Trojan dans winlogon

chris*69 Messages postés 104 Statut Membre -  
H3RV3 Messages postés 3661 Statut Contributeur sécurité -
Bonjour, quelqu'un peut il m'aider,Virus total me détecte ceci; nProtect Trojan-Downloader/W32.Small.512000.B, ce trojan a été trouver dans(winlogon)

merci d'avance.

16 réponses

  1. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    C'est du Bamital.

    Fais ceci :

    ● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
    Fais un clic droit sur ce lien

    ● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

    Ferme tous tes logiciels de protection et les programmes en cours

    ▲ ComboFix peut être amené à accéder à internet, il faut dans ce cas l'autoriser

    ● Sous XP : Double clique sur CBFix.exe
    ● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

    ● Clique sur le bouton Oui dans la fenêtre d'avertissement

    ● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

    ● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

    ● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
    Le rapport est sauvegardé dans C:\ComboFix.txt

    Tutorial officiel de ComboFix
    2
  2. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    Il y a de forte chance, analyse le fichier C:\Windows\explorer.exe pour en être certain.
    2
  3. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    OK, Askbar a été supprimé.
    Concernant Avast, dans 29 jours, il suffira de renouveler ta licence gratuite (çà se fait en 2/3 clics).
    Pour un antivirus payant, les licences ont des périodes de 1 à 3 ans généralement, tu es prévenu avant pour le renouvellement.
    1
  4. chris*69 Messages postés 104 Statut Membre 4
     
    voici le rapport,merci de ton aide.

    ComboFix 10-12-01.01 - g+++ 02/12/2010 16:16:54.2.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.32.1036.18.510.122 [GMT 1:00]
    Lancé depuis: c:\documents and settings\g+++\Bureau\cbfix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-02 au 2010-12-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-02 13:49 . 2010-12-02 13:49 266 ----a-w- c:\program files\shortcut-remove-arrow.xp-vista(2).reg
    2010-12-02 13:48 . 2010-12-02 13:48 266 ----a-w- c:\program files\shortcut-remove-arrow.xp-vista.reg
    2010-12-02 13:46 . 2010-12-02 13:46 686 ----a-w- c:\program files\icon-restore-arrow-shortcut.xp-vista-7.reg
    2010-12-02 11:55 . 2010-12-02 12:04 -------- dc-h--w- c:\documents and settings\All Users\Application Data\~0
    2010-12-02 11:55 . 2010-12-02 11:55 -------- d-----w- c:\documents and settings\g+++\Local Settings\Application Data\PackageAware
    2010-12-02 07:42 . 2010-12-02 07:41 401408 ----a-w- c:\windows\system32\CF13033.exe
    2010-12-01 16:43 . 2008-04-14 02:05 14720 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
    2010-12-01 16:43 . 2008-04-14 02:05 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys
    2010-11-30 16:41 . 2010-11-23 16:21 29504 ----a-w- c:\windows\system32\uxtuneup.dll
    2010-11-30 16:37 . 2010-11-23 16:25 31552 ----a-w- c:\windows\system32\TURegOpt.exe
    2010-11-30 16:36 . 2010-11-30 16:36 -------- d-----w- c:\documents and settings\g+++\Application Data\TuneUp Software
    2010-11-30 16:35 . 2010-12-01 08:02 -------- d-----w- c:\program files\TuneUp Utilities 2011
    2010-11-30 16:34 . 2010-11-30 16:42 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
    2010-11-30 16:33 . 2010-11-30 16:33 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
    2010-11-29 14:02 . 2010-11-29 21:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
    2010-11-28 19:32 . 2010-11-28 19:32 2963664 ----a-w- c:\program files\ccsetup301.exe
    2010-11-28 16:44 . 2010-11-28 16:44 -------- d-----w- c:\program files\Prevent Restore 3
    2010-11-28 16:43 . 2010-11-28 16:43 2317123 ----a-w- c:\program files\setup_prevent_restore.exe
    2010-11-28 16:05 . 2010-12-02 12:07 -------- d-----w- c:\program files\CodeStuff
    2010-11-24 12:43 . 2010-11-24 12:57 -------- d-----w- c:\program files\Wise Registry Cleaner
    2010-11-24 11:15 . 2010-11-24 11:17 -------- d-----w- c:\documents and settings\g+++\Application Data\SumatraPDF
    2010-11-24 11:15 . 2010-11-24 11:15 -------- d-----w- c:\program files\SumatraPDF
    2010-11-24 11:15 . 2010-11-24 11:15 1742211 ----a-w- c:\program files\SumatraPDF-1.1-install.exe
    2010-11-24 11:00 . 2010-11-24 11:00 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Application Updater
    2010-11-24 10:06 . 2010-11-24 10:08 -------- d-----w- c:\program files\IZArc
    2010-11-23 20:01 . 2010-11-23 20:01 -------- d-----w- c:\program files\Fichiers communs\Java
    2010-11-23 20:01 . 2010-09-15 03:50 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    2010-11-23 20:01 . 2010-09-15 03:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
    2010-11-23 19:59 . 2010-11-23 19:59 875296 ----a-w- c:\program files\jre-6u22-windows-i586-iftw-rv.exe
    2010-11-21 09:32 . 2010-11-21 10:16 -------- d-----w- c:\program files\Fichiers communs\Innovative Solutions
    2010-11-21 09:32 . 2010-11-21 10:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Innovative Solutions
    2010-11-21 09:25 . 2010-11-21 09:25 -------- d-----w- c:\documents and settings\g+++\Application Data\ProtectStar
    2010-11-21 08:46 . 2004-07-15 23:20 733184 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll
    2010-11-21 08:46 . 2004-07-15 23:20 69715 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll
    2010-11-21 08:46 . 2004-07-15 23:19 266240 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll
    2010-11-21 08:46 . 2004-07-15 23:18 172032 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll
    2010-11-21 08:46 . 2010-11-21 08:46 303236 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll
    2010-11-21 08:46 . 2010-11-21 08:46 180356 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll
    2010-11-20 22:45 . 2004-07-15 23:18 5632 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe
    2010-11-19 17:13 . 2010-11-19 17:51 -------- d-----w- c:\documents and settings\g+++\Application Data\FTWeak
    2010-11-19 16:44 . 2010-11-19 16:44 -------- d-----w- c:\documents and settings\g+++\Application Data\QuickScan
    2010-11-18 16:26 . 2010-11-18 16:52 -------- d-----w- c:\documents and settings\g++\Local Settings\Application Data\Temp
    2010-11-13 19:20 . 2010-11-13 19:21 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-11-12 18:46 . 2010-11-12 18:46 4280320 -c--a-w- c:\windows\system32\GPhotos.scr
    2010-11-11 16:07 . 2010-11-11 16:07 -------- d-sh--w- c:\documents and settings\g+++\UserData
    2010-11-03 18:32 . 2010-11-03 19:04 -------- d-----w- c:\documents and settings\g+++\Local Settings\Application Data\Conduit
    2010-11-03 18:05 . 2010-11-03 18:06 48086528 ----a-w- c:\program files\zaSetup_92_091_000_fr.exe
    2010-11-03 17:39 . 2010-11-03 17:39 -------- d-----w- c:\documents and settings\g+++\Application Data\Avira
    2010-11-03 17:29 . 2010-11-03 17:30 54115280 ----a-w- c:\program files\avira_antivir_personal_free(2).exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-11-29 16:42 . 2009-01-28 10:10 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-11-29 16:42 . 2009-01-28 10:10 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys
    2010-11-29 14:06 . 2009-10-28 07:51 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
    2010-10-09 09:47 . 2010-10-09 09:59 134946144 -c--a-w- c:\program files\OOo_3.2.1_Win_x86_install_fr.exe
    2010-09-18 10:23 . 2006-03-02 12:00 974848 -c--a-w- c:\windows\system32\mfc42u.dll
    2010-09-18 06:53 . 2006-03-02 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
    2010-09-18 06:53 . 2006-03-02 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
    2010-09-18 06:53 . 2006-03-02 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
    2010-09-15 01:29 . 2009-06-05 15:08 73728 ----a-w- c:\windows\system32\javacpl.cpl
    2010-09-10 05:50 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-09-10 05:50 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
    2010-09-10 05:50 . 2006-03-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
    2010-07-17 11:00 . 2010-07-17 11:00 8649816 -c--a-w- c:\program files\Firefox Setup 3.6.6.exe
    2010-04-07 17:52 . 2010-04-07 17:52 961536 -c--a-w- c:\program files\WOT-latest-fr.msi
    2010-01-14 11:48 . 2010-01-14 11:48 318904 -c--a-w- c:\program files\wmpfirefoxplugin.exe
    2009-11-06 20:43 . 2009-11-06 20:43 8028784 -c--a-w- c:\program files\eChanblard.exe
    2009-09-12 09:30 . 2009-09-12 09:30 7076776 -c--a-w- c:\program files\PandoSetup.exe
    2009-06-29 11:24 . 2009-06-29 11:24 1161576 -c--a-w- c:\program files\wlsetup-custom.exe
    2009-03-24 20:15 . 2009-03-24 20:14 3342809 -c--a-w- c:\program files\eMule0.49c-Installer.exe
    2009-02-21 09:00 . 2009-02-21 09:00 391680 -c--a-w- c:\program files\dvdpack.msi
    2009-02-21 08:52 . 2009-02-21 08:52 14587982 -c--a-w- c:\program files\klcodec462f.exe
    2009-02-13 07:59 . 2009-02-13 07:58 16409960 -c--a-w- c:\program files\spybotsd162.exe
    2009-01-09 18:01 . 2009-01-09 18:29 41429340 -c--a-w- c:\program files\OnTrack EasyRecovery Professional 6.10.07.exe
    2009-01-09 14:49 . 2009-01-09 14:49 4960824 -c--a-w- c:\program files\pando_pando_free_2.1.5.7_anglais_18180.exe
    2009-01-06 09:51 . 2009-01-06 09:51 6113439 -c--a-w- c:\program files\pc-inspector_pc_inspector_4.0_francais_11048.exe
    2008-12-27 20:53 . 2008-12-27 20:53 10024504 -c--a-w- c:\program files\picasa3-setup.exe
    2008-12-13 17:08 . 2008-12-13 16:53 125548672 -c--a-w- c:\program files\178.24_geforce_winxp_32bit_international_whql.exe
    2008-12-03 12:00 . 2008-12-03 12:00 556675 -c--a-w- c:\program files\avicodec_avicodec_1.2_build_110_francais_11101.exe
    2008-11-25 13:34 . 2008-11-25 13:33 6745696 -c--a-w- c:\program files\Shareaza_2.4.0.0.exe
    2008-11-25 10:09 . 2008-11-25 10:09 610648 -c--a-w- c:\program files\incredimail_install.exe
    2008-11-24 22:17 . 2008-11-24 22:17 467894 -c--a-w- c:\program files\tclockex.exe
    2008-11-24 18:47 . 2008-11-24 18:44 25839688 -c--a-w- c:\program files\wmp11-windowsxp-x86-FR-FR.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TClockEx"="c:\program files\TClockEx\TCLOCKEX.EXE" [2000-03-09 89088]
    "IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2010-12-01 353736]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoResolveTrack"= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "classic shell"= 0 (0x0)
    "force active desktop on"= 0 (0x0)
    "no active desktop"= 1 (0x1)
    "no active desktop changes"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BTTray.lnk]
    backup=c:\windows\pss\BTTray.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    2005-05-03 10:43 69632 -c----r- c:\windows\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cloneur Expert Monitor]
    2009-01-13 16:54 443116 -c--a-w- c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus SX400 Series]
    2007-12-17 15:00 188928 -c--a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIEGE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]
    2008-04-14 02:34 172544 -c--a-w- c:\windows\pchealth\helpctr\binaries\msconfig.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2009-07-26 14:44 3883856 -c--a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    2008-10-07 12:33 13574144 -c--a-w- c:\windows\system32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
    2009-09-02 08:42 4052152 -c--a-w- c:\program files\Pando Networks\Pando\pando.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    2007-04-12 09:33 16132608 -c----r- c:\windows\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "KodakCCS"=3 (0x3)
    "AcrSch2Svc"=2 (0x2)
    "0158611236679602mcinstcleanup"=2 (0x2)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "ctfmon.exe"=c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "MSConfig"=c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
    "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
    "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Shareaza\\Shareaza.exe"=
    "c:\\Program Files\\eChanblard\\emule.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/12/2009 12:11 135336]
    R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [23/11/2010 17:23 1483072]
    R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [7/10/2010 13:34 10064]
    S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/11/2010 17:25 136176]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.be/
    mStart Page = hxxp://www.ustart.org
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://search.yahoo.com/search?fr=mcafee&p=%s
    IE: &NeoTrace It! - c:\progra~1\NeoTrace Express\NTXcontext.htm
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    FF - ProfilePath - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1841610&SearchSource=3&q={searchTerms}
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/firefox
    FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
    FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npkimi.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Extension: Firefox Companion for eBay: {62760FD6-B943-48C9-AB09-F99C6FE96088} - c:\program files\Mozilla Firefox\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}
    FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Extension: Dictionnaire français «Classique»: fr-FR@dictionaries.addons.mozilla.org - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\fr-FR@dictionaries.addons.mozilla.org
    FF - Extension: Fast Video Download (with SearchMenu): {c50ca3c4-5656-43c2-a061-13e717f73fc8} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{c50ca3c4-5656-43c2-a061-13e717f73fc8}
    FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Extension: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
    FF - Extension: eBay Sidebar for Firefox: {62760FD6-B943-48C9-AB09-F99C6FE96088} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}
    FF - Extension: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

    ---- PARAMETRES FIREFOX ----
    FF - user.js: network.http.max-connections-per-server - 6
    FF - user.js: network.http.max-persistent-connections-per-server - 3
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-12-02 16:23
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(588)
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\progra~1\Spybot - Search & Destroy\SDHelper.dll
    .
    Heure de fin: 2010-12-02 16:26:35
    ComboFix-quarantined-files.txt 2010-12-02 15:26

    Avant-CF: 122.854.326.272 octets libres
    Après-CF: 122.815.520.768 octets libres

    - - End Of File - - 4DEA63C83141B05A3F9BCFA5CC23FB03
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bizarre, on va analyser deux fichiers :

    ● Va sur le site VirusTotal

    ● Clique sur le bouton "parcourir"

    ● Recherche le fichier présent ici ==> C:\Windows\winlogon.exe

    ● Clique sur le bouton "Send file"

    ● Patiente pendant le transfert du fichier

    ● Si un message apparaît, clique sur Reanalyse

    ● Copie/colle l'adresse présente dans la barre d'adresse dans ta réponse

    Aide en images

    Refais la manip avec ce fichier : C:\Windows\explorer.exe
    0
  7. chris*69 Messages postés 104 Statut Membre 4
     
    voici l'adresse

    http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1291305292

    http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1291305611
    0
  8. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    OK, en fait un seul antivirus sur les 43 détecte le fichier comme infecté.

    Il s'agit d'un faux positif, ton fichier winlogon.exe n'est pas infecté.
    0
  9. chris*69 Messages postés 104 Statut Membre 4
     
    ok c'est mieux ainsi ;) je te remercie de ton coup de main,bonne soiree et merci.
    0
  10. victime_virus
     
    Salut,

    Je suis dans la même situation que chris... Est-ce certain que si on n'a que 1/43 dans le winlogon c'est une fausse alerte...???? Merci d'avance :)
    0
  11. victime_virus
     
    Salut,

    Merci pour le temps accordé ;)

    Pour personnaliser un peu mon cas, je dois dire qu'hier soir j'ai vu apparaître les pages gomeo, gogoel etc des dizaines de dizaines de fois, surtout sur les recherches google à la base (mais pas que). Je me suis ensuite rendu compte que par je ne sais quelle opération du saint esprit, je surfais sans antivirus !!! :o :'(
    J'ai ensuite immédiatement installé avast au plus vite. J'ai analysé mon fichier winlogon comme décrit au dessus, et moi aussi le même fichier sur 43, et touché par le même nom de virus... Sur explorer j'ai 0/43...

    J'ai utilisé combofix, j'en ai le rapport, si besoin est, je peux le poster...

    En fin de compte, j'ai du mal à croire que je ne sois pas touché, m'étant baladé sur le net sans antivirus, et en plus ayant remarqué le virus gomeo eyes on the web, je suis plutôt pessimiste...

    Je me permets de vous demander quelques éclaircissements, si possible.
    Un grand merci par avance.
    0
  12. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Effectivement si tu avais des pages Gomeo, c'est différent.
    Mais Combofix a peut être fait le ménage, copie/colle le rapport.
    0
  13. victime_virus
     
    voilà mon rapport combo fix :
    ComboFix 10-12-04.01 - Toninho 05/12/2010 3:48.1.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.563 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Toninho\Bureau\cbfix.exe.exe
    AV: avast! Internet Security *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    FW: avast! Internet Security *disabled* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\Toninho\LOCALS~1\Temp\{B68B46D1-D15B-49C1-A3BD-4F7F9569A0E1}\1701.dll
    c:\windows\system32\Thumbs.db

    Une copie infectée de c:\windows\system32\drivers\ntfs.sys a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\I386\NTFS.SYS

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-05 au 2010-12-05 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-05 02:27 . 2010-09-07 15:53 340048 ----a-w- c:\windows\system32\drivers\aswSnx.sys
    2010-12-05 02:27 . 2010-09-07 15:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-12-05 02:27 . 2010-09-07 15:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-12-05 02:27 . 2010-09-07 15:54 99792 ----a-w- c:\windows\system32\drivers\aswFW.sys
    2010-12-05 02:27 . 2010-09-07 15:53 190416 ----a-w- c:\windows\system32\drivers\aswNdis2.sys
    2010-12-05 02:27 . 2010-09-07 15:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-12-05 02:27 . 2010-09-07 15:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-12-05 02:27 . 2010-09-07 15:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-12-05 02:27 . 2010-09-07 15:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-12-05 02:27 . 2010-09-07 15:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-12-05 02:26 . 2010-09-07 15:24 12112 ----a-w- c:\windows\system32\drivers\aswNdis.sys
    2010-12-05 02:26 . 2010-09-07 16:12 38848 ----a-w- c:\windows\avastSS.scr
    2010-12-05 02:26 . 2010-09-07 16:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
    2010-12-05 02:26 . 2010-12-05 02:26 -------- d-----w- c:\program files\Alwil Software
    2010-12-05 02:26 . 2010-12-05 02:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
    2010-12-05 01:44 . 2010-12-05 01:44 -------- d-----w- c:\program files\Ad-Remover
    2010-11-28 23:14 . 2010-11-28 23:14 -------- d-----w- c:\documents and settings\Toninho\LimeWire
    2010-11-28 23:10 . 2010-11-28 23:10 471040 --sh--w- c:\windows\system32\atlrgwiz.dll
    2010-11-28 23:10 . 2010-11-28 23:10 55808 --sh--w- c:\windows\system32\printrgwiz.dll
    2010-11-28 23:08 . 2010-11-28 23:08 3023872 ----a-w- c:\documents and settings\Toninho\Application Data\quickzip51.msi
    2010-11-20 00:14 . 2010-11-20 09:04 -------- d-----w- c:\windows\SxsCaPendDel
    2010-11-16 22:41 . 2010-11-16 22:41 323624 ----a-w- c:\windows\system32\wiaaut.dll
    2010-11-05 21:06 . 2010-11-05 21:06 -------- d-----w- c:\documents and settings\All Users\Application Data\CyberLink
    2010-11-05 21:05 . 2010-11-05 21:05 -------- d-----w- c:\documents and settings\Toninho\Local Settings\Application Data\CyberLink
    2010-11-05 21:05 . 2010-11-05 21:05 -------- d-----w- c:\documents and settings\Toninho\Application Data\CyberLink
    2010-11-05 20:50 . 2008-04-13 18:33 54784 ----a-w- c:\windows\system32\drivers\vfwwdm32.dll
    2010-11-05 20:48 . 2010-11-05 20:50 -------- d-----w- c:\program files\CyberLink
    2010-11-05 20:46 . 2010-11-05 20:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Temp

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-18 10:23 . 2009-04-16 13:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
    2010-09-18 06:53 . 2009-04-16 13:00 974848 ----a-w- c:\windows\system32\mfc42.dll
    2010-09-18 06:53 . 2009-04-16 13:00 954368 ----a-w- c:\windows\system32\mfc40.dll
    2010-09-18 06:53 . 2009-04-16 13:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
    2010-09-15 02:50 . 2010-06-15 22:24 472808 ----a-w- c:\windows\system32\deployJava1.dll
    2010-09-15 00:29 . 2010-06-15 22:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
    2010-09-09 13:34 . 2009-04-16 13:00 832512 ----a-w- c:\windows\system32\wininet.dll
    2010-09-09 13:34 . 2009-04-16 13:00 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-09-09 13:34 . 2009-04-16 13:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
    2010-09-09 13:34 . 2009-04-16 13:00 17408 ----a-w- c:\windows\system32\corpol.dll
    2010-09-08 15:57 . 2009-04-16 13:00 389120 ----a-w- c:\windows\system32\html.iec
    2010-09-06 18:37 . 2010-09-06 18:37 4608 ----a-r- c:\documents and settings\Toninho\Application Data\Microsoft\Installer\{87AF4C0E-D953-424B-8108-3127CA217E6F}\RunAsAdmin.exe
    2010-09-06 18:37 . 2010-09-06 18:37 151552 ----a-r- c:\documents and settings\Toninho\Application Data\Microsoft\Installer\{87AF4C0E-D953-424B-8108-3127CA217E6F}\ShellRegister.exe
    2010-09-06 18:37 . 2010-09-06 18:37 142848 ----a-r- c:\documents and settings\Toninho\Application Data\Microsoft\Installer\{87AF4C0E-D953-424B-8108-3127CA217E6F}\QuickZip.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    2010-09-28 21:44 1400712 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

    [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

    [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\snxPluginsShell]
    @="{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}"
    [HKEY_CLASSES_ROOT\CLSID\{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}]
    2010-09-07 16:14 152160 ----a-w- c:\program files\Alwil Software\Avast5\snxPlugins.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
    "AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
    "AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
    "AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-01-15 1418536]
    "SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-01-15 79144]
    "lxdimon.exe"="c:\program files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-07-16 434864]
    "lxdiamon"="c:\program files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-07-16 25264]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
    "YouCam Mirage"="c:\program files\CyberLink\YouCam\YCMMirage.exe" [2010-08-20 136488]
    "YouCam Tray"="c:\program files\CyberLink\YouCam\YouCamTray.exe" [2010-08-20 162912]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Cholin\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

    c:\documents and settings\Toninho\Menu D'marrer\Programmes\D'marrage\
    OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
    SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-4-23 376832]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2010-09-24 09:15 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\WINDOWS\\system32\\lxdicoms.exe"=
    "c:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe"=
    "c:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
    "c:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe"=
    "c:\\WINDOWS\\system32\\lxdicfg.exe"=
    "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
    "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
    "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"=
    "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdiwbgw.exe"=
    "c:\\Documents and Settings\\Toninho\\Mes documents\\Téléchargements\\u96\\u96.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\WINDOWS\\system32\\lxdiih.exe"=
    "c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
    "c:\\Program Files\\SopCast\\SopCast.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\FrostWire\\FrostWire.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
    "c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

    R0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\drivers\aswNdis.sys [05/12/2010 03:26 12112]
    R0 aswNdis2;avast! Firewall Core Firewall Service;c:\windows\system32\drivers\aswNdis2.sys [05/12/2010 03:27 190416]
    R1 aswFW;avast! TDI Firewall driver;c:\windows\system32\drivers\aswFW.sys [05/12/2010 03:27 99792]
    R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [05/12/2010 03:27 340048]
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [05/12/2010 03:27 165584]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [05/12/2010 03:27 17744]
    R2 lxdi_device;lxdi_device;c:\windows\system32\lxdicoms.exe -service --> c:\windows\system32\lxdicoms.exe -service [?]
    R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdiserv.exe [18/10/2009 18:45 99248]
    R3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\drivers\clwvd.sys [20/08/2010 10:49 27632]
    R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/04/2009 03:41 38912]
    R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/04/2009 03:41 39040]
    S2 avast! Firewall;avast! Firewall;c:\program files\Alwil Software\Avast5\afwServ.exe [05/12/2010 03:26 119200]
    S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23/04/2009 14:44 1684736]
    S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    2010-12-05 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
    - c:\program files\Ask.com\UpdateTask.exe [2010-09-28 21:44]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://shop.thefreevpn.com/home.php
    uInternet Connection Wizard,ShellNext = iexplore
    uInternet Settings,ProxyOverride = local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    FF - ProfilePath - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: network.proxy.http - localhost
    FF - prefs.js: network.proxy.http_port - 9666
    FF - prefs.js: network.proxy.socks - localhost
    FF - prefs.js: network.proxy.socks_port - 9050
    FF - prefs.js: network.proxy.ssl - localhost
    FF - prefs.js: network.proxy.ssl_port - 9666
    FF - prefs.js: network.proxy.type - 4
    FF - plugin: c:\documents and settings\Toninho\Application Data\Facebook\npfbplugin_1_0_1.dll
    FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: c:\program files\Veetle\Player\npvlc.dll
    FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
    FF - plugin: c:\program files\Veetle\VLCBroadcast\npvbp.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Extension: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Extension: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
    FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Extension: Facebook Bifle: fbbifle1@fbext.fr - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\fbbifle1@fbext.fr
    FF - Extension: Facebook On s'en fout: fbosef1@fbext.fr - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\fbosef1@fbext.fr
    FF - Extension: vShare: vshare@toolbar - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\vshare@toolbar
    FF - Extension: Xuxen IV: eu@dictionaries.addons.mozilla.org - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\eu@dictionaries.addons.mozilla.org
    FF - Extension: British English Dictionary: en-GB@dictionaries.addons.mozilla.org - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\en-GB@dictionaries.addons.mozilla.org
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Toolbar-{66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
    AddRemove-Motocross The Force - c:\program files\Motocross The Force 9XX\uninstall.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-12-05 12:37
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(1744)
    c:\windows\system32\btmmhook.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\btncopy.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\program files\WIDCOMM\Bluetooth Software\btkeyind.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\lxdicoms.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\RTHDCPL.EXE
    c:\windows\system32\igfxsrvc.exe
    c:\windows\system32\igfxext.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\rundll32.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-12-05 12:42:15 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-12-05 11:42

    Avant-CF: 12 652 855 296 octets libres
    Après-CF: 14 361 829 376 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    - - End Of File - - 0FF052B3E7278EAE812A48DD31BE2048

    Voici donc ce qu'il en est ressorti, a part ça je viens de terminer un scan minutieux via la version d'essai d'avast, il m'a trouvé 2 fichiers infectés que j'ai supprimés.
    0
  14. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Actuellement, quels problèmes rencontres-tu encore ?
    0
  15. victime_virus
     
    A vrai dire, je crois que gomeo a disparu (je croise les doigts) et rien de très anormal, si ce n'est que mon ordinateur rame un peu, ce qu'il ne faisait pas, ou pas autant avant, mais peut etre du aussi a certaines applications telles combofix ou le scan avast... Bizarre puisque je n'ai pas fait grand chose pour supprimer tout ce que j'aurais pu choper sur Internet sans antivirus...

    Sinon je profite d'avoir quelqu'un qui s'y connait en face de moi pour demander un mini conseil, si je devais choisir un antivirus (de la part du papa Noël ?? :p) que choisir à bas prix pour être efficace sachant que je ne fais rien de spécial sur mon pc que le net, et qq téléchargements anodins? Car je crois que la version gratuite d'avast ne dure qu'un mois...

    Merci H3RV3 ;)
    0
  16. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, Combofix a donc bien fait son travail.

    Tu as encore une toolbar infectieuse (Askbar) que l'on va supprimer :

    Les Toolbars sont généralement proposées en accompagnement d'autres logiciels à leur installation.
    Quand tu installes un logiciel, prends le temps de lire les options d'installation et décoche les programmes additionnels inutiles (ne clique pas bêtement sur "suivant").


    ● Télécharge Ad-Remover sur ton bureau en cliquant sur le bouton Download de cette page

    ● Double clique sur AD-R.exe

    ● Au menu principal choisis l'option "Nettoyer"

    ● Patiente pendant que l'outil fait son travail

    ● Un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\Ad-report.log

    Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.

    Concernant Avast, il est gratuit sans limite de temps et sera suffisant (sachant que le plus important soit que tu restes vigilant).
    0
  17. victime_virus
     
    mmmh oui Ad Remover je l'ai déjà, j'avais seulement scanné, je viens de nettoyer voilà le rapport du clean :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 11/11/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:00:55 le 06/12/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Toninho@EEEPC ( )

    ============== ACTION(S) ==============

    Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    Dossier supprimé: C:\Documents and Settings\Toninho\Application Data\Mozilla\FireFox\Profiles\g9xle9k9.default\conduit
    Dossier supprimé: C:\Program Files\Ask.com
    Dossier supprimé: C:\Documents and Settings\Toninho\Local Settings\Application Data\AskToolbar

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\Toninho\Application Data\Mozilla\FireFox\Profiles\g9xle9k9.default\Prefs.js --
    Ligne supprimée:
    Ligne supprimée:
    Ligne supprimée: user_pref("CT2452474.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne supprimée: user_pref("CT2452474.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT245...
    Ligne supprimée: user_pref("extensions.asktb.cbid", "FN");
    Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&...
    Ligne supprimée: user_pref("extensions.asktb.first-launch-url", "hxxp://www.peertracking.com/track/?cid=005&eid=003qt...
    Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);
    Ligne supprimée: user_pref("extensions.asktb.l", "dis");
    Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1291511219044");
    Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR");
    Ligne supprimée: user_pref("extensions.asktb.o", "14197");
    Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
    Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
    Ligne supprimée: user_pref("extensions.asktb.r", "3");
    Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true);
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé supprimée: HKCU\Software\Ask.com
    Clé supprimée: HKCU\Software\AskToolbar
    Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.12 (fr)] **

    -- C:\Documents and Settings\Toninho\Application Data\Mozilla\FireFox\Profiles\g9xle9k9.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Toninho\\Mes documents\\Mes images
    browser.startup.homepage, hxxp://www.google.fr/
    browser.startup.homepage_override.mstone, rv:1.9.2.12
    privacy.popups.showBrowserMessage, false

    -- C:\Documents and Settings\******\Application Data\Mozilla\FireFox\Profiles\hf4l57sr.default\Prefs.js --
    browser.startup.homepage_override.mstone, rv:1.9.2.10

    ========================================

    ** Internet Explorer Version [7.0.5730.13] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 15 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 06/12/2010 (2191 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 05/12/2010 (5896 Octet(s))

    Fin à: 18:02:40, 06/12/2010

    ============== E.O.F ==============

    Quant à AskToolbar, qui m'a l'air d'avoir été heureusement supprimée, je la refuse systématiquement, comme tout autre composant additionnel du genre lors de mes installations. D'ailleurs, c'est comme ça que mon problème a démarré. L'autre soir, j'ai ouvert Mozilla Firefox, et il s'est ouvert avec des réglages totalement inhabituels, avec Ask Toolbar en place, Gomeo (je crois) en page d'accueil, etc... Vraiment bizarre, d'autant que je n'avais rien installé, me semble-t-il. En tout cas merci pour ton aide. Dernière question, Avast me précise que dans 29 jours, ma période d'essai se termine, il faudra que j'achète. Bluff ? si oui comment ne pas me retrouver sans antivirus, et sans payer....
    Et pour savoir d'où a pu venir le fait que mon antivirus a disparu, au bout de combien de temps un antivirus classique lors de l'achat d'un PC Windows perd-il sa licence ? Est-on alors prévenu ??? :o
    Merci encore et bon courage ;
    0