisateur anonyme
30 août 2010 à 01:16
fais-le en mode sans echec :)
0

Discussions similaires

Explorer.exe plante a chaque démarrage/redémarrage
Benjamin -
Malekal_morte- -

12 réponses
explorer.exe - erreur d'application
Mydeo -
Moumou -

12 réponses
Probleme avec explorer.exe
manu -
cmonpseudoamoa -

1 réponse
Explorer.exe
JesSD31 -
JesSD31 -

2 réponses
explorer.exe plante systematiquement
jiantox -
jiantox -

3 réponses