Sujet Précédent Sujet Suivant

Probleme gomeo

Fermé
furio88 - 15 déc. 2010 à 13:46
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 - 18 déc. 2010 à 16:11
bonjour ,


J'ai un soucis de redirection depuis quelques jours apres analyse avec Avast 2 virus de trouves je les ai supprimes puis plus de redirection et voila que ca reprend hier et avast ne peut plus les supprimes un fichier plus exactement se trouvant dans
C:\WINDOWS\systeme32\winlogon.exe
J'aurais besoin que l'on m'aide svp merci d'avance
A voir également:

19 réponses

Réponse 1 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 13:50
Salut

Encore heureux qu'il ne supprime pas winlogon ^^

Fais ceci :

* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC

▶ Télécharge Combofix de sUBs et enregistre le [b]sur le Bureau.[/b]

désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Je te conseille d'installer la console de récupération !!

ensuite envois le rapport stp

++
0
Réponse 2 / 19
furio88
15 déc. 2010 à 13:56
bonjour et merci de repondre
comment faire sous windows xp et pour Combofix je n'arrive pas a le mettre sur le bureau il est enregistre directement
0
Réponse 3 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 13:59
Salut

Sous XP tu lance Combofix directement en faisant un double clique dessus. Pour l'enregistrer sur ton bureau lors du téléchargement tu a le choix entre executer et enregistrer. Tu clique sur enregistrer et tu choisi le bureau ;)

++
0
Réponse 4 / 19
furio88
15 déc. 2010 à 14:39
Voila le rapport de combofix :

ComboFix 10-12-14.05 - Yann et dede 15/12/2010 14:16:06.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1470.1053 [GMT 1:00]
Lancé depuis: c:\documents and settings\Yann et dede\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Yann et dede\Application Data\OfferBox
c:\documents and settings\Yann et dede\Application Data\OfferBox\config.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\1.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\a.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\b.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\c.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\d.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\e.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\f.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\g.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\h.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\i.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\J.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\k.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\l.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\m.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\mru.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\n.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\o.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\p.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\q.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\r.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\s.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\t.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\u.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\v.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\w.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\x.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\y.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\z.xml
C:\Install.exe
c:\program files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
.

2010-12-12 00:39 . 2010-12-03 19:50 719832 ----a-w- c:\program files\Mozilla Firefox\mozcpp19.dll
2010-12-12 00:39 . 2010-12-03 19:50 16856 ----a-w- c:\program files\Mozilla Firefox\plugin-container.exe
2010-12-11 15:50 . 2010-12-11 15:50 -------- d-----w- c:\program files\Conduit
2010-12-11 15:49 . 2010-12-11 15:50 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\ConduitEngine
2010-12-11 15:49 . 2010-12-11 15:49 -------- d-----w- c:\program files\uTorrent
2010-12-11 15:48 . 2010-12-13 23:18 -------- d-----w- c:\documents and settings\Yann et dede\Application Data\uTorrent
2010-12-09 15:17 . 2010-12-09 20:19 -------- d-----w- c:\program files\Microsoft Silverlight
2010-12-09 10:23 . 2010-12-09 10:23 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\cache
2010-12-09 10:18 . 2010-12-09 19:40 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\FullTiltPoker.fr
2010-12-09 10:18 . 2010-12-09 10:18 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\uTorrentBar
2010-12-09 10:13 . 2010-12-13 16:25 -------- d-----w- c:\program files\Full Tilt Poker.Fr
2010-12-02 18:11 . 2010-12-02 18:11 -------- d-----w- c:\documents and settings\Yann et dede\Application Data\wam.04351C371E530C3762CBA45FA283ED972DCDEFB6.1
2010-12-02 18:10 . 2010-12-02 18:10 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-11-28 22:13 . 2010-11-28 22:13 246 ----a-w- c:\documents and settings\Yann et dede\Local Settings\Application Data\GLF70.tmp
2010-11-26 18:27 . 2010-09-07 15:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-11-26 18:27 . 2010-09-07 15:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-11-26 18:27 . 2010-09-07 15:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-11-26 18:27 . 2010-09-07 15:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-11-26 18:27 . 2010-09-07 15:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-11-26 18:27 . 2010-09-07 15:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-11-26 18:27 . 2010-09-07 15:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-11-26 18:26 . 2010-09-07 16:12 38848 ----a-w- c:\windows\avastSS.scr
2010-11-26 18:26 . 2010-09-07 16:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-11-23 17:29 . 2010-11-23 17:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-11-19 12:40 . 2010-11-29 13:44 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\freecompressor Air
2010-11-19 12:40 . 2010-11-19 12:40 -------- d-----w- c:\documents and settings\Yann et dede\Application Data\freeCompressor

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-12 18:46 . 2010-11-12 18:46 4280320 ----a-w- c:\windows\system32\GPhotos.scr
.

------- Sigcheck -------

[-] 2004-08-05 . E6BD1F00EB098DC29AAEA327BC44E5A7 . 506368 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe

[-] 2004-08-05 . 8A365CAFD1A3C7CC1846490A3A06EA00 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe

[-] 2002-08-29 . A0EE5C06390357FEE7B7949DBCA156D3 . 165376 . . [5.1.2600.1106] . . c:\windows\system32\appmgmts.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\tbuTor.dll" [2010-11-29 3908192]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
2010-11-29 14:26 3908192 ----a-w- c:\program files\uTorrentBar_FR\tbuTor.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-29 14:26 3908192 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
2010-11-17 11:46 2200464 ----a-w- c:\program files\Bandoo\Plugins\IE\ieplugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\tbuTor.dll" [2010-11-29 3908192]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-29 3908192]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

c:\documents and settings\Yann et dede\Menu D'marrer\Programmes\D'marrage\
Pense-b^te.lnk - c:\program files\Mindscape\PrintMaster\PMREMIND.EXE [1997-10-14 2344920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Bandoo\BndHook.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25/01/2008 16:06 639224]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [26/11/2010 19:27 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/11/2010 19:27 17744]
S2 LXCYCustomerConnect;LXCYCustomerConnect;c:\windows\System32\spool\DRIVERS\W32X86\3\\LXCYserv.exe --> c:\windows\System32\spool\DRIVERS\W32X86\3\\LXCYserv.exe [?]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [29/05/2008 21:43 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [30/05/2008 08:03 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [30/05/2008 08:03 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [30/05/2008 08:09 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [30/05/2008 08:09 100008]
.
Contenu du dossier 'Tâches planifiées'

2010-12-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-12-15 c:\windows\Tasks\User_Feed_Synchronization-{A7E54CF0-7E30-45C1-9BE6-6112673F6453}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
FF - ProfilePath - c:\documents and settings\Yann et dede\Application Data\Mozilla\Firefox\Profiles\2d6pnsbm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKCU-Run-Sonic RecordNow! Deluxe - (no file)
HKLM-Run-Facemoi - c:\facemoi\facemoi.exe
AddRemove-La Marmite du Chef_is1 - c:\documents and settings\Yann et dede\Mes documents\Recettes de cuisine\La Marmite du Chef\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-15 14:21
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-12-15 14:24:06
ComboFix-quarantined-files.txt 2010-12-15 13:23

Avant-CF: 145 888 034 816 octets libres
Après-CF: 146 285 760 512 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptOut

- - End Of File - - AB191B8C6C673726046E928F70487763
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
Modifié par NicoVA le 15/12/2010 à 14:48
Salut

Les fichiers winlogon.exe et explorer.exe sont patchés. Il va donc falloir leurs trouver un substitut valide pour cela :

--> Télécharge SEAF (de C_XX) sur ton Bureau.

--> Lance SEAF

--> Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires"

--> Tape explorer.exe,winlogon.exe dans le champs de recherche, clique sur "Lancer la recherche" et patiente.

--> Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
0
Réponse 6 / 19
furio88
15 déc. 2010 à 14:53
Voila le rapport de SEAF:


1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 14:49:51 le 15/12/2010
4.
5. Valeur(s) recherchée(s):
6. explorer.exe
7. winlogon.exe
8.
9. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
10.
11. (!) --- Calcul du Hash "MD5"
12. (!) --- Informations supplémentaires
13.
14. ====== Fichier(s) ======
15.
16.
17. "C:\WINDOWS\explorer.exe" [ ARCHIVE | 1036 Ko ]
18. TC: 05/08/2004,13:00:00 | TM: 05/08/2004,13:00:00 | DA: 15/12/2010,14:51:00
19.
20. Hash MD5: 8A365CAFD1A3C7CC1846490A3A06EA00
21.
22. CompanyName: Microsoft Corporation
23. ProductName: Système d'exploitation Microsoft® Windows®
24. InternalName: explorer
25. OriginalFileName: EXPLORER.EXE
26. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
27. ProductVersion: 6.00.2900.2180
28. FileVersion: 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
29.
30. =========================
31.
32.
33. "C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf" [ NOT_CONTENT_INDEXED|ARCHIVE | 22 Ko ]
34. TC: 08/12/2010,14:11:57 | TM: 15/12/2010,14:48:44 | DA: 15/12/2010,14:48:44
35.
36. Hash MD5: 4B4EBFC08CC508FF0CED8AD69592789F
37.
38.
39. =========================
40.
41.
42. "C:\WINDOWS\system32\winlogon.exe" [ ARCHIVE | 506 Ko ]
43. TC: 05/08/2004,13:00:00 | TM: 05/08/2004,13:00:00 | DA: 15/12/2010,14:09:54
44.
45. Hash MD5: [Impossible à obtenir]
46.
47.
48. =========================
49.
50.
51. =========================
52.
53. Fin à: 14:52:01 le 15/12/2010
54. 44838 Éléments analysés
55.
56. =========================
57. E.O.F
0
Réponse 7 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 15:23
Salut !

(1)

--> Télécharge ce dossier sur ton bureau
--> Dézippe le sur ton bureau

(2)

Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications

-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

FCopy::
c:\documents and settings\Yann et dede\Bureau\furio88\explorer.exe | c:\windows\explorer.exe 
c:\documents and settings\Yann et dede\Bureau\furio88\winlogon.exe | c:\windows\system32\winlogon.exe


-> Enregistre ce fichier sous le nom CFScript

-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

* Ne touche à rien tant que le scan n'est pas terminé.

-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt


++
0
Réponse 8 / 19
furio88
15 déc. 2010 à 15:42
Combofix refais un scan est ce normal ?
0
Réponse 9 / 19
furio88
15 déc. 2010 à 15:48
voila le scan mais c pas si c'etais ca qui fallait faire exactement ?

ComboFix 10-12-14.05 - Yann et dede 15/12/2010 15:35:48.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1470.1048 [GMT 1:00]
Lancé depuis: c:\documents and settings\Yann et dede\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Yann et dede\Bureau\CFScript
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Yann et dede\Application Data\PriceGong
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\1.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\a.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\b.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\c.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\d.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\e.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\f.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\g.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\h.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\i.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\J.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\k.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\l.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\m.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\mru.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\n.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\o.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\p.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\q.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\r.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\s.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\t.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\u.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\v.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\w.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\x.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\y.xml
c:\documents and settings\Yann et dede\Application Data\PriceGong\Data\z.xml

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
.

2010-12-15 13:48 . 2010-12-15 13:48 -------- d-----w- c:\program files\SEAF
2010-12-15 13:47 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-12-15 13:47 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-12-15 13:47 . 2010-12-15 13:57 -------- d-----w- c:\windows\LastGood
2010-12-12 00:39 . 2010-12-03 19:50 719832 ----a-w- c:\program files\Mozilla Firefox\mozcpp19.dll
2010-12-12 00:39 . 2010-12-03 19:50 16856 ----a-w- c:\program files\Mozilla Firefox\plugin-container.exe
2010-12-11 15:50 . 2010-12-11 15:50 -------- d-----w- c:\program files\Conduit
2010-12-11 15:49 . 2010-12-15 13:33 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\ConduitEngine
2010-12-11 15:49 . 2010-12-11 15:49 -------- d-----w- c:\program files\uTorrent
2010-12-11 15:48 . 2010-12-13 23:18 -------- d-----w- c:\documents and settings\Yann et dede\Application Data\uTorrent
2010-12-09 15:17 . 2010-12-09 20:19 -------- d-----w- c:\program files\Microsoft Silverlight
2010-12-09 10:23 . 2010-12-09 10:23 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\cache
2010-12-09 10:18 . 2010-12-09 19:40 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\FullTiltPoker.fr
2010-12-09 10:18 . 2010-12-09 10:18 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\uTorrentBar
2010-12-09 10:13 . 2010-12-13 16:25 -------- d-----w- c:\program files\Full Tilt Poker.Fr
2010-12-02 18:11 . 2010-12-02 18:11 -------- d-----w- c:\documents and settings\Yann et dede\Application Data\wam.04351C371E530C3762CBA45FA283ED972DCDEFB6.1
2010-12-02 18:10 . 2010-12-02 18:10 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-11-28 22:13 . 2010-11-28 22:13 246 ----a-w- c:\documents and settings\Yann et dede\Local Settings\Application Data\GLF70.tmp
2010-11-26 18:27 . 2010-09-07 15:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-11-26 18:27 . 2010-09-07 15:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-11-26 18:27 . 2010-09-07 15:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-11-26 18:27 . 2010-09-07 15:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-11-26 18:27 . 2010-09-07 15:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-11-26 18:27 . 2010-09-07 15:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-11-26 18:27 . 2010-09-07 15:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-11-26 18:26 . 2010-09-07 16:12 38848 ----a-w- c:\windows\avastSS.scr
2010-11-26 18:26 . 2010-09-07 16:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-11-23 17:29 . 2010-11-23 17:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-11-19 12:40 . 2010-11-29 13:44 -------- d-----w- c:\documents and settings\Yann et dede\Local Settings\Application Data\freecompressor Air
2010-11-19 12:40 . 2010-11-19 12:40 -------- d-----w- c:\documents and settings\Yann et dede\Application Data\freeCompressor

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-12 18:46 . 2010-11-12 18:46 4280320 ----a-w- c:\windows\system32\GPhotos.scr
.

------- Sigcheck -------

[-] 2004-08-05 . E6BD1F00EB098DC29AAEA327BC44E5A7 . 506368 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe

[-] 2004-08-05 . 8A365CAFD1A3C7CC1846490A3A06EA00 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe

[-] 2002-08-29 . A0EE5C06390357FEE7B7949DBCA156D3 . 165376 . . [5.1.2600.1106] . . c:\windows\system32\appmgmts.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-12-15_13.21.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-15 13:29 . 2010-12-15 13:29 16384 c:\windows\Temp\Perflib_Perfdata_110.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\tbuTor.dll" [2010-11-29 3908192]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
2010-11-29 14:26 3908192 ----a-w- c:\program files\uTorrentBar_FR\tbuTor.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-29 14:26 3908192 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
2010-11-17 11:46 2200464 ----a-w- c:\program files\Bandoo\Plugins\IE\ieplugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\tbuTor.dll" [2010-11-29 3908192]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-29 3908192]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}"= "c:\program files\uTorrentBar_FR\tbuTor.dll" [2010-11-29 3908192]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

c:\documents and settings\Yann et dede\Menu D'marrer\Programmes\D'marrage\
Pense-b^te.lnk - c:\program files\Mindscape\PrintMaster\PMREMIND.EXE [1997-10-14 2344920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Bandoo\BndHook.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25/01/2008 16:06 639224]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [26/11/2010 19:27 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/11/2010 19:27 17744]
S2 LXCYCustomerConnect;LXCYCustomerConnect;c:\windows\System32\spool\DRIVERS\W32X86\3\\LXCYserv.exe --> c:\windows\System32\spool\DRIVERS\W32X86\3\\LXCYserv.exe [?]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [29/05/2008 21:43 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [30/05/2008 08:03 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [30/05/2008 08:03 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [30/05/2008 08:09 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [30/05/2008 08:09 100008]
.
Contenu du dossier 'Tâches planifiées'

2010-12-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-12-15 c:\windows\Tasks\User_Feed_Synchronization-{A7E54CF0-7E30-45C1-9BE6-6112673F6453}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
FF - ProfilePath - c:\documents and settings\Yann et dede\Application Data\Mozilla\Firefox\Profiles\2d6pnsbm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-15 15:42
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-12-15 15:45:10
ComboFix-quarantined-files.txt 2010-12-15 14:45
ComboFix2.txt 2010-12-15 13:24

Avant-CF: 145 680 916 480 octets libres
Après-CF: 145 665 273 856 octets libres

- - End Of File - - E4687862049CF21655C49068581A8CED
0
Réponse 10 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
Modifié par NicoVA le 15/12/2010 à 15:52
Salut

Edit : Attends je refais un dossier. Attends mes prochaines instructions.

++
0
Réponse 11 / 19
furio88
15 déc. 2010 à 15:55
quand je l'extrait il y a explorer.exe et winlogon.exe qui s'affiche sur le bureau mais pas de dossier furio88 et je ne peut pas enregistrer sur mon bureau les dossier que vous donner ca enregistre direct dans un dossier appeller telechargement
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 16:04
Tu veux dire qu'il y a directement explorer.exe et winlogon sur ton bureau ?

Si oui je modifierais le script.

++
0
Réponse 12 / 19
furio88
15 déc. 2010 à 16:09
oui ils sont sur le bureau directement mais je c pas si je fais correctement suis vraiment tres novice
0
Réponse 13 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 16:29
D'accord. Alors on va modifier la procédure.

(1)

--> Supprimer le dossier zippé furio88 et explorer ainsi que winlogon présent sur ton bureau

(2)

--> Télécharge ce dossier sur ton bureau ( pour cela clique sur enregistrer lors du téléchargement et choisi le chemin de ton bureau )

--> Dé-zippe le dossier furio88. Tu devrais donc avoir explorer et winlogon sur ton bureau. Si ce n'est pas le cas ne continue pas la procédure et fait le moi savoir.

(3)

Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications

-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

KillAll::

FCopy::
c:\documents and settings\Yann et dede\Bureau\explorer.exe | c:\windows\explorer.exe 
c:\documents and settings\Yann et dede\Bureau\winlogon.exe | c:\windows\system32\winlogon.exe

-> Enregistre ce fichier sous le nom CFScript

-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

* Ne touche à rien tant que le scan n'est pas terminé.

-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt


A plus tard :)
0
Réponse 14 / 19
furio88
15 déc. 2010 à 16:51
ya un panneau de protection windows qui est apparu et qui me demande d'inserer le cd du service pack 2 windows xp je ne fais rien avant votre reponse sachant que le scan combofix se poursuit normalement
0
Réponse 15 / 19
furio88
15 déc. 2010 à 16:59
est ce normal que le pc fasse une reouverture de windows et qu'il me dise que explorer a eu un probleme et maintenant j'ai plus de bureau je vais tout mettre a la poubelle ca ira plus vite je ne peut plus rien faire
0
Réponse 16 / 19
furio88
15 déc. 2010 à 17:04
bon voila exactement ce que dis le pc :


EXPLORER.EXE a rencontre un probleme et doit fermer.
nous vous prions de nous excuser pour le desagrement
encouru.
envoyer le rapport d'erreurs ne pas envoyer


Pour info j'ai envoyer le rapport !!!!
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 17:09
Salut

Tu as ton bureau de disponible ? Peux tu poster le rapport de ComboFix ?

A+
0
furio88
15 déc. 2010 à 17:12
non je n'ai plus de bureau il me reste plus que la photo en fond d'ecran meme le menu demarer a disparu mais la windows fais une mise a jour alors c pas suis vraiment maudit la
0
furio88
15 déc. 2010 à 17:13
et toujours pas de bureau je fais comment la
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 17:15
Si Windows te fait une Mise à jour tu laisse. Il est probable qu'il installe le Service Pack 3. Sinon tu fait CTRL+ALT+SUPPR, ensuite tu clique sur fichier -> nouvelle tache -> explorer -> Ok.

++
0
furio88
15 déc. 2010 à 17:19
alors j'ai debrancher le pc apres mise a jour puis en le rallumant je selectionne mon compte la il me dis " chargement en cour " puis des que le chargement est fini il me renvoi le message d'erreur et toujours pas de bureau ni de menu demarer juste cette pu**** de photo de fond
0
Réponse 17 / 19
furio88
15 déc. 2010 à 18:45
quelqu'un peut t'il m'aider svp gros soucis apres scan avec combofix.exe merci d'avance
0
Utilisateur anonyme
Modifié par Guillaume5188 le 15/12/2010 à 19:00
Bonsoir

Un peu de patience ;merci.

@+
0
Réponse 18 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
15 déc. 2010 à 19:01
Salut

As tu essayé la manip avec CTRL+ALT+SUPPR ?

++
0
furio88
18 déc. 2010 à 10:44
bonjour oui j'ai fais et j'ai reussi a faire une restauration systeme
mais winlogon.exe est toujours infecter. Pourrais t'on tout reprendre pour supprimer enfin ces redirectiion merci d'avance .
0
Réponse 19 / 19
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
Modifié par NicoVA le 18/12/2010 à 16:14
Salut

Ok, donc tu va mettre ton windows à jour via Windows Update ICI il devrait te proposer le service pack 3 sinon télécharge le a part ICI.

Une fois fini tu me le dira on fera une vérification car les malwares persisteront.

A+
0

Discussions similaires

Problème avec Gomeo
charlot -
Utilisateur anonyme -

17 réponses
Problème avec Goméo
D.F. -
D.F. -

6 réponses
Goméo (comme beaucoup)
adoubeur -
jacques.gache -

1 réponse
le pb sue goméo persiste
raphy -
Smart91 -

1 réponse
Problème Gomeo et autres redirections
Chris0304 -
Utilisateur anonyme -

5 réponses