Win32 patched-RP[trj]
talalalere
-
blasco -
blasco -
Bonjour,
avast me repére ce virus mais je peux rien faire...impossible de le mettre en qurantaine ou de le suprimer... depuis mon ordi s allume mais ne charge aucun parametres perso du cou j ai plus aucun icones sur le bureau et meme pas le menu demarer...pour lancer des application je suis obligé de lancer par le gestionnaire des tache en tapant alt ctrl sup...
comment me debarasser de ce win32-RP[trj]
avast me repére ce virus mais je peux rien faire...impossible de le mettre en qurantaine ou de le suprimer... depuis mon ordi s allume mais ne charge aucun parametres perso du cou j ai plus aucun icones sur le bureau et meme pas le menu demarer...pour lancer des application je suis obligé de lancer par le gestionnaire des tache en tapant alt ctrl sup...
comment me debarasser de ce win32-RP[trj]
A voir également:
- Win32 patched-RP[trj]
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Acheter rp lol - Forum jeux en ligne
- Trojan win32 - Forum Virus
- Puadimanager win32/offercore ✓ - Forum Virus
- PUADlManager:Win32/OfferCore ✓ - Forum Virus
22 réponses
OK, il s'agit de fichiers système patchés, on va essayer avec ComboFix :
● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien
● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.
● Désactive tes logiciels de protection et ferme tous les programmes
● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"
● Clique sur le bouton Oui dans la fenêtre d'avertissement
● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.
● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.
● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\ComboFix.txt
Tutorial officiel de ComboFix
● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien
● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.
● Désactive tes logiciels de protection et ferme tous les programmes
● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"
● Clique sur le bouton Oui dans la fenêtre d'avertissement
● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.
● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.
● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\ComboFix.txt
Tutorial officiel de ComboFix
Cela correspond à l'infection et non au fichier infecté.
Peux-tu regarder dans les rapports de Avast.
Peux-tu regarder dans les rapports de Avast.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tiens je t envoi le rapport
Rapport avast! de l'Agent Résident
* Ce fichier est généré automatiquement
*
* Débuté le : mercredi 15 septembre 2010 14:41:19
*
15/09/2010 14:41:34 C:\WINDOWS\system32\winlogon.exe [L] Win32:Patched-RP [Trj] (0)
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
*
* Rapport avast! de l'Agent Résident
* Ce fichier est généré automatiquement
*
* Débuté le : mercredi 15 septembre 2010 14:47:49
*
15/09/2010 14:47:52 C:\WINDOWS\system32\winlogon.exe [L] Win32:Patched-RP [Trj] (0)
15/09/2010 14:47:52 [L] Win32:Patched-RP [Trj] (0)
15/09/2010 14:47:52 C:\WINDOWS\system32\winlogon.exe [L] Win32:Patched-RP [Trj] (0)
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Rapport avast! de l'Agent Résident
* Ce fichier est généré automatiquement
*
* Débuté le : mercredi 15 septembre 2010 14:41:19
*
15/09/2010 14:41:34 C:\WINDOWS\system32\winlogon.exe [L] Win32:Patched-RP [Trj] (0)
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
*
* Rapport avast! de l'Agent Résident
* Ce fichier est généré automatiquement
*
* Débuté le : mercredi 15 septembre 2010 14:47:49
*
15/09/2010 14:47:52 C:\WINDOWS\system32\winlogon.exe [L] Win32:Patched-RP [Trj] (0)
15/09/2010 14:47:52 [L] Win32:Patched-RP [Trj] (0)
15/09/2010 14:47:52 C:\WINDOWS\system32\winlogon.exe [L] Win32:Patched-RP [Trj] (0)
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Non, il n'est pas clean pour autant !
Reste jusqu'à la fin stp.
Commence par mettre le rapport de Combofix (C:\ComboFix.txt).
Reste jusqu'à la fin stp.
Commence par mettre le rapport de Combofix (C:\ComboFix.txt).
ComboFix 10-09-14.04 - eid 15/09/2010 16:17:50.1.2 - x86
Lancé depuis: c:\documents and settings\eid\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\eid\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Shield.lnk
c:\documents and settings\eid\Application Data\My Security Shield
c:\documents and settings\eid\Application Data\My Security Shield\cookies.sqlite
c:\documents and settings\eid\Application Data\My Security Shield\Instructions.ini
c:\documents and settings\eid\binternet.exe
c:\windows\mdll.dll
c:\windows\wintybrd.jpg
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-15 au 2010-09-15 ))))))))))))))))))))))))))))))))))))
.
2010-09-15 12:35 . 2010-09-15 12:35 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2010-09-15 12:35 . 2010-09-15 12:35 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-09-15 08:17 . 2010-09-15 08:17 -------- d-----w- c:\documents and settings\eid\Local Settings\Application Data\Help
2010-09-14 15:06 . 2010-09-14 15:07 -------- d-----w- C:\rsit
2010-09-14 07:39 . 2010-09-07 14:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-14 07:39 . 2010-09-07 14:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-14 07:39 . 2010-09-07 14:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-14 07:39 . 2010-09-07 14:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-14 07:39 . 2010-09-07 14:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-09-14 07:39 . 2010-09-07 14:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-09-14 07:39 . 2010-09-07 14:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-09-14 07:39 . 2010-09-07 15:12 38848 ----a-w- c:\windows\avastSS.scr
2010-09-14 07:39 . 2010-09-07 15:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-09-14 07:39 . 2010-09-14 07:39 -------- d-----w- c:\program files\Alwil Software
2010-09-14 07:39 . 2010-09-14 07:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-09-14 07:31 . 2010-09-14 07:31 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-09-14 06:30 . 2010-09-14 06:30 -------- d-sh--w- c:\documents and settings\All Users\Application Data\MSPGCS
2010-09-14 06:29 . 2010-09-15 08:17 -------- d-sh--w- c:\documents and settings\All Users\Application Data\e2e20a3
2010-09-14 06:22 . 2010-09-14 10:41 68224 ----a-w- c:\windows\system32\drivers\oopuhnpkpjv.sys
2010-09-13 03:02 . 2010-09-13 06:25 -------- d-----w- c:\documents and settings\eid\Application Data\5E30AF24405530AEB7C46083D2088B76
2010-09-02 19:42 . 2010-09-02 19:42 -------- d-----w- C:\Vagnon Mer Côtier
2010-08-17 13:17 . 2010-08-17 13:17 58880 -c----w- c:\windows\system32\dllcache\spoolsv.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-15 08:17 . 2010-02-28 09:43 -------- d-----w- c:\program files\trend micro
2010-09-15 07:30 . 2006-03-02 12:00 93846 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-15 07:30 . 2006-03-02 12:00 533484 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-14 21:33 . 2009-10-08 12:23 -------- d-----w- c:\documents and settings\eid\Application Data\vlc
2010-09-14 21:12 . 2010-04-20 22:14 -------- d-----w- c:\documents and settings\eid\Application Data\Skype
2010-09-14 18:16 . 2009-03-26 15:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-09-14 15:21 . 2010-04-20 22:16 -------- d-----w- c:\documents and settings\eid\Application Data\skypePM
2010-09-14 14:38 . 2009-06-22 17:57 -------- d-----w- c:\program files\ESET
2010-09-13 15:13 . 2010-03-05 12:31 5578 ----a-w- c:\documents and settings\eid\errorlog.tmp
2010-09-09 21:17 . 2009-04-07 14:09 -------- d-----w- c:\documents and settings\eid\Application Data\dvdcss
2010-09-08 08:54 . 2009-03-31 09:54 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 22:00 . 2010-06-20 20:34 -------- d-----w- c:\documents and settings\eid\Application Data\gtk-2.0
2010-07-22 15:48 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:32 . 2006-03-02 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-03-02 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-03-02 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 17:45 . 2006-03-02 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-09-29 15:24 325000 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-11 186904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-10 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKLM\~\startupfolder\C:^Documents and Settings^eid^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk]
path=c:\documents and settings\eid\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2009-12-14 05:24 323392 ----a-w- c:\program files\DNA\btdna.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-04-28 13:06 142120 ----a-w- c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [14/09/2010 09:39 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [14/09/2010 09:39 17744]
R3 CnxtHdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service;c:\windows\system32\drivers\CHDAud.sys [04/10/2007 12:35 651776]
S0 khqlmxop;khqlmxop;c:\windows\system32\drivers\oopuhnpkpjv.sys [14/09/2010 08:22 68224]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/06/2010 13:23 136176]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [15/03/2009 10:34 216232]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28/02/2010 11:45 38224]
.
Contenu du dossier 'Tâches planifiées'
2010-09-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-06 11:23]
2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-06 11:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.softechs.blogspot.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.softechs.blogspot.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\eid\Application Data\Mozilla\Firefox\Profiles\5422mzdg.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.
- - - - ORPHELINS SUPPRIMES - - - -
URLSearchHooks-08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-15 16:43
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3104)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OrangeHSS\systray\systrayapp.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Heure de fin: 2010-09-15 16:55:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-15 14:55
Avant-CF: 23 472 635 904 octets libres
Après-CF: 24 539 254 784 octets libres
- - End Of File - - 1723417D8DCD0360DFB643B09D5EE5FB
Lancé depuis: c:\documents and settings\eid\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\eid\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Shield.lnk
c:\documents and settings\eid\Application Data\My Security Shield
c:\documents and settings\eid\Application Data\My Security Shield\cookies.sqlite
c:\documents and settings\eid\Application Data\My Security Shield\Instructions.ini
c:\documents and settings\eid\binternet.exe
c:\windows\mdll.dll
c:\windows\wintybrd.jpg
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-15 au 2010-09-15 ))))))))))))))))))))))))))))))))))))
.
2010-09-15 12:35 . 2010-09-15 12:35 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2010-09-15 12:35 . 2010-09-15 12:35 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-09-15 08:17 . 2010-09-15 08:17 -------- d-----w- c:\documents and settings\eid\Local Settings\Application Data\Help
2010-09-14 15:06 . 2010-09-14 15:07 -------- d-----w- C:\rsit
2010-09-14 07:39 . 2010-09-07 14:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-14 07:39 . 2010-09-07 14:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-14 07:39 . 2010-09-07 14:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-14 07:39 . 2010-09-07 14:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-14 07:39 . 2010-09-07 14:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-09-14 07:39 . 2010-09-07 14:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-09-14 07:39 . 2010-09-07 14:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-09-14 07:39 . 2010-09-07 15:12 38848 ----a-w- c:\windows\avastSS.scr
2010-09-14 07:39 . 2010-09-07 15:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-09-14 07:39 . 2010-09-14 07:39 -------- d-----w- c:\program files\Alwil Software
2010-09-14 07:39 . 2010-09-14 07:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-09-14 07:31 . 2010-09-14 07:31 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-09-14 06:30 . 2010-09-14 06:30 -------- d-sh--w- c:\documents and settings\All Users\Application Data\MSPGCS
2010-09-14 06:29 . 2010-09-15 08:17 -------- d-sh--w- c:\documents and settings\All Users\Application Data\e2e20a3
2010-09-14 06:22 . 2010-09-14 10:41 68224 ----a-w- c:\windows\system32\drivers\oopuhnpkpjv.sys
2010-09-13 03:02 . 2010-09-13 06:25 -------- d-----w- c:\documents and settings\eid\Application Data\5E30AF24405530AEB7C46083D2088B76
2010-09-02 19:42 . 2010-09-02 19:42 -------- d-----w- C:\Vagnon Mer Côtier
2010-08-17 13:17 . 2010-08-17 13:17 58880 -c----w- c:\windows\system32\dllcache\spoolsv.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-15 08:17 . 2010-02-28 09:43 -------- d-----w- c:\program files\trend micro
2010-09-15 07:30 . 2006-03-02 12:00 93846 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-15 07:30 . 2006-03-02 12:00 533484 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-14 21:33 . 2009-10-08 12:23 -------- d-----w- c:\documents and settings\eid\Application Data\vlc
2010-09-14 21:12 . 2010-04-20 22:14 -------- d-----w- c:\documents and settings\eid\Application Data\Skype
2010-09-14 18:16 . 2009-03-26 15:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-09-14 15:21 . 2010-04-20 22:16 -------- d-----w- c:\documents and settings\eid\Application Data\skypePM
2010-09-14 14:38 . 2009-06-22 17:57 -------- d-----w- c:\program files\ESET
2010-09-13 15:13 . 2010-03-05 12:31 5578 ----a-w- c:\documents and settings\eid\errorlog.tmp
2010-09-09 21:17 . 2009-04-07 14:09 -------- d-----w- c:\documents and settings\eid\Application Data\dvdcss
2010-09-08 08:54 . 2009-03-31 09:54 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 22:00 . 2010-06-20 20:34 -------- d-----w- c:\documents and settings\eid\Application Data\gtk-2.0
2010-07-22 15:48 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:32 . 2006-03-02 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-03-02 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-03-02 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 17:45 . 2006-03-02 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-09-29 15:24 325000 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-11 186904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-10 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKLM\~\startupfolder\C:^Documents and Settings^eid^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk]
path=c:\documents and settings\eid\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2009-12-14 05:24 323392 ----a-w- c:\program files\DNA\btdna.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-04-28 13:06 142120 ----a-w- c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [14/09/2010 09:39 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [14/09/2010 09:39 17744]
R3 CnxtHdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service;c:\windows\system32\drivers\CHDAud.sys [04/10/2007 12:35 651776]
S0 khqlmxop;khqlmxop;c:\windows\system32\drivers\oopuhnpkpjv.sys [14/09/2010 08:22 68224]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/06/2010 13:23 136176]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [15/03/2009 10:34 216232]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28/02/2010 11:45 38224]
.
Contenu du dossier 'Tâches planifiées'
2010-09-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-06 11:23]
2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-06 11:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.softechs.blogspot.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.softechs.blogspot.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\eid\Application Data\Mozilla\Firefox\Profiles\5422mzdg.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.
- - - - ORPHELINS SUPPRIMES - - - -
URLSearchHooks-08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-15 16:43
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3104)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OrangeHSS\systray\systrayapp.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Heure de fin: 2010-09-15 16:55:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-15 14:55
Avant-CF: 23 472 635 904 octets libres
Après-CF: 24 539 254 784 octets libres
- - End Of File - - 1723417D8DCD0360DFB643B09D5EE5FB
Bien, on va déjà vérifier que les fichiers remplacés sont sains :
● Va sur le site VirusTotal
● Clique sur le bouton "parcourir"
● Recherche le fichier présent ici ==> c:\windows\explorer.exe
● Clique sur le bouton "Envoyer le fichier"
● Patiente pendant le scan du fichier
● Copie le rapport dans ta réponse
Puis refais la manip avec ce fichier : c:\windows\system32\winlogon.exe
● Va sur le site VirusTotal
● Clique sur le bouton "parcourir"
● Recherche le fichier présent ici ==> c:\windows\explorer.exe
● Clique sur le bouton "Envoyer le fichier"
● Patiente pendant le scan du fichier
● Copie le rapport dans ta réponse
Puis refais la manip avec ce fichier : c:\windows\system32\winlogon.exe
Bonjour,
J'ai le même problème,
Mon fichier explorer.exe est infecté par ce même virus.
Sauf que je suis sous vista 64bits donc je ne peux pas installer combofix!
Si quelqu'un peut m'aider...
Merci
J'ai le même problème,
Mon fichier explorer.exe est infecté par ce même virus.
Sauf que je suis sous vista 64bits donc je ne peux pas installer combofix!
Si quelqu'un peut m'aider...
Merci
voila le premier resultat de virus total:
explorer.exe
Submission date:
2010-09-15 15:20:40 (UTC)
Current status:
queued (#6) queued (#6) analysing finished
Result:
0/ 43 (0.0%)
explorer.exe
Submission date:
2010-09-15 15:20:40 (UTC)
Current status:
queued (#6) queued (#6) analysing finished
Result:
0/ 43 (0.0%)
File name:
winlogon.exe
Submission date:
2010-09-15 17:47:30 (UTC)
Current status:
queued (#13) queued analysing finished
Result:
0/ 43 (0.0%)
winlogon.exe
Submission date:
2010-09-15 17:47:30 (UTC)
Current status:
queued (#13) queued analysing finished
Result:
0/ 43 (0.0%)
Bien, çà à l'air bon de ce côté.
On va maintenant analyser ton PC :
● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.
● Double clique sur ZHPDiag_silent.exe
● Patiente pendant le scan. Un rapport s'ouvrira à la fin.
● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.
Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
On va maintenant analyser ton PC :
● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.
● Double clique sur ZHPDiag_silent.exe
● Patiente pendant le scan. Un rapport s'ouvrira à la fin.
● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.
Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
