Virus:Win32/alureon.HFermé

Question

Bonjour, 

j'ai un problème avec un virus,j'ai vu que des post ont deja été fait a propos de ce problème, je vous demande donc de m'aider svp =)
j'ai deja suivis (ou essayer de suivre quelques demarches sur les autres postes) ,donc voila le resultat de mon analyse : 
http://www.cijoint.fr/cjlink.php?file=cj201011/cijozdGnyX.txt
merci de bie nvouloir m'accorder un pe ude votre temps =)

gen-hackman · Answer

salut

&#9654 Télécharge TDSSKiller

&#9654 Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:	dsskiller.txt.

rock2124 · Answer

voila le rapport :  

HKLM\SYSTEM\ControlSet001\services\H8SRTd.sys - will be deleted after reboot 
HKLM\SYSTEM\ControlSet002\services\H8SRTd.sys - will be deleted after reboot 
C:\Windows\system32\drivers\H8SRTptxbmvdfxp.sys - will be deleted after reboot 
C:\Windows\system32\DRIVERS	dx.sys - will be cured after reboot

ps : merci beaucoup pour bien voulloir m'aider

gen-hackman · Answer

il n y pas que ca dans le rapport...;si ?

rock2124 · Answer

Bah euh , si apparament :x

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

rock2124 · Answer

houla houla ça devient un peu compliquer ,je vais essayer de faire de mon mieu pour suivre les instrucitons mais je suis pas tres odué en informatique, je promet rien :x 


rooh j'arrive pas a desactiver microsoft security essentials, vous ne savez pas comment faire pas hasard ?

gen-hackman · Answer

tu es tres infecté (par un rootkit nottement )

prends ton temps , ne t'affoles pas , lis bien , et tout se passera bien ;) 
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

rock2124 · Answer

oui mais j'arrive pas a desactiver la securité en temps reel :(

gen-hackman · Answer

http://social.answers.microsoft.com/Forums/fr-FR/msescanfr/thread/624fd353-6a6f-4223-a3e3-c5a325336f59

rock2124 · Answer

merci j'ai reussi a desativer l'antivirus mais est-ce normal que mon pc s'eteigne avec ecran bleu apres  ? ^^'' (lorsque je lance combofix)


AH mais je viens de lancer une analyse rapide sur mon pc et la ou auparavant il trouvait un virus ,il ne detect rie nla ,c'est plutot bon signe nn?

gen-hackman · Answer

lance combofix en mode sans echec avec prise en charge reseau

rock2124 · Answer

Euh oui mais si mon antivirus ne detect plus rien ,combofix les a peut etre suprimé ? enfin je demande juste ça comme ça ... apres je m'y connais pas xD

rock2124 · Answer

enfin c'est une question ,est-ce possible que combofix l'ai suprimé ? et que je n'ai plus rie nsur le pc? 

en tout cas merci beaucoup

gen-hackman · Answer

j'en doute regarde :

https://www.cjoint.com/?0lvslDuANPV

rock2124 · Answer

quand vous dites en mode sans echec avec prise en charge reseau ,c'est a l'allumage du pc ?

gen-hackman · Answer

oui

rock2124 · Answer

Désolé je suis vraiment nul mais je sais pas comment on fait :/

gen-hackman · Answer

héhé ^^

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la 2è option : Sans Échec avec prise en charge reseau, et valide avec "Entrée"

rock2124 · Answer

Voila donc l'analyse finie ,je copie colle le rapport :  

ComboFix 10-11-20.07 - Flo 21/11/2010  18:34:49.1.2 - x86 NETWORK 
Lancé depuis: c:\users\Flo\Desktop\Flo.exe 
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} 
. 

((((((((((((((((((((((((((((((((((((   Autres suppressions   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 

c:\programdata\sysReserve.ini 
c:\users\Flo\AppData\Local\Microsoft\Windows\Temporary Internet Files\3YXb2.jpg 
c:\users\Flo\AppData\Local\Microsoft\Windows\Temporary Internet Files\a6x2n.jpg 
c:\users\Flo\AppData\Local\Microsoft\Windows\Temporary Internet Files\BYxNYX.jpg 
c:\users\Flo\AppData\Local\Microsoft\Windows\Temporary Internet Files\xbabMO.jpg 
c:\users\Flo\AppData\Local\opRSK 
c:\users\Flo\FAVORI~1\_favdata.dat 
c:\users\Flo\Favorites\_favdata.dat 
c:\windows\PRAGMAxevnbtiyhf 
c:\windows\system32\H8SRTmfxsrhqpxi.dat 
c:\windows\system32\krl32mainweq.dll 
c:\windows\system32\srcr.dat 

. 
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   ))))))))))))))))))))))))))))))))))))))))))))))))) 
. 

-------\Legacy_PRAGMAXEVNBTIYHF 
-------\Service_PRAGMAxevnbtiyhf 


(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-21 au 2010-11-21  )))))))))))))))))))))))))))))))))))) 
. 

2010-11-21 17:42 . 2010-11-21 17:45 -------- d-----w- c:\users\Flo\AppData\Local	emp 
2010-11-21 17:42 . 2010-11-21 17:42 -------- d-----w- c:\users\Invité\AppData\Local	emp 
2010-11-21 17:42 . 2010-11-21 17:42 -------- d-----w- c:\users\flo2\AppData\Local	emp 
2010-11-21 17:42 . 2010-11-21 17:42 -------- d-----w- c:\users\droit\AppData\Local	emp 
2010-11-21 17:42 . 2010-11-21 17:42 -------- d-----w- c:\users\Default\AppData\Local	emp 
2010-11-21 16:46 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{C10285AC-CFF7-473C-8C38-303837A5AD06}\mpengine.dll 
2010-11-21 16:01 . 2010-11-21 16:14 -------- d-----w- C:	dsskiller 
2010-11-21 15:35 . 2010-11-21 15:37 -------- d-----w- c:\program files\ZHPDiag 
2010-11-10 06:17 . 2010-10-07 11:37 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat 
2010-11-02 19:25 . 2010-11-02 19:25 -------- d-----w- c:\users\droit\AppData\Local\Apple 
2010-11-02 14:41 . 2010-11-02 14:41 -------- d-----w- c:\users\droit\AppData\Roaming\vlc 
2010-10-30 11:03 . 2010-10-30 11:05 -------- d-----w- c:\users\droit\AppData\Local\Adobe 
2010-10-27 09:15 . 2010-08-26 16:34 1696256 ----a-w- c:\windows\system32\gameux.dll 
2010-10-27 09:15 . 2010-08-26 16:33 28672 ----a-w- c:\windows\system32\Apphlpdm.dll 
2010-10-27 09:15 . 2010-08-26 14:23 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll 

. 
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
2010-11-21 16:33 . 2009-09-17 07:00 72192 ----a-w- c:\windows\system32\drivers	dx.sys 
2010-11-10 04:33 . 2009-12-29 11:43 6273872 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll 
2010-11-04 10:44 . 2010-08-31 00:17 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys 
2010-10-19 20:51 . 2009-10-02 23:38 222080 ------w- c:\windows\system32\MpSigStub.exe 
2010-09-22 22:47 . 2010-09-22 22:47 49016 ----a-w- c:\windows\system32\sirenacm.dll 
2010-09-22 22:32 . 2010-09-22 22:32 301936 ----a-w- c:\windows\WLXPGSS.SCR 
2010-09-22 22:21 . 2010-10-20 12:14 39272 ----a-w- c:\windows\system32\drivers\fssfltr.sys 
2010-09-13 13:56 . 2010-10-15 05:57 8147456 ----a-w- c:\windows\system32\wmploc.DLL 
2010-09-08 06:01 . 2010-10-15 05:57 916480 ----a-w- c:\windows\system32\wininet.dll 
2010-09-08 05:57 . 2010-10-15 05:57 43520 ----a-w- c:\windows\system32\licmgr10.dll 
2010-09-08 05:57 . 2010-10-15 05:57 1469440 ----a-w- c:\windows\system32\inetcpl.cpl 
2010-09-08 05:56 . 2010-10-15 05:57 71680 ----a-w- c:\windows\system32\iesetup.dll 
2010-09-08 05:56 . 2010-10-15 05:57 109056 ----a-w- c:\windows\system32\iesysprep.dll 
2010-09-08 05:04 . 2010-10-15 05:57 385024 ----a-w- c:\windows\system32\html.iec 
2010-09-08 04:26 . 2010-10-15 05:57 133632 ----a-w- c:\windows\system32\ieUnatt.exe 
2010-09-08 04:25 . 2010-10-15 05:57 1638912 ----a-w- c:\windows\system32\mshtml.tlb 
2010-09-06 16:20 . 2010-10-15 05:56 125952 ----a-w- c:\windows\system32\srvsvc.dll 
2010-09-06 16:19 . 2010-10-15 05:56 17920 ----a-w- c:\windows\system32
etevent.dll 
2010-09-06 13:45 . 2010-10-15 05:56 304128 ----a-w- c:\windows\system32\drivers\srv.sys 
2010-09-06 13:45 . 2010-10-15 05:56 145408 ----a-w- c:\windows\system32\drivers\srv2.sys 
2010-09-06 13:45 . 2010-10-15 05:56 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys 
2010-08-31 15:46 . 2010-10-15 05:56 954752 ----a-w- c:\windows\system32\mfc40.dll 
2010-08-31 15:46 . 2010-10-15 05:56 954288 ----a-w- c:\windows\system32\mfc40u.dll 
2010-08-31 15:44 . 2010-10-15 05:56 531968 ----a-w- c:\windows\system32\comctl32.dll 
2010-08-31 13:27 . 2010-10-15 05:56 2038272 ----a-w- c:\windows\system32\win32k.sys 
2010-08-26 16:37 . 2010-10-15 05:57 157184 ----a-w- c:\windows\system32	2embed.dll 
2010-08-26 16:33 . 2010-10-27 09:15 173056 ----a-w- c:\windows\apppatch\AcXtrnal.dll 
2010-08-26 16:33 . 2010-10-27 09:15 542720 ----a-w- c:\windows\apppatch\AcLayers.dll 
2010-08-26 16:33 . 2010-10-27 09:15 458752 ----a-w- c:\windows\apppatch\AcSpecfc.dll 
2010-08-26 16:33 . 2010-10-27 09:15 2159616 ----a-w- c:\windows\apppatch\AcGenral.dll 
. 

(((((((((((((((((((((((((((((((((   Points de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés  
REGEDIT4 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920] 
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-22 4240760] 
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] 
"BitComet"="c:\program files\BitComet\BitComet.exe" [2008-08-22 2567992] 
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800] 
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752] 
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-09-15 1094224] 
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032] 
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-23 13797920] 
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-07-21 458844] 
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-04-23 468264] 
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288] 
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712] 
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008] 
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368] 
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288] 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] 
"EnableLUA"= 0 (0x0) 
"EnableUIADesktopToggle"= 0 (0x0) 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] 
@="Service" 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc] 
@="Service" 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] 
@="Service" 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 
2010-09-24 09:15 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Readereader_sl.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier] 
2009-08-13 13:51 177440 ----a-w- c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 
2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 
2009-09-21 14:36 305440 ----a-w- c:\program files\iTunes\iTunesHelper.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] 
2009-07-23 14:39 92704 ----a-w- c:\windows\System32
vmctray.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 
2009-09-04 23:54 417792 ----a-w- c:\program files\QuickTime\QTTask.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] 
2009-03-05 15:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 
2008-06-10 02:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UCam_Menu] 
2007-12-24 13:55 222504 ------w- c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] 
"DisableMonitoring"=dword:00000001 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] 
"DisableMonitoring"=dword:00000001 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] 
"DisableMonitoring"=dword:00000001 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4042280652-3374369989-2792618018-1000] 
"EnableNotificationsRef"=dword:00000002 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4042280652-3374369989-2792618018-1002] 
"EnableNotificationsRef"=dword:00000001 

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-28 135664] 
R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-11-04 1375992] 
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2010-11-04 15264] 
R3 npggsvc;npggsvc; [x] 
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-08-12 64288] 
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_e2247046\aestsrv.exe [2009-03-02 81920] 
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504] 
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-08-07 24880] 
S2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-03-26 341328] 
S2 SBKUPNT;SBKUPNT;c:\windows\system32\Drivers\SBKUPNT.SYS [2001-07-13 14976] 
S2 uvnc_service;uvnc_service;c:\program files\UltraVnc\WinVNC.exe [2008-08-30 1519168] 
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-01-24 52736] 
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-01 81296] 
S3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2010-03-25 42368] 
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480] 
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda32v.sys [2008-05-23 43552] 


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] 
LocalServiceAndNoImpersonation REG_MULTI_SZ    FontCache 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs 
ezSharedSvc 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe 
. 
Contenu du dossier 'Tâches planifiées' 

2010-11-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job 
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-28 05:43] 

2010-11-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job 
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-28 05:43] 

2010-11-21 c:\windows\Tasks\User_Feed_Synchronization-{75879855-60B3-4269-AA3E-EB1F11B7B61D}.job 
- c:\windows\system32\msfeedssync.exe [2010-10-15 04:25] 

2010-11-21 c:\windows\Tasks\User_Feed_Synchronization-{9A09D933-2336-4F6F-AF7C-D8B9D03002FE}.job 
- c:\windows\system32\msfeedssync.exe [2010-10-15 04:25] 
. 
. 
------- Examen supplémentaire ------- 
. 
uStart Page = hxxp://www.google.fr/ 
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb 
uInternet Settings,ProxyServer = http=127.0.0.1:6522 
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm 
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm 
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm 
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html 
Trusted Zone: buy-internetsecurity10.com 
Trusted Zone: buy-is2010.com 
Trusted Zone: is-software-download.com 
Trusted Zone: is-software-download25.com 
Trusted Zone: is10-soft-download.com 
Trusted Zone: buy-internetsecurity10.com 
Trusted Zone: buy-is2010.com 
DPF: {7A0D1738-10EA-47FF-92BE-4E137B5BE1A4} - hxxps://mpsnare.iesnare.com/StmOCX.cab 
. 
- - - - ORPHELINS SUPPRIMES - - - - 

HKCU-Run-Canaveral - c:\windows\system32\sshnas21.dll 
HKCU-Run-PlayNC Launcher - (no file) 
SafeBoot-klmdb.sys 
SafeBoot-Wdf01000.sys 
MSConfigStartUp-AVP - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe 
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
MSConfigStartUp-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe 



************************************************************************** 
Recherche de processus cachés ...  

Recherche d'éléments en démarrage automatique cachés ...  

Recherche de fichiers cachés ...  

Scan terminé avec succès 
Fichiers cachés:  

************************************************************************** 
. 
--------------------- CLES DE REGISTRE BLOQUEES --------------------- 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] 
@Denied: (A 2) (Everyone) 
@="FlashBroker" 
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] 
"Enabled"=dword:00000001 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] 
@="c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] 
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] 
@Denied: (A 2) (Everyone) 
@="IFlashBroker4" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] 
@="{00020424-0000-0000-C000-000000000046}" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] 
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" 
"Version"="1.0" 
. 
--------------------- DLLs chargées dans les processus actifs --------------------- 

- - - - - - - > 'Explorer.exe'(1372) 
c:\program files\Hewlett-Packard\HP QuickTouch\HPShared.dll 
. 
------------------------ Autres processus actifs ------------------------ 
. 
c:\windows\system32
vvsvc.exe 
c:\program files\Microsoft Security Essentials\MsMpEng.exe 
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_e2247046\STacSV.exe 
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 
c:\program files\Bonjour\mDNSResponder.exe 
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 
c:\program files\Common Files\LightScribe\LSSrvc.exe 
c:\program files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe 
c:\program files\HP\QuickPlay\Kernel\TV\QPSched.exe 
c:\program files\CyberLink\Shared Files\RichVideo.exe 
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 
c:\windows\System32	cpsvcs.exe 
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE 
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe 
c:\windows\system32
vvsvc.exe 
c:\windows\system32\conime.exe 
c:\windows\ehome\ehmsas.exe 
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe 
c:\program files\Synaptics\SynTP\SynTPHelper.exe 
c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE 
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe 
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe 
c:\windows\servicing\TrustedInstaller.exe 
. 
************************************************************************** 
. 
Heure de fin: 2010-11-21  18:54:14 - La machine a redémarré 
ComboFix-quarantined-files.txt  2010-11-21 17:53 

Avant-CF: 107 726 897 152 octets libres 
Après-CF: 107 639 623 680 octets libres 

- - End Of File - - 343B219A27835E49DEF5FE53DAF34788 

désolé pour la longueur ,j'espere que c'est bien le bon truc

et j'espere que vous pourriez me dire a quoi cela correspond ,si c'est bon signe et enfin si le(s) virus est/sont partis xd
merci d'avance

rock2124 · Answer

une reposne svp :sss

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Domains:: DDS:: uInternet Settings,ProxyServer = http=127.0.0.1:6522 ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Virus:Win32/alureon.H

21 réponses

Discussions similaires

Newsletters