Sujet Précédent Sujet Suivant

Supprimer trojan

Résolu/Fermé
yoyo - 7 oct. 2010 à 01:13
 yoyo - 9 oct. 2010 à 02:47
Bonjour a tous

j'ai un trojan impossible a supprimer : TR/Agent.564800

HEEEEEEEELP !!!!!!!!



je laisse mon rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:42:15, on 06/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.live.com/?mkt=en-us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Startup: setup_9.0.0.722_04.10.2010_04-33.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: PokerStars.fr - {90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program Files\PokerStars.FR\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Unknown owner - c:\Program Files\Norton Internet Security\ISSVC.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SAVScan - Unknown owner - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
A voir également:

91 réponses

Précédent
Réponse 41 / 91
yoyo
8 oct. 2010 à 00:45
non je n'ai pas eu le temps de l'installer
0
Réponse 42 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 00:48
bon

on fait une restauration systeme à une date la plus proche possible mais avant l'heure du plantage

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/#7-restaurer-un-point-de-restauration
0
Réponse 43 / 91
yoyo
8 oct. 2010 à 00:48
je vais essayer de le redemarrer et d'installer rapidement list killem et combofix
0
Réponse 44 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 00:50
non

https://forums.commentcamarche.net/forum/affich-19408229-supprimer-trojan?page=3#58
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 91
yoyo
8 oct. 2010 à 01:01
au redemarrage les ports USB sont revenus, j'execute list killem ?

puis combofix, mais si j'ai pas de connexion c'est peut etre risqué ?
0
Réponse 46 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 01:04
allons y pour killem

combofix on attends

0
Réponse 47 / 91
yoyo
8 oct. 2010 à 01:10
tu m'as l'air depité !!!!!!!! :s
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 01:16
moi non..

mais j'aimerai bien qu'internet fonctionne
0
Réponse 48 / 91
yoyo
Modifié par yoyo le 8/10/2010 à 01:28
je n ai pas de rapport list killem
0
Réponse 49 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 01:30
si tu n'as toujours pas internet

essaie ceci
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore

ou bien encore

Télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes en gras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
0
Réponse 50 / 91
yoyo
Modifié par yoyo le 8/10/2010 à 01:39
c'est le rapport combofix que tu attends et pas celui de list killem.
je teste la connexion internet et j'envois combofix
tu m'avais dit d'attendre pour combofix
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 01:47
attends pour combofix

et essayons d'avoir internet avant
0
Réponse 51 / 91
yoyo
8 oct. 2010 à 01:51
et bien tjrs le meme probleme recurant, pas de connexion.

TCP/IP n'est pas activé pour cette connexion
0
Réponse 52 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 01:53
bon fait combofix comme indiqué ici https://forums.commentcamarche.net/forum/affich-19408229-supprimer-trojan?page=2#41
0
Réponse 53 / 91
yoyo
Modifié par yoyo le 8/10/2010 à 02:03
j'ai l'impression que list killem ne fonctionne pas. je l'ai peut etre mal installé.

et pour combofix j'ai pas de connexion donc pas de console de recuperation.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 02:13
tant pis pour la console, continue
0
Réponse 54 / 91
yoyo
8 oct. 2010 à 02:23
je ne peux pas reactiver le TCP/IP ?
0
Réponse 55 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
Modifié par moment de grace le 8/10/2010 à 02:29
si tu sais comment oui fais le

sinon fais combofix

CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
0
Réponse 56 / 91
yoyo
8 oct. 2010 à 02:48
combofix me detecte norton internet security qui faisait parti de l'ordi quand je l'ai acheté, et que j'avais supprimé des l'achat.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 02:51
https://www.commentcamarche.net/faq/2453-supprimer-desinstaller-norton-antivirus-norton-internet-security
0
Réponse 57 / 91
yoyo
8 oct. 2010 à 03:35
voici le rapport combofix:

ComboFix 10-10-07.01 - HP_Propriétaire 08/10/2010 3:16.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.226 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ps2.bat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((((((((( Fichiers créés du 2010-09-08 au 2010-10-08 ))))))))))))))))))))))))))))))))))))
.

2010-10-07 23:17 . 2010-10-08 00:04 -------- d-----w- c:\program files\List_Kill'em
2010-10-07 21:54 . 2010-10-07 21:54 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-10-07 20:27 . 2010-10-08 01:25 840192 ----a-w- c:\windows\system32\drivers\ylerzlej.sys
2010-10-07 16:41 . 2010-10-07 16:41 4325 ----a-w- C:\UsbFix_Upload_Me_YOANN.zip
2010-10-07 16:36 . 2010-10-07 16:41 -------- d-----w- C:\UsbFix
2010-10-07 15:14 . 2010-10-07 19:19 -------- d-----w- c:\program files\ZHPDiag
2010-10-07 14:50 . 2010-10-07 15:10 -------- d-----w- c:\program files\Ad-Remover
2010-10-06 20:41 . 2010-10-06 20:41 -------- d-----w- c:\program files\Trend Micro
2010-10-06 13:41 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-06 13:41 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-06 12:39 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\56632172.sys
2010-10-06 12:39 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\5663217.sys
2010-10-06 12:39 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\56632171.sys
2010-09-22 03:12 . 2010-10-08 01:25 565248 ----a-w- c:\windows\system32\drivers\kqmcbixr.sys
2010-09-20 17:36 . 2010-10-02 12:53 -------- d-----w- c:\program files\PokerStars.FR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 22:42 . 2007-02-06 04:33 58216 ----a-w- c:\windows\system32\perfc040.dat
2010-10-03 22:42 . 2007-02-06 04:33 433972 ----a-w- c:\windows\system32\perfh040.dat
2010-10-03 22:42 . 2004-11-23 21:26 94990 ----a-w- c:\windows\system32\perfc00C.dat
2010-10-03 22:42 . 2004-11-23 21:26 530202 ----a-w- c:\windows\system32\perfh00C.dat
2010-10-01 19:47 . 2010-01-31 19:04 -------- d-----w- c:\program files\PokerStars
2010-08-17 13:17 . 2004-08-05 18:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2004-08-05 18:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen 3.1"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2005-09-27 1073152]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2006-01-24 7094272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-03 98304]

c:\documents and settings\HP_Propri'taire\Menu D'marrer\Programmes\D'marrage\
setup_9.0.0.722_04.10.2010_04-33.lnk - c:\documents and settings\HP_Propri'taire\Bureau\securit'\Virus Removal Tool\setup_9.0.0.722_04.10.2010_04-33\startup.exe [2010-10-6 72208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"navapsvc"=2 (0x2)
"Fax"=3 (0x3)
"Boonty Games"=3 (0x3)
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"WOOKIT"=c:\progra~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PCDrProfiler"=
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe"
"Picasa Media Detector"=c:\program files\Picasa2\PicasaMediaDetector.exe
"PS2"=c:\windows\system32\ps2.exe
"Recguard"=c:\windows\SMINST\RECGUARD.EXE
"WOOTASKBARICON"=c:\progra~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
"AlcxMonitor"=ALCXMNTR.EXE
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\system32\\lsass.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13693:TCP"= 13693:TCP:NortonAV
"13116:TCP"= 13116:TCP:NortonAV
"16519:TCP"= 16519:TCP:NortonAV

R0 56632172;56632172 Boot Guard Driver;c:\windows\system32\drivers\56632172.sys [06/10/2010 14:39 37392]
R1 56632171;56632171;c:\windows\system32\drivers\56632171.sys [06/10/2010 14:39 128016]
R1 setup_9.0.0.722_04.10.2010_04-33drv;setup_9.0.0.722_04.10.2010_04-33drv;c:\windows\system32\drivers\5663217.sys [06/10/2010 14:39 315408]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 04:42 108289]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [01/12/2009 16:49 34384]
S3 999ef29d900f8ef2;999ef29d900f8ef2;\??\c:\windows\TEMP\612023701183 --> c:\windows\TEMP\612023701183 [?]
S3 cc67c00fa9718e47;cc67c00fa9718e47;\??\c:\windows\TEMP\600024886dc0 --> c:\windows\TEMP\600024886dc0 [?]
S3 MODRC;DiBcom Infrared Receiver;c:\windows\system32\DRIVERS\modrc.sys --> c:\windows\system32\DRIVERS\modrc.sys [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - kqmcbixr
*Deregistered* - ylerzlej
.
.
------- Examen supplémentaire -------
.
IE: &Traduire à partir de l'anglais - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ota8yfne.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-AVG7_Run - c:\progra~1\Grisoft\AVGFRE~1\avgw.exe
HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe



[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\999ef29d900f8ef2]
"ImagePath"="\??\c:\windows\TEMP\612023701183"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cc67c00fa9718e47]
"ImagePath"="\??\c:\windows\TEMP\600024886dc0"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kqmcbixr]
0
Réponse 58 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 oct. 2010 à 03:45
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

kqmcbixr
ylerzlej



Rootkit::

c:\windows\system32\drivers\ylerzlej.sys
c:\windows\system32\drivers\kqmcbixr.sys


* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
0
Réponse 59 / 91
yoyo
8 oct. 2010 à 04:21
ComboFix 10-10-07.01 - HP_Propriétaire 08/10/2010 4:03.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.170 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KQMCBIXR
-------\Legacy_YLERZLEJ
-------\Service_kqmcbixr
-------\Service_ylerzlej


((((((((((((((((((((((((((((( Fichiers créés du 2010-09-08 au 2010-10-08 ))))))))))))))))))))))))))))))))))))
.

2010-10-07 23:17 . 2010-10-08 00:04 -------- d-----w- c:\program files\List_Kill'em
2010-10-07 21:54 . 2010-10-07 21:54 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-10-07 20:27 . 2010-10-08 02:09 840192 ----a-w- c:\windows\system32\drivers\ylerzlej.sys
2010-10-07 16:41 . 2010-10-07 16:41 4325 ----a-w- C:\UsbFix_Upload_Me_YOANN.zip
2010-10-07 16:36 . 2010-10-07 16:41 -------- d-----w- C:\UsbFix
2010-10-07 15:14 . 2010-10-07 19:19 -------- d-----w- c:\program files\ZHPDiag
2010-10-07 14:50 . 2010-10-07 15:10 -------- d-----w- c:\program files\Ad-Remover
2010-10-06 20:41 . 2010-10-06 20:41 -------- d-----w- c:\program files\Trend Micro
2010-10-06 13:41 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-06 13:41 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-06 12:39 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\56632172.sys
2010-10-06 12:39 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\5663217.sys
2010-10-06 12:39 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\56632171.sys
2010-09-22 03:12 . 2010-10-08 02:09 565248 ----a-w- c:\windows\system32\drivers\kqmcbixr.sys
2010-09-20 17:36 . 2010-10-02 12:53 -------- d-----w- c:\program files\PokerStars.FR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 22:42 . 2007-02-06 04:33 58216 ----a-w- c:\windows\system32\perfc040.dat
2010-10-03 22:42 . 2007-02-06 04:33 433972 ----a-w- c:\windows\system32\perfh040.dat
2010-10-03 22:42 . 2004-11-23 21:26 94990 ----a-w- c:\windows\system32\perfc00C.dat
2010-10-03 22:42 . 2004-11-23 21:26 530202 ----a-w- c:\windows\system32\perfh00C.dat
2010-10-01 19:47 . 2010-01-31 19:04 -------- d-----w- c:\program files\PokerStars
2010-08-17 13:17 . 2004-08-05 18:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2004-08-05 18:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen 3.1"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2005-09-27 1073152]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2006-01-24 7094272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-03 98304]

c:\documents and settings\HP_Propri'taire\Menu D'marrer\Programmes\D'marrage\
setup_9.0.0.722_04.10.2010_04-33.lnk - c:\documents and settings\HP_Propri'taire\Bureau\securit'\Virus Removal Tool\setup_9.0.0.722_04.10.2010_04-33\startup.exe [2010-10-6 72208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"navapsvc"=2 (0x2)
"Fax"=3 (0x3)
"Boonty Games"=3 (0x3)
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"WOOKIT"=c:\progra~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PCDrProfiler"=
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe"
"Picasa Media Detector"=c:\program files\Picasa2\PicasaMediaDetector.exe
"PS2"=c:\windows\system32\ps2.exe
"Recguard"=c:\windows\SMINST\RECGUARD.EXE
"WOOTASKBARICON"=c:\progra~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
"AlcxMonitor"=ALCXMNTR.EXE
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\system32\\lsass.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13693:TCP"= 13693:TCP:NortonAV
"13116:TCP"= 13116:TCP:NortonAV
"16519:TCP"= 16519:TCP:NortonAV

R0 56632172;56632172 Boot Guard Driver;c:\windows\system32\drivers\56632172.sys [06/10/2010 14:39 37392]
R1 56632171;56632171;c:\windows\system32\drivers\56632171.sys [06/10/2010 14:39 128016]
R1 setup_9.0.0.722_04.10.2010_04-33drv;setup_9.0.0.722_04.10.2010_04-33drv;c:\windows\system32\drivers\5663217.sys [06/10/2010 14:39 315408]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 04:42 108289]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [01/12/2009 16:49 34384]
S3 999ef29d900f8ef2;999ef29d900f8ef2;\??\c:\windows\TEMP\612023701183 --> c:\windows\TEMP\612023701183 [?]
S3 cc67c00fa9718e47;cc67c00fa9718e47;\??\c:\windows\TEMP\600024886dc0 --> c:\windows\TEMP\600024886dc0 [?]
S3 MODRC;DiBcom Infrared Receiver;c:\windows\system32\DRIVERS\modrc.sys --> c:\windows\system32\DRIVERS\modrc.sys [?]
.
.
------- Examen supplémentaire -------
.
IE: &Traduire à partir de l'anglais - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ota8yfne.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\999ef29d900f8ef2]
"ImagePath"="\??\c:\windows\TEMP\612023701183"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cc67c00fa9718e47]
"ImagePath"="\??\c:\windows\TEMP\600024886dc0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(400)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2036)
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
.
**************************************************************************
.
Heure de fin: 2010-10-08 04:14:27 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-08 02:14
ComboFix2.txt 2010-10-08 01:28

Avant-CF: 143 332 728 832 octets libres
Après-CF: 143 320 817 664 octets libres

- - End Of File - - 0671F6100318B84A1D6ABEEF061DDEFE
0
Réponse 60 / 91
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
Modifié par moment de grace le 8/10/2010 à 04:42
Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/


--> Dézippe le fichier avenger.zip (Clique droit > Extraire).
--> Ferme toutes les fenêtres et toutes les applications en cours et double-clique sur l'icône avenger (Icône avec l'épée).
--> Clique sur OK pour accepter les termes d'utilisation.


. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to disable:

ylerzlej
kqmcbixr

Drivers to delete:

ylerzlej
kqmcbixr

Files to delete:

c:\windows\system32\drivers\ylerzlej.sys
c:\windows\system32\drivers\kqmcbixr.sys




. Colle ce texte (Ctrl+V) dans le cadre :Input script here

. Appuie sur Execute

. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html



CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
0