Supprimer Gomeo - Scan AD-R réalisé

Karl75 -  
 gen-hackman -
Bonjour à tous,

Des que je fais une recherche sur Google et que je clique sur un lien je tombe sur Gomeo.

J'ai suivi votre conseil et j ai fait un scan avec AD-R (cf resultat ci dessous).
Pourriez vous svp me dire le marche à suivre.

Un grand merci par avance pour votre aide !

Karl75

PS : je ne suis pas un as de l'info...

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:35:52 le 27/12/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 2 (X86)
Cyril@CYRIL-MARX ( )

============== RECHERCHE ==============

============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [7.0.5730.11] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.orange.fr

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 27/12/2010 (444 Octet(s))

Fin à: 15:37:18, 27/12/2010

============== E.O.F ==============

75 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Problème central: lors de recherches sous Windows XP, des redirections vers Gomeo apparaissent après avoir cliqué sur des liens, et un scan avec Ad-Remover signale des paramètres modifiés et des éléments suspects. Des mesures recommandées incluent l’installation et l’exécution de MalwareBytes Anti-Malware, puis le partage du rapport et l’utilisation d’outils complémentaires comme DelFix, ATF Cleaner et CCleaner pour nettoyer les traces. En pratique, il est préconisé de lancer des analyses complètes sur les disques, d’éteindre et réactiver certains services, de vérifier les extensions des navigateurs et de mettre à jour Java et le pare-feu.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Karl75
     
    J'ai lancé MalwareBytes suite aux conseils de Verni29.
    Apres 13 minutes d'analyses (11 éléments infectés) et le logiciel encore en cours (analyse du D:), mon ordi a rebooté tout seul (je ne sais pas pourquoi).
    J'ai donc relancé l'analyse...elle est en cours. Je poste le rapport des que je l'ai.

    Merci pour votre reactivité en tous cas

    Karl75

    Bonjour,

    AD-Remover n'a rien trouvé.
    Il va falloir creusé.

    ------------------------------------------------

    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    # A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
    # Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

    # Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
    # Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
    # Clique sur lancer l'examen.

    # A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    # Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
    0
  2. Karl75
     
    Bon ca a reboote une nouvelle fois donc j'ai suivi les instructions de gen-hackman.

    Voila le rapport suite à l'analyse usbfix :

    ############################## | UsbFix 7.036 | [Suppression]

    Utilisateur: Cyril (Administrateur) # CYRIL-MARX [ ]
    Mis à jour le 20/12/10 par El Desaparecido / C_XX
    Lancé à 17:03:52 | 27/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Genuine Intel(R) CPU T2400 @ 1.83GHz
    CPU 2: Genuine Intel(R) CPU T2400 @ 1.83GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 7.0.5730.11

    Pare-feu Windows: Activé
    Antivirus: avast! Antivirus 5.0.83886757 [Enabled | Updated]
    RAM -> 1023 Mo
    C:\ (%systemdrive%) -> Disque fixe # 55 Go (3 Go libre(s) - 5%) [] # FAT32
    D:\ -> Disque fixe # 36 Go (36 Go libre(s) - 98%) [] # FAT32
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT
    G:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT
    H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT

    ################## | Éléments infectieux |

    Supprimé! C:\DOCUME~1\Cyril\LOCALS~1\Temp\58.exe
    Supprimé! C:\WINDOWS\AhnRpta.exe
    Supprimé! D:\2.bat
    Supprimé! D:\8.bat
    Supprimé! D:\e.cmd
    Supprimé! D:\i.cmd
    Supprimé! D:\o.exe
    Supprimé! D:\0bcobed.exe
    Supprimé! D:\1gk8ha.bat
    Supprimé! D:\1utbfd.bat
    Supprimé! D:\22yj2fy1.exe
    Supprimé! D:\2fiy.bat
    Supprimé! D:\2u.com
    Supprimé! D:\3rl3lqbq.bat
    Supprimé! D:\6fnlpetp.exe
    Supprimé! D:\6rxt26.exe
    Supprimé! D:\9rfpp.exe
    Supprimé! D:\a1agmur.cmd
    Supprimé! D:\a2h2.com
    Supprimé! D:\ca.exe
    Supprimé! D:\cgaqyi.exe
    Supprimé! D:\cqxj.exe
    Supprimé! D:\cv22.cmd
    Supprimé! D:\dbrxubcw.com
    Supprimé! D:\dqm.exe
    Supprimé! D:\ej10fkdo.bat
    Supprimé! D:\f662sjd.exe
    Supprimé! D:\gfqgq.cmd
    Supprimé! D:\gi2ky.exe
    Supprimé! D:\gy.exe
    Supprimé! D:\h3.bat
    Supprimé! D:\hc3hvi0.exe
    Supprimé! D:\hl80c6b1.com
    Supprimé! D:\i6g6x.cmd
    Supprimé! D:\i8ikdjwt.exe
    Supprimé! D:\iky.bat
    Supprimé! D:\iqe68o.bat
    Supprimé! D:\j60osk9.cmd
    Supprimé! D:\jeorels.cmd
    Supprimé! D:\jm3cx96.bat
    Supprimé! D:\lhhr8.exe
    Supprimé! D:\m0vnonh.bat
    Supprimé! D:\m9ma.exe
    Supprimé! D:\minm.cmd
    Supprimé! D:\o1.com
    Supprimé! D:\opgde.exe
    Supprimé! D:\p1y2.cmd
    Supprimé! D:\p9rs.exe
    Supprimé! D:\pook.com
    Supprimé! D:\qothmn.cmd
    Supprimé! D:\qphdin.com
    Supprimé! D:\r3fhr.exe
    Supprimé! D:\rcukd.cmd
    Supprimé! D:\rhwhin.exe
    Supprimé! D:\rpw.exe
    Supprimé! D:\upw.bat
    Supprimé! D:\ur0.com
    Supprimé! D:\uvsqfgwd.cmd
    Supprimé! D:\ve.exe
    Supprimé! D:\vwewav8.com
    Supprimé! D:\w98.com
    Supprimé! D:\wkimt.exe
    Supprimé! D:\x2csvg.exe

    ################## | Registre |

    Supprimé! HKLM\Software\Classes\CLSID\MADOWN

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{02781752-09ce-11de-becd-0017310a5db1}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{09629318-6cc9-11de-beea-0017310a5db1}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0c0628a2-bed6-11dc-bcaa-0017310a5db1}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0c0628a4-bed6-11dc-bcaa-0017310a5db1}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{229ca5f2-de37-11dc-bced-0017310a5db1}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{311247b8-1069-11dd-bd7a-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{43e4d762-2271-11db-b939-0017313fb335}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{472de9e6-270c-11db-b946-0017313fb335}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5ac5eb95-11bb-11de-bed0-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5bc0dd18-fb8b-11dd-bec0-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{61a8ee8c-74d2-11dc-bc00-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{73079110-01f3-11de-bec5-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{aff66160-a153-11dd-be3c-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{de3e6094-530a-11df-bf07-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e9cc05d4-c48f-11dd-be76-00130249f5a5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f62d810c-70a8-11de-beee-00130249f5a5}

    ################## | Listing |

    [27/12/2010 - 16:52:16 | ASH | 1610612736] C:\pagefile.sys
    [19/02/2003 - 16:28:10 | N | 37] C:\Store.LOG
    [23/09/2010 - 00:11:34 | N | 244] C:\sqmnoopt00.sqm
    [23/09/2010 - 00:11:34 | N | 268] C:\sqmdata00.sqm
    [23/09/2010 - 23:38:56 | N | 244] C:\sqmnoopt01.sqm
    [27/03/2006 - 01:29:36 | N | 524288] C:\A8J.BIN
    [24/11/2005 - 01:46:36 | N | 6] C:\A8J.30
    [27/06/2005 - 04:32:26 | N | 10] C:\NIS_FRN.LOG
    [04/11/2004 - 08:57:16 | N | 14] C:\NERO.LOG
    [21/09/2005 - 07:19:42 | N | 35] C:\ASUSDVD.LOG
    [01/06/2006 - 15:52:44 | D ] C:\WINDOWS
    [05/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
    [01/06/2006 - 16:10:20 | N | 252240] C:\ntldr
    [05/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
    [20/09/2004 - 11:12:16 | N | 14] C:\XPHF_SP2.FRN
    [01/06/2006 - 15:56:10 | D ] C:\SUPPORT
    [01/06/2006 - 15:56:10 | D ] C:\VALUEADD
    [16/07/2006 - 17:03:18 | N | 216] C:\boot.ini
    [01/06/2006 - 15:56:38 | D ] C:\Documents and Settings
    [01/06/2006 - 16:02:44 | D ] C:\Program Files
    [01/06/2006 - 16:03:36 | N | 0] C:\CONFIG.SYS
    [01/06/2006 - 16:03:36 | N | 0] C:\AUTOEXEC.BAT
    [01/06/2006 - 16:03:36 | N | 0] C:\IO.SYS
    [01/06/2006 - 16:03:36 | N | 0] C:\MSDOS.SYS
    [01/06/2006 - 16:06:48 | SHD ] C:\System Volume Information
    [23/09/2010 - 23:38:56 | N | 268] C:\sqmdata01.sqm
    [25/09/2010 - 16:03:20 | N | 244] C:\sqmnoopt02.sqm
    [25/09/2010 - 16:03:20 | N | 268] C:\sqmdata02.sqm
    [26/09/2010 - 00:05:02 | N | 244] C:\sqmnoopt03.sqm
    [26/09/2010 - 00:05:02 | N | 268] C:\sqmdata03.sqm
    [26/09/2010 - 21:44:08 | N | 244] C:\sqmnoopt04.sqm
    [26/09/2010 - 21:44:08 | N | 268] C:\sqmdata04.sqm
    [26/09/2010 - 22:16:48 | N | 244] C:\sqmnoopt05.sqm
    [26/09/2010 - 22:16:48 | N | 268] C:\sqmdata05.sqm
    [29/09/2010 - 22:52:00 | N | 244] C:\sqmnoopt06.sqm
    [29/09/2010 - 22:52:00 | N | 268] C:\sqmdata06.sqm
    [31/08/2010 - 00:32:26 | N | 244] C:\sqmnoopt07.sqm
    [31/08/2010 - 00:32:26 | N | 268] C:\sqmdata07.sqm
    [05/09/2010 - 01:01:52 | N | 244] C:\sqmnoopt08.sqm
    [05/09/2010 - 01:01:52 | N | 268] C:\sqmdata08.sqm
    [05/09/2010 - 23:06:36 | N | 244] C:\sqmnoopt09.sqm
    [05/09/2010 - 23:06:36 | N | 268] C:\sqmdata09.sqm
    [05/09/2010 - 23:58:52 | N | 244] C:\sqmnoopt10.sqm
    [05/09/2010 - 23:58:52 | N | 268] C:\sqmdata10.sqm
    [06/09/2010 - 07:00:52 | N | 244] C:\sqmnoopt11.sqm
    [06/09/2010 - 07:00:52 | N | 268] C:\sqmdata11.sqm
    [06/09/2010 - 23:14:52 | N | 244] C:\sqmnoopt12.sqm
    [06/09/2010 - 23:14:52 | N | 268] C:\sqmdata12.sqm
    [10/09/2010 - 00:10:22 | N | 244] C:\sqmnoopt13.sqm
    [10/09/2010 - 00:10:22 | N | 268] C:\sqmdata13.sqm
    [12/09/2010 - 23:34:34 | N | 244] C:\sqmnoopt14.sqm
    [12/09/2010 - 23:34:34 | N | 268] C:\sqmdata14.sqm
    [15/09/2010 - 00:06:32 | N | 244] C:\sqmnoopt15.sqm
    [15/09/2010 - 00:06:32 | N | 268] C:\sqmdata15.sqm
    [17/09/2010 - 00:30:08 | N | 244] C:\sqmnoopt16.sqm
    [17/09/2010 - 00:30:08 | N | 268] C:\sqmdata16.sqm
    [20/09/2006 - 01:49:40 | N | 0] C:\AdobeDebug.txt
    [19/09/2010 - 00:54:36 | N | 244] C:\sqmnoopt17.sqm
    [19/09/2010 - 00:54:36 | N | 268] C:\sqmdata17.sqm
    [19/09/2010 - 19:26:16 | N | 244] C:\sqmnoopt18.sqm
    [19/09/2010 - 19:26:16 | N | 268] C:\sqmdata18.sqm
    [19/09/2010 - 23:09:28 | N | 244] C:\sqmnoopt19.sqm
    [19/09/2010 - 23:09:28 | N | 268] C:\sqmdata19.sqm
    [27/12/2010 - 16:56:22 | D ] C:\UsbFix
    [17/04/2007 - 19:44:06 | D ] C:\unzipped
    [07/10/2007 - 19:14:10 | N | 90] C:\Setup.log
    [31/10/2007 - 13:16:02 | N | 0] C:\Settings.ini
    [07/04/2008 - 23:07:48 | D ] C:\kav
    [07/04/2008 - 23:13:30 | D ] C:\Config.Msi
    [08/04/2008 - 19:07:40 | D ] C:\FOUND.010
    [02/10/2010 - 14:50:14 | N | 10543] C:\winzip.log
    [27/12/2010 - 15:37:20 | N | 1614] C:\Ad-Report-SCAN[1].txt
    [10/01/2009 - 12:00:32 | D ] C:\Temp
    [27/12/2010 - 17:01:28 | N | 2515] C:\UsbFix.txt
    [16/02/2009 - 21:27:38 | D ] C:\FOUND.000
    [04/07/2009 - 22:18:46 | D ] C:\FOUND.001
    [11/08/2009 - 17:41:30 | D ] C:\FOUND.002
    [15/04/2010 - 21:57:28 | D ] C:\FOUND.003
    [25/04/2010 - 20:32:00 | D ] C:\FOUND.004
    [01/06/2006 - 16:40:06 | N | 9] C:\Finish.log
    [01/06/2006 - 16:40:06 | N | 14004] C:\devlist.txt
    [01/06/2006 - 10:40:26 | SHD ] C:\Recycled
    [27/12/2010 - 16:52:16 | ASH | 1073074176] C:\hiberfil.sys
    [01/06/2006 - 16:10:16 | SHD ] D:\System Volume Information
    [08/07/2009 - 07:29:16 | N | 732665086] D:\L Age De Glace 1 - Divx Francais - Dvd Rip.avi
    [01/06/2006 - 10:40:26 | SHD ] D:\Recycled
    [16/12/2006 - 11:46:06 | D ] D:\2880f240cba41b4b23
    [16/12/2006 - 11:52:34 | D ] D:\f6c3e3123512a3503d279c1d17d2bb
    [30/03/2008 - 21:41:44 | N | 80896] D:\Plannification_V5.xls

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_CYRIL-MARX.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    0
  3. gen-hackman
     
    ok la suite si tu l'as encore :)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. gen-hackman
     
    ok je m'étais retiré voyant que tu suivais quelqu'un d'autre je voulais pas encombrer mais apres apercu je m'apercois qu on est seuls....:)
    0
    1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
       
      Salut, gen

      En fait tu avais répondu avant moi et du coup, j'avais supprimé mon message.

      Bonne continuation à vous deux.

      @+
      0
  6. Karl75
     
    Voila OTL

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijakYPuKH.txt
    0
  7. Karl75
     
    Et voila Extras

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijnMd86yB.txt
    0
  8. Karl75
     
    J'attends tes lumières maintenant :-)

    En faisant une actualisation je viens de tomber encore sur Gomeo grrrrrr

    Mais je garde espoir !!
    0
  9. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  10. Karl75
     
    ComboFix 10-12-26.01 - Cyril 27/12/2010 19:03:08.1.2 - FAT32x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.652 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Cyril\Bureau\Cyril.exe
    AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Cyril\Application Data\dwm.exe
    c:\documents and settings\Cyril\Application Data\Microsoft\conhost.exe
    c:\documents and settings\Cyril\real.txt
    c:\windows\Downloaded Program Files\Temp
    c:\windows\system32\_000006_.tmp.dll
    c:\windows\system32\_000007_.tmp.dll
    c:\windows\system32\_000008_.tmp.dll
    c:\windows\system32\_000009_.tmp.dll
    c:\windows\system32\_000010_.tmp.dll
    c:\windows\system32\_000024_.tmp.dll
    c:\windows\system32\_000025_.tmp.dll
    c:\windows\system32\_000026_.tmp.dll
    c:\windows\system32\_000027_.tmp.dll
    c:\windows\system32\Oeminfo.ini
    c:\windows\system32\real.txt

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_usnjsvc

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-27 au 2010-12-27 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-27 18:13 . 2010-12-27 18:13 -------- d-----w- C:\FOUND.005
    2010-12-27 15:56 . 2010-12-27 15:56 -------- d-----w- C:\UsbFix
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\documents and settings\Cyril\Application Data\Malwarebytes
    2010-12-27 15:16 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-12-27 15:16 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-12-27 14:35 . 2010-12-27 14:35 -------- d-----w- c:\program files\Ad-Remover
    2010-12-27 14:02 . 2010-09-07 15:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-12-27 14:02 . 2010-09-07 15:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-12-27 14:02 . 2010-09-07 15:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-12-27 14:02 . 2010-09-07 15:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-12-27 14:02 . 2010-09-07 15:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-12-27 14:02 . 2010-09-07 15:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-12-27 14:02 . 2010-09-07 15:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-12-27 14:02 . 2010-09-07 16:12 38848 ----a-w- c:\windows\avastSS.scr
    2010-12-27 14:02 . 2010-09-07 16:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
    2010-12-27 14:02 . 2010-12-27 14:02 -------- d-----w- c:\program files\Alwil Software
    2010-12-27 14:02 . 2010-12-27 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
    2010-12-24 23:22 . 2010-12-24 23:22 -------- d-----w- c:\documents and settings\Cyril\Application Data\gtdzgciy
    2010-12-18 19:20 . 2010-12-18 19:20 254 ----a-w- c:\windows\system32\drivers\naydukxr.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-12-27 16:05 . 2010-12-27 16:05 6371964 ----a-w- C:\UsbFix_Upload_Me_CYRIL-MARX.zip
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-16 7561216]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-07-12 417792]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
    "ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2002-08-07 54936]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
    Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
    2005-09-16 00:37 57344 ----a-w- c:\program files\Adobe\Photoshop Elements 4.0\apdproxy.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
    2005-12-28 10:56 602182 ----a-w- c:\program files\Intel\Wireless\Bin\iFrmewrk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2006-10-30 08:36 256576 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2004-10-13 17:24 1694208 ----a-w- c:\program files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-07-12 21:16 417792 ----a-w- c:\program files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\NetMeeting\\conf.exe"=
    "c:\\Program Files\\SPSSInc\\SPSS16EV\\spss.com"=
    "c:\\Program Files\\SPSSInc\\SPSS16EV\\spss.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\kav\\kis7.0\\french\\setup.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [27/12/2010 15:02 165584]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/12/2010 15:02 17744]
    R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [03/06/2009 14:46 92008]
    S2 gupdate1c995fd16a27a82;Service Google Update (gupdate1c995fd16a27a82);c:\program files\Google\Update\GoogleUpdate.exe [23/02/2009 22:24 133104]
    S3 ipswuio;ipswuio;c:\windows\system32\drivers\ipswuio.sys [01/06/2006 16:35 34944]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-27 c:\windows\Tasks\Symantec NetDetect.job
    - c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2006-07-16 08:04]

    2007-04-12 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]

    2010-12-27 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-23 19:30]

    2010-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-23 21:24]

    2010-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-23 21:24]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyServer = http=127.0.0.1:55455
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    Trusted Zone: canalplay.com
    Trusted Zone: canalplusactive.com
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-conhost - c:\documents and settings\Cyril\Application Data\Microsoft\conhost.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-12-27 19:14
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(2364)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Intel\Wireless\Bin\EvtEng.exe
    c:\program files\Intel\Wireless\Bin\S24EvMon.exe
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
    c:\progra~1\3M\PSNLite\PSNGive.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
    c:\program files\Bluesocket MS IPSec Config Tool\BlueService.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
    c:\program files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Intel\Wireless\Bin\RegSrvc.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
    c:\program files\Windows Media Player\WMPNetwk.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-12-27 19:17:27 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-12-27 18:17

    Avant-CF: 3 000 631 296 octets libres
    Après-CF: 3 389 227 008 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    - - End Of File - - 7B02784AC5E0EFCAC6E3C526CD21F87F
    0
  11. Karl75
     
    Qu'est ce que je dois faire maintenant :-) ??

    Merci merci !!
    0
  12. gen-hackman
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Folder::
    c:\documents and settings\Cyril\Application Data\gtdzgciy

    File::
    c:\windows\system32\drivers\naydukxr.dat

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  13. Karl75
     
    ComboFix 10-12-26.01 - Cyril 27/12/2010 19:40:03.2.2 - FAT32x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.669 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Cyril\Bureau\Cyril.exe
    Commutateurs utilisés :: c:\documents and settings\Cyril\Bureau\CFScript.txt
    AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

    FILE ::
    "c:\windows\system32\drivers\naydukxr.dat"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Cyril\Application Data\gtdzgciy
    c:\windows\system32\drivers\naydukxr.dat

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-27 au 2010-12-27 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-27 18:13 . 2010-12-27 18:13 -------- d-----w- C:\FOUND.005
    2010-12-27 17:58 . 2010-12-27 17:58 -------- d-----w- C:\Cyril
    2010-12-27 15:56 . 2010-12-27 15:56 -------- d-----w- C:\UsbFix
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\documents and settings\Cyril\Application Data\Malwarebytes
    2010-12-27 15:16 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-12-27 15:16 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-12-27 14:35 . 2010-12-27 14:35 -------- d-----w- c:\program files\Ad-Remover
    2010-12-27 14:02 . 2010-09-07 15:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-12-27 14:02 . 2010-09-07 15:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-12-27 14:02 . 2010-09-07 15:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-12-27 14:02 . 2010-09-07 15:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-12-27 14:02 . 2010-09-07 15:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-12-27 14:02 . 2010-09-07 15:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-12-27 14:02 . 2010-09-07 15:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-12-27 14:02 . 2010-09-07 16:12 38848 ----a-w- c:\windows\avastSS.scr
    2010-12-27 14:02 . 2010-09-07 16:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
    2010-12-27 14:02 . 2010-12-27 14:02 -------- d-----w- c:\program files\Alwil Software
    2010-12-27 14:02 . 2010-12-27 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-12-27 16:05 . 2010-12-27 16:05 6371964 ----a-w- C:\UsbFix_Upload_Me_CYRIL-MARX.zip
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-16 7561216]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-07-12 417792]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
    "ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2002-08-07 54936]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
    Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
    2005-09-16 00:37 57344 ----a-w- c:\program files\Adobe\Photoshop Elements 4.0\apdproxy.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
    2005-12-28 10:56 602182 ----a-w- c:\program files\Intel\Wireless\Bin\iFrmewrk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2006-10-30 08:36 256576 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2004-10-13 17:24 1694208 ----a-w- c:\program files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-07-12 21:16 417792 ----a-w- c:\program files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\NetMeeting\\conf.exe"=
    "c:\\Program Files\\SPSSInc\\SPSS16EV\\spss.com"=
    "c:\\Program Files\\SPSSInc\\SPSS16EV\\spss.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\kav\\kis7.0\\french\\setup.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [27/12/2010 15:02 165584]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/12/2010 15:02 17744]
    R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [03/06/2009 14:46 92008]
    S2 gupdate1c995fd16a27a82;Service Google Update (gupdate1c995fd16a27a82);c:\program files\Google\Update\GoogleUpdate.exe [23/02/2009 22:24 133104]
    S3 ipswuio;ipswuio;c:\windows\system32\drivers\ipswuio.sys [01/06/2006 16:35 34944]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-27 c:\windows\Tasks\Symantec NetDetect.job
    - c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2006-07-16 08:04]

    2007-04-12 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]

    2010-12-27 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-23 19:30]

    2010-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-23 21:24]

    2010-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-23 21:24]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyServer = http=127.0.0.1:55455
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    Trusted Zone: canalplay.com
    Trusted Zone: canalplusactive.com
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-12-27 19:46
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(3880)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Intel\Wireless\Bin\EvtEng.exe
    c:\program files\Intel\Wireless\Bin\S24EvMon.exe
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    c:\progra~1\3M\PSNLite\PSNGive.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
    c:\program files\Bluesocket MS IPSec Config Tool\BlueService.exe
    c:\program files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Intel\Wireless\Bin\RegSrvc.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
    c:\program files\Windows Media Player\WMPNetwk.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-12-27 19:49:17 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-12-27 18:49
    ComboFix2.txt 2010-12-27 18:17

    Avant-CF: 3 393 060 864 octets libres
    Après-CF: 3 438 379 008 octets libres

    - - End Of File - - 894594D355B27A08F673092602B25E86
    0
  14. Karl75
     
    Voili voilou...alors docteur : c'est grave ??
    0
  15. gen-hackman
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

    c:\windows\system32\drivers\ipswuio.sys


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
    0
  16. Karl75
     
    http://www.virustotal.com/file-scan/reanalysis.html?id=4c4e61f03971c3c7159c42a34d268a9a19582d4966577c58e42c5355d19a1ccb-1293482578

    MD5: ee8cc26924a6f07972bbf04487ebd552
    Date first seen: 2009-03-25 10:14:21 (UTC)
    Date last seen: 2010-12-27 20:41:27 (UTC)
    Detection ratio: 0/43
    0
  17. gen-hackman
     
    hello oui


    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    DDs::
    uInternet Settings,ProxyServer = http=127.0.0.1:55455

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  18. Karl75
     
    ComboFix 10-12-26.01 - Cyril 28/12/2010 15:02:11.4.2 - FAT32x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.678 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Cyril\Bureau\Cyril.exe
    Commutateurs utilisés :: c:\documents and settings\Cyril\Bureau\CFScript.txt
    AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-28 au 2010-12-28 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-27 18:13 . 2010-12-27 18:13 -------- d-----w- C:\FOUND.005
    2010-12-27 17:58 . 2010-12-27 17:58 -------- d-----w- C:\Cyril
    2010-12-27 15:56 . 2010-12-27 15:56 -------- d-----w- C:\UsbFix
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\documents and settings\Cyril\Application Data\Malwarebytes
    2010-12-27 15:16 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-12-27 15:16 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-12-27 15:16 . 2010-12-27 15:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-12-27 14:35 . 2010-12-27 14:35 -------- d-----w- c:\program files\Ad-Remover
    2010-12-27 14:02 . 2010-09-07 15:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-12-27 14:02 . 2010-09-07 15:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-12-27 14:02 . 2010-09-07 15:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-12-27 14:02 . 2010-09-07 15:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-12-27 14:02 . 2010-09-07 15:47 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-12-27 14:02 . 2010-09-07 15:47 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-12-27 14:02 . 2010-09-07 15:46 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-12-27 14:02 . 2010-09-07 16:12 38848 ----a-w- c:\windows\avastSS.scr
    2010-12-27 14:02 . 2010-09-07 16:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
    2010-12-27 14:02 . 2010-12-27 14:02 -------- d-----w- c:\program files\Alwil Software
    2010-12-27 14:02 . 2010-12-27 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-12-27 16:05 . 2010-12-27 16:05 6371964 ----a-w- C:\UsbFix_Upload_Me_CYRIL-MARX.zip
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-16 7561216]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-07-12 417792]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
    "ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2002-08-07 54936]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
    Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
    2005-09-16 00:37 57344 ----a-w- c:\program files\Adobe\Photoshop Elements 4.0\apdproxy.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
    2005-12-28 10:56 602182 ----a-w- c:\program files\Intel\Wireless\Bin\iFrmewrk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2006-10-30 08:36 256576 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2004-10-13 17:24 1694208 ----a-w- c:\program files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-07-12 21:16 417792 ----a-w- c:\program files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\NetMeeting\\conf.exe"=
    "c:\\Program Files\\SPSSInc\\SPSS16EV\\spss.com"=
    "c:\\Program Files\\SPSSInc\\SPSS16EV\\spss.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\kav\\kis7.0\\french\\setup.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [27/12/2010 15:02 165584]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/12/2010 15:02 17744]
    R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [03/06/2009 14:46 92008]
    S2 gupdate1c995fd16a27a82;Service Google Update (gupdate1c995fd16a27a82);c:\program files\Google\Update\GoogleUpdate.exe [23/02/2009 22:24 133104]
    S3 ipswuio;ipswuio;c:\windows\system32\drivers\ipswuio.sys [01/06/2006 16:35 34944]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-28 c:\windows\Tasks\Symantec NetDetect.job
    - c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2006-07-16 08:04]

    2007-04-12 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]

    2010-12-28 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-23 19:30]

    2010-12-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-23 21:24]

    2010-12-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-23 21:24]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    Trusted Zone: canalplay.com
    Trusted Zone: canalplusactive.com
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-12-28 15:10
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(2244)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Intel\Wireless\Bin\EvtEng.exe
    c:\program files\Intel\Wireless\Bin\S24EvMon.exe
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\program files\Bluesocket MS IPSec Config Tool\BlueService.exe
    c:\program files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    c:\progra~1\3M\PSNLite\PSNGive.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
    c:\program files\Intel\Wireless\Bin\RegSrvc.exe
    c:\program files\Windows Media Player\WMPNetwk.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-12-28 15:13:00 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-12-28 14:12
    ComboFix2.txt 2010-12-28 12:27
    ComboFix3.txt 2010-12-27 18:49
    ComboFix4.txt 2010-12-27 18:17

    Avant-CF: 3 671 883 776 octets libres
    Après-CF: 3 666 771 968 octets libres

    - - End Of File - - 27510018D0071CEF30724F5BCADE9F7E
    0
  • 1
  • 2
  • 3
  • 4