Security Tool.

milk-shaiik Messages postés 6 Statut Membre -  
milk-shaiik Messages postés 6 Statut Membre -
Bonjour,

J'ai attrapé aujourd'hui cette salo*erie de Security Tool, j'ai donc utilisé ZHP pour le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijKz1ywEd.txt

Que dois-je faire à présent pour le faire partir ?

4 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    Toujours dans ce mode sans echec avec prise en charge réseau:

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    0
  2. milk-shaiik Messages postés 6 Statut Membre
     
    Voilà le rapport. Et maintenant ?

    ComboFix 10-10-09.01 - Administrateur 09/10/2010 22:41:15.2.1 - FAT32x86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.756 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Mes documents\asdehi.exe
    AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Administrateur\Recent\Thumbs.db
    c:\documents and settings\océane_2\Application Data\PriceGong
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\1.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\a.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\b.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\c.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\d.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\e.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\f.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\g.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\h.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\i.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\J.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\k.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\l.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\m.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\mru.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\n.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\o.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\p.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\q.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\r.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\s.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\t.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\u.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\v.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\w.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\x.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\y.xml
    c:\documents and settings\océane_2\Application Data\PriceGong\Data\z.xml
    c:\documents and settings\océane_2\Application Data\Sky-Banners
    c:\documents and settings\océane_2\Application Data\Street-Ads
    c:\documents and settings\océane_2\Application Data\SystemProc

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-09 au 2010-10-09 ))))))))))))))))))))))))))))))))))))
    .

    2010-10-09 20:32 . 2010-10-09 20:32 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
    2010-10-09 20:05 . 2010-10-09 20:05 -------- d-----w- C:\FOUND.002
    2010-10-09 19:22 . 2010-10-09 19:22 -------- d-----w- c:\program files\ZHPDiag
    2010-10-09 18:44 . 2010-10-09 18:44 -------- d-----w- C:\FOUND.001
    2010-10-09 17:16 . 2010-10-09 17:16 -------- d-----w- C:\FOUND.000
    2010-10-09 15:05 . 2010-10-09 15:05 -------- d-----w- c:\program files\PhotoFiltre
    2010-10-09 09:06 . 2010-10-09 09:06 -------- d-----w- c:\program files\ConvertHelper
    2010-10-09 08:34 . 2010-10-09 08:34 0 ----a-w- c:\windows\nsreg.dat
    2010-10-09 07:57 . 2010-10-09 07:57 -------- d-----w- c:\windows\Freecorder
    2010-10-09 07:57 . 2010-10-09 07:57 -------- d-----w- c:\program files\Freecorder
    2010-10-06 18:54 . 2010-10-06 18:54 -------- d-----w- c:\program files\LimeWire
    2010-09-28 17:10 . 2010-09-28 17:10 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
    2010-09-14 16:52 . 2010-09-14 16:52 -------- d-----w- c:\program files\MarkAny
    2010-09-14 16:52 . 2010-09-14 16:52 -------- d-----w- c:\program files\Samsung

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-10-09 07:58 . 2005-07-29 15:57 81816 ----a-w- c:\windows\system32\perfc00C.dat
    2010-10-09 07:58 . 2005-07-29 15:57 502688 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-18 19:34 . 2010-08-18 19:34 -------- d-----w- c:\program files\CDex
    2010-08-17 13:17 . 2004-08-05 03:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
    2010-08-12 11:13 . 2010-08-12 11:13 -------- d-----w- c:\program files\Microsoft Security Essentials
    2010-07-26 07:38 . 2009-05-09 15:44 87608 ----a-w- c:\documents and settings\océane_2\Application Data\inst.exe
    2010-07-26 07:38 . 2009-05-09 15:44 47360 ----a-w- c:\documents and settings\océane_2\Application Data\pcouffin.sys
    2010-07-22 15:48 . 2004-08-05 03:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
    2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-08 77824]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-08 114688]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-08-26 53248]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-07-20 729177]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
    "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-31 147456]
    "RTHDCPL"="RTHDCPL.EXE" [2005-08-26 14837248]
    "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-07-26 69632]
    "EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-07-15 196608]
    "Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-07-15 2985472]
    "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2005-10-13 593920]
    "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 393216]
    "ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-14 2462208]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-30 149280]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-18 421888]
    "MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

    c:\documents and settings\catherine\Menu D'marrer\Programmes\D'marrage\
    ChkDisk.lnk - c:\windows\system32\rundll32.exe [2004-8-5 33792]

    c:\documents and settings\estelle\Menu D'marrer\Programmes\D'marrage\
    ChkDisk.lnk - c:\windows\system32\rundll32.exe [2004-8-5 33792]

    c:\documents and settings\oc'ane_2\Menu D'marrer\Programmes\D'marrage\
    ChkDisk.lnk - c:\windows\system32\rundll32.exe [2004-8-5 33792]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Messenger\\MSMSGS.EXE"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
    "c:\\Program Files\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "443:TCP"= 443:TCP:https
    "21:TCP"= 21:TCP:ftp
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

    S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [02/11/2009 20:49 233472]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 12:52 135664]
    S2 RDFLabel;RDFLabel;c:\program files\ICRAplus\RDFLabel\RDFLabel.exe -PICRAplusID01F --> c:\program files\ICRAplus\RDFLabel\RDFLabel.exe -PICRAplusID01F [?]
    S3 AVerE506;AVerE506 service;c:\windows\system32\drivers\AVerE506.sys [14/06/2005 18:12 480512]
    S3 AVerM115;AVerM115 service;c:\windows\system32\drivers\AVerM115.sys [14/07/2005 16:14 692992]
    S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [02/11/2009 20:49 36608]
    S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [02/11/2009 20:50 90112]
    S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [02/11/2009 20:50 14976]
    S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [02/11/2009 20:50 121856]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-10-09 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-26 11:07]

    2010-10-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:52]

    2010-10-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:52]

    2010-09-24 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

    2010-10-09 c:\windows\Tasks\MP Scheduled Scan.job
    - c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]

    2010-10-09 c:\windows\Tasks\MpIdleTask.job
    - c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://global.acer.com
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-NPSStartup - (no file)

    "ImagePath"="\"c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe\"\00|\00\00\00\00\00\00\00\00\00\00\00\002\00\00\00\00\00Q\02pè\13\00pè\13\00\18î`|x"
    [\02ÿÿÿÿm\05'|x\01\15\00\00\00\15\00\00\00\00\00ö\1b"

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1646128911-802950969-2022472529-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e4,40,1e,a6,a0,09,5e,41,b8,ac,44,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e4,40,1e,a6,a0,09,5e,41,b8,ac,44,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(764)
    c:\windows\system32\Ati2evxx.dll
    .
    Heure de fin: 2010-10-09 22:47:49
    ComboFix-quarantined-files.txt 2010-10-09 20:47
    ComboFix2.txt 2010-08-12 10:57

    Avant-CF: 3 049 816 064 octets libres
    Après-CF: 4 249 845 760 octets libres

    - - End Of File - - 5FA025C8393C85CB71B23EF300D14CE9
    0
  3. Utilisateur anonyme
     
    Bonjour

    Procède maintenant en mode normal;

    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's.

    Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+
    0
  4. milk-shaiik Messages postés 6 Statut Membre
     
    Merci !
    0