Sujet Précédent Sujet Suivant

Profusion de virus

Résolu/Fermé
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 - 18 janv. 2011 à 22:54
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 - 20 janv. 2011 à 23:04
Bonjour, à vous tous


je viens vers vous en desespoir de cause...

depuis une semaine je suis confronté à des attaques virus, des erreurs windows et un multitudes de trojan.
pas plus tard qu'hier soir, j'ai lancé en mode sous echec spybot, malwarebytes, ccleaner et regclean.
tout ce quia été trouvé d'infectés je l'ai supprimé.

mais ca recommence...

concretement j'ai des erreurs windows du type genneric hosts for win32 a rencontré une erreur etc....
lorsque j'ouvre une page web via firefox, il arrive souvent que soit:
1 - la page qui s'ouvre n'a rien a voir avec celle voulu
2 - la page voulue s'ouvre mais un peu plus tard, un deuxieme onglet s'ouvre sur une autre page sans que j'ai demandé quoique ce soit

durant des années je n'ai jamais été attaqué comme cela par des virus.

j'ai meme fait une "reparation" avec le cd de windows mais rien n'y a changé

je poste ici le rapport hijack si ca peux vous aider.

si vous avez le temps de regarder ca serait vraiment cool

d'avance merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:30:27, on 18/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\userini.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\userini.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\agopian\Bureau\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

23 réponses

  • 1
  • 2
Réponse 1 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 janv. 2011 à 22:57
Bonsoir,

Télécharge OTL (de OldTimer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.exe pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

 netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
0
Réponse 2 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 00:38
bonsoir


voici les resultats

http://www.cijoint.fr/cjlink.php?file=cj201101/cijRd2JsCI.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijFRFnHC2.txt

juste a signaler que pendant le scan j'ai eu mon antivirus avira qui a bloque un aururun - C:\autorun.inf

..et juste avant de le lancer j'ai une nouvelle fois eu une erreur generic host for win 32 - ca me coupe le son de mes videos pour info



merci d'avance

georges
0
Réponse 3 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 06:32
Bonjour ce matin au reveil et apres avoir allumer le pc, j'ai deja eu une alerte de mon antivirus

Dans le fichier 'C:\WINDOWS\system32\userini.exe'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan] a été détecté.

et

Le fichier 'C:\WINDOWS\system32\userini.exe'
contenait un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan].
Action(s) exécutée(s) :
L'entrée de registre <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini> a été supprimée.
L'entrée de registre <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\userini> a été supprimée.
Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003.
Impossible de supprimer le fichier !
Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '574ff19a.qua' !
Impossible de supprimer l'entrée de registre <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini>.
Impossible de supprimer l'entrée de registre <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\userini>.
0
Réponse 4 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 19/01/2011 à 08:29
Re,

1/ Relance OTL.exe.

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL   
O4 - HKLM..\Run: [userini] C:\WINDOWS\system32\userini.exe ()  
O4 - HKU\.DEFAULT..\Run: [userini] C:\WINDOWS\system32\userini.exe ()  
O4 - HKU\S-1-5-18..\Run: [userini] C:\WINDOWS\system32\userini.exe ()  
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe ()  
[2011/01/18 02:02:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\agopian\Application Data\xssend2  
[2011/01/18 01:57:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\xssend2  
[2011/01/18 01:25:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2  
[2009/11/10 22:52:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP  

:reg  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]  
"C:\WINDOWS\TEMP\0.4739678682012026.exe"=-  
"C:\Documents and Settings\NetworkService\Application Data\xssend2\svcnost.exe"=-  
"C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2\csrss.exe"=-  
"C:\Documents and Settings\agopian\Application Data\xssend2\svcnost.exe"=-  

:files  
C:\WINDOWS\TEMP\0.4739678682012026.exe  

:Commands   
[EMPTYTEMP]  
[EMPTYFLASH]


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

2/ Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
Allez jusqu'au bout de la procédure de désinfection.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 16:08
Bonjour verni

ravi de vous revoir

j'ai fait tout ce qui etait enoncé et voici les resultats.

juste pour info au cas ou il y aurait une incidence
j'avais desactivé mon antivirus avira mais comme l'ordi a du redamarrer durant combofix, celui ci a du se reactiver a ce moment et il a trouvé ceci:

Dans le fichier 'C:\Documents and Settings\agopian\Local Settings\Temp\Av-test.txt'
un virus ou un programme indésirable 'Eicar-Test-Signature' [virus] a été détecté.
Action exécutée : Refuser l'accès

faut il que je recommence en allant avnt dans msconfig pour annuler mon antivirus au demarrage?

desolé mais je ne suis pas un super pro il faut avouer

1 OTL
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\userini not found.
C:\WINDOWS\system32\userini.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\userini not found.
File C:\WINDOWS\system32\userini.exe not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\userini not found.
File C:\WINDOWS\system32\userini.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\userini not found.
File C:\WINDOWS\system32\userini.exe not found.
C:\Documents and Settings\agopian\Application Data\xssend2 folder moved successfully.
C:\Documents and Settings\NetworkService\Application Data\xssend2 folder moved successfully.
C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\TEMP folder moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\TEMP\0.4739678682012026.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\NetworkService\Application Data\xssend2\svcnost.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2\csrss.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\agopian\Application Data\xssend2\svcnost.exe deleted successfully.
========== FILES ==========
File\Folder C:\WINDOWS\TEMP\0.4739678682012026.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 9076294 bytes
->Java cache emptied: 12030 bytes

User: LocalService
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 7360423 bytes

User: agopian
->Temp folder emptied: 72500734 bytes
->Temporary Internet Files folder emptied: 172316 bytes
->Java cache emptied: 21933 bytes
->FireFox cache emptied: 86068915 bytes
->Flash cache emptied: 11385 bytes

User: Administrateur
->Temporary Internet Files folder emptied: 32768 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 933240 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 28953446 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34465 bytes
RecycleBin emptied: 123098 bytes

Total Files Cleaned = 198,00 mb


[EMPTYFLASH]

User: Default User

User: All Users

User: NetworkService

User: LocalService

User: agopian
->Flash cache emptied: 0 bytes

User: Administrateur

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.20.2 log created on 01192011_151120

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


2 - combofix

ComboFix 11-01-18.04 - agopian 19/01/2011 15:42:10.1.1 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.710 [GMT 1:00]
Lancé depuis: c:\documents and settings\agopian\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Un antivirus résident est actif

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\agopian\Application Data\desktop.ini
c:\documents and settings\agopian\Application Data\inst.exe
c:\documents and settings\All Users.\documents\settings
c:\documents and settings\All Users\Application Data\.wtav
c:\documents and settings\NetworkService\Application Data\desktop.ini
c:\windows\system32\ReadMe.txt
c:\windows\system32\uninstall.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-19 au 2011-01-19 ))))))))))))))))))))))))))))))))))))
.

2011-01-19 14:11 . 2011-01-19 14:11 -------- d-----w- C:\_OTL
2011-01-18 22:45 . 2011-01-18 22:45 -------- d-----w- C:\FOUND.000
2011-01-18 18:14 . 2011-01-18 18:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-01-17 23:55 . 2010-09-18 06:53 974848 ------w- c:\windows\system32\dllcache\mfc42.dll
2011-01-17 23:55 . 2010-09-18 06:53 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
2011-01-17 23:55 . 2010-08-23 16:12 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
2011-01-17 23:54 . 2010-11-02 15:17 40960 ------w- c:\windows\system32\dllcache\ndproxy.sys
2011-01-17 09:42 . 2009-08-13 15:20 512000 ------w- c:\windows\system32\dllcache\jscript.dll
2011-01-17 09:41 . 2010-11-09 14:52 536576 ------w- c:\windows\system32\dllcache\msado15.dll
2011-01-17 09:41 . 2010-11-09 14:52 249856 ------w- c:\windows\system32\dllcache\odbc32.dll
2011-01-17 09:41 . 2010-11-09 14:52 200704 ------w- c:\windows\system32\dllcache\msadox.dll
2011-01-17 09:41 . 2010-11-09 14:52 180224 ------w- c:\windows\system32\dllcache\msadomd.dll
2011-01-17 09:41 . 2010-11-09 14:52 143360 ------w- c:\windows\system32\dllcache\msadco.dll
2011-01-17 09:41 . 2010-11-09 14:52 102400 ------w- c:\windows\system32\dllcache\msjro.dll
2011-01-17 09:41 . 2010-10-11 14:59 45568 ------w- c:\windows\system32\dllcache\wab.exe
2011-01-16 22:38 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\dllcache\bthport.sys
2011-01-16 22:38 . 2010-08-26 13:39 357248 ------w- c:\windows\system32\dllcache\srv.sys
2011-01-16 22:38 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2011-01-16 22:38 . 2009-11-21 15:58 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2011-01-16 22:37 . 2010-06-14 14:31 744448 ------w- c:\windows\system32\dllcache\helpsvc.exe
2011-01-16 22:36 . 2009-02-06 10:10 227840 ------w- c:\windows\system32\dllcache\wmiprvse.exe
2011-01-16 22:36 . 2009-03-06 14:20 286720 ------w- c:\windows\system32\dllcache\pdh.dll
2011-01-16 22:36 . 2009-02-09 11:23 111104 ------w- c:\windows\system32\dllcache\services.exe
2011-01-16 22:36 . 2009-02-09 10:53 401408 ------w- c:\windows\system32\dllcache\rpcss.dll
2011-01-16 22:36 . 2009-02-09 10:53 473600 ------w- c:\windows\system32\dllcache\fastprox.dll
2011-01-16 22:36 . 2009-02-09 10:53 685568 ------w- c:\windows\system32\dllcache\advapi32.dll
2011-01-16 22:36 . 2009-02-09 10:53 453120 ------w- c:\windows\system32\dllcache\wmiprvsd.dll
2011-01-16 22:36 . 2009-02-09 10:53 739840 ------w- c:\windows\system32\dllcache\ntdll.dll
2011-01-16 22:36 . 2009-06-21 21:47 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2011-01-16 22:35 . 2010-06-18 13:36 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2011-01-16 22:35 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
2011-01-16 22:34 . 2008-05-01 14:36 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2011-01-16 22:34 . 2009-08-25 09:18 354816 ------w- c:\windows\system32\dllcache\winhttp.dll
2011-01-15 22:49 . 2010-07-16 12:04 221696 ------w- c:\windows\system32\dllcache\wordpad.exe
2011-01-15 22:42 . 2010-06-14 07:42 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll
2011-01-15 22:40 . 2010-04-28 05:43 2148352 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe
2011-01-15 22:40 . 2010-04-28 05:43 2026496 ------w- c:\windows\system32\dllcache\ntkrpamp.exe
2011-01-15 22:40 . 2010-04-28 05:43 2068864 ------w- c:\windows\system32\dllcache\ntkrnlpa.exe
2011-01-15 22:40 . 2010-08-27 08:02 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
2011-01-15 22:40 . 2009-10-15 16:32 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
2011-01-15 22:38 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
2011-01-15 22:28 . 2009-07-31 09:03 1372672 ------w- c:\windows\system32\dllcache\msxml6.dll
2011-01-15 22:28 . 2008-04-13 18:04 93184 ------w- c:\windows\system32\dllcache\msxml6r.dll
2011-01-15 22:27 . 2008-04-13 18:32 103424 ------w- c:\windows\system32\dllcache\dpcdll.dll
2011-01-15 22:22 . 2008-04-13 18:34 294912 ------w- c:\windows\system32\dllcache\dlimport.exe
2011-01-15 21:42 . 2001-08-23 16:47 26112 ----a-w- c:\windows\system32\dllcache\EXCH_seos.dll
2011-01-15 21:41 . 2002-09-07 00:00 8704 ----a-w- c:\windows\system32\dllcache\infoctrs.dll
2011-01-15 21:40 . 2002-09-07 00:00 45568 ----a-w- c:\windows\system32\dllcache\browscap.dll
2011-01-15 21:37 . 2002-09-07 00:00 16384 ----a-w- c:\windows\system32\dllcache\isignup.exe
2011-01-15 21:37 . 2002-09-07 00:00 16384 ----a-w- c:\program files\Internet Explorer\Connection Wizard\isignup.exe
2011-01-15 21:26 . 2002-09-07 00:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2011-01-15 21:26 . 2002-09-07 00:00 24661 ----a-w- c:\windows\system32\dllcache\spxcoins.dll
2011-01-15 21:26 . 2002-09-07 00:00 13312 ----a-w- c:\windows\system32\irclass.dll
2011-01-15 21:26 . 2002-09-07 00:00 13312 ----a-w- c:\windows\system32\dllcache\irclass.dll
2011-01-06 21:40 . 2011-01-06 21:40 -------- d-----w- c:\documents and settings\agopian\.sears
2010-12-30 23:20 . 2010-12-30 23:20 -------- d-----w- c:\program files\ConvertHelper
2010-12-30 14:27 . 2010-12-30 14:27 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2009-09-09 23:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2009-09-09 23:16 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-13 14:45 . 2009-09-09 22:56 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-13 14:45 . 2009-09-09 22:56 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-18 18:12 . 2009-09-08 23:19 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-09 14:52 . 2004-08-04 03:54 249856 ----a-w- c:\windows\system32\odbc32.dll
2010-11-05 05:05 . 2004-08-04 03:54 671232 ----a-w- c:\windows\system32\wininet.dll
2010-11-05 05:05 . 2004-08-04 03:54 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-11-05 05:05 . 2004-08-04 01:59 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-11-05 05:02 . 2004-08-04 03:41 371200 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2002-09-06 23:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:14 . 2004-08-04 03:52 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:07 . 2004-08-04 03:45 1853440 ----a-w- c:\windows\system32\win32k.sys
2006-05-03 10:06 163328 --sha-r- c:\windows\system32\flvDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRun "= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 18:34 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2010-12-20 17:08 443728 ----a-w- c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MRT]
2011-01-13 02:00 37403080 ----a-w- c:\windows\system32\MRT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2005-01-04 13:17 1937408 ------w- c:\progra~1\Ahead\NEROBA~1\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-10-22 11:22 7700480 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-10-22 11:22 86016 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-10-22 11:22 1622016 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-12-17 00:14 395640 ----a-w- c:\program files\uTorrent\uTorrent.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"36950:UDP"= 36950:UDP:µTorrent
"36950:TCP"= 36950:TCP:µTorrent

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/09/2009 23:56 135336]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30/01/2010 00:06 691696]
S1 MpKslc3478327;MpKslc3478327;\??\c:\windows\system32\MpEngineStore\MpKslc3478327.sys --> c:\windows\system32\MpEngineStore\MpKslc3478327.sys [?]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [20/10/2004 14:23 21344]
.
Contenu du dossier 'Tâches planifiées'

2011-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\agopian\Application Data\Mozilla\Firefox\Profiles\ufa4esgd.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach
FF - Ext: URL Flipper: urlflipper@mozilla.ktechcomputing.com - %profile%\extensions\urlflipper@mozilla.ktechcomputing.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10k_Plugin.exe
MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe
MSConfigStartUp-userini - c:\windows\system32\userini.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-19 15:51
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST340810A rev.3.93 -> Harddisk0\DR0 -> \Device\Ide\IdePort0 P0T0L0-3

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8671A555]<<
c:\docume~1\agopian\LOCALS~1\Temp\catchme.sys
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x867207b0]; MOV EAX, [0x8672082c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x86750AB8]
3 CLASSPNP[0xF786FFD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000060[0x8678FF18]
5 ACPI[0xF77E5620] -> nt!IofCallDriver[0x804E37D5] -> [0x86777D98]
\Driver\atapi[0x867882A8] -> IRP_MJ_CREATE -> 0x8671A555
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; }
detected disk devices:
\Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskST340810A_______________________________3.93____#4635384236415431202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
\Driver\atapi DriverStartIo -> 0x8671A39B
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1645522239-606747145-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2011-01-19 15:54:18
ComboFix-quarantined-files.txt 2011-01-19 14:54

Avant-CF: 5 887 025 152 octets libres
Après-CF: 5 857 419 264 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - A520B3A0F306E4E0DA0549C2C6A7BDF7
0
Réponse 6 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 janv. 2011 à 16:19
Re,

Pour antivir, cela me semble normal.
Les fichiers autorun.inf sont détectés et bloqués depuis la version 10.

Les deux fichiers C:\autorun.inf et D:\autorun.inf me semblent être des vaccins crées par USBFix ou Panda.
Cela te dit quelque chose ?
On le vérifiera.

--------------------------------------------------------------

Il y a sans doute une infection plus sévère sur le PC.

Télécharge TDSSKiller sur ton Bureau.

# Décompresse le (clic droit sur le fichier et extraire) sur le bureau.
# dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau
# Faire un double clic sur TDSSKiller.exe pour le lancer.
# Cliquer sur Start scan pour lancer l'analyse,

# Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,
# Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
# Puis cliquer sur le bouton Continue.
# Attendre l'affichage du fichier rapport.
# Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer.

Envoyer en réponse le rapport de TDSSKiller

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

A+
0
Réponse 7 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 16:35
Re

Les deux fichiers C:\autorun.inf et D:\autorun.inf me semblent être des vaccins crées par USBFix ou Panda.
Cela te dit quelque chose ?
On le vérifiera.


Excuse moi mais là je ne sais vraiment pas ce que ca veut dire

voici le rapport

juste pour info une nouvelle fois, alors que je lisais ton dernier message, et sans que je ne touche a rien, un nouvel onglet s'est ouvert comme ca arrive souvent en ce moment et je l'ai refermé aussitot - j'ai beaucoup de redirection en ce moment...

2011/01/19 16:27:12.0562 TDSS rootkit removing tool 2.4.14.0 Jan 18 2011 09:33:51
2011/01/19 16:27:12.0562 ================================================================================
2011/01/19 16:27:12.0562 SystemInfo:
2011/01/19 16:27:12.0562
2011/01/19 16:27:12.0562 OS Version: 5.1.2600 ServicePack: 3.0
2011/01/19 16:27:12.0562 Product type: Workstation
2011/01/19 16:27:12.0562 ComputerName: GEORGES
2011/01/19 16:27:12.0562 UserName: agopian
2011/01/19 16:27:12.0562 Windows directory: C:\WINDOWS
2011/01/19 16:27:12.0562 System windows directory: C:\WINDOWS
2011/01/19 16:27:12.0562 Processor architecture: Intel x86
2011/01/19 16:27:12.0562 Number of processors: 1
2011/01/19 16:27:12.0562 Page size: 0x1000
2011/01/19 16:27:12.0562 Boot type: Normal boot
2011/01/19 16:27:12.0562 ================================================================================
2011/01/19 16:27:13.0062 Initialize success
2011/01/19 16:27:22.0984 ================================================================================
2011/01/19 16:27:22.0984 Scan started
2011/01/19 16:27:22.0984 Mode: Manual;
2011/01/19 16:27:22.0984 ================================================================================
2011/01/19 16:27:24.0078 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/01/19 16:27:24.0203 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/01/19 16:27:24.0562 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/01/19 16:27:24.0781 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/01/19 16:27:25.0765 AmdK7 (d3dabc57be6d456dfd4bc026cfa582ff) C:\WINDOWS\system32\DRIVERS\AMDK7.SYS
2011/01/19 16:27:26.0765 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/01/19 16:27:26.0906 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/01/19 16:27:27.0250 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/01/19 16:27:27.0500 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/01/19 16:27:27.0671 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
2011/01/19 16:27:27.0890 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/01/19 16:27:28.0093 avipbb (c306f96b5eac2d58774780ec4af5467b) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/01/19 16:27:28.0234 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/01/19 16:27:28.0562 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/01/19 16:27:28.0890 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/01/19 16:27:29.0015 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/01/19 16:27:29.0171 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/01/19 16:27:30.0390 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/01/19 16:27:30.0625 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/01/19 16:27:31.0265 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\DRIVERS\dmio.sys
2011/01/19 16:27:31.0500 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/01/19 16:27:32.0328 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/01/19 16:27:33.0812 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/01/19 16:27:34.0812 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/01/19 16:27:35.0265 fbxusb (504e93682655a7b3af1fb5bff3f44322) C:\WINDOWS\system32\DRIVERS\fbxusb32.sys
2011/01/19 16:27:35.0531 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/01/19 16:27:36.0078 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/01/19 16:27:36.0218 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/01/19 16:27:36.0421 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/01/19 16:27:36.0578 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/01/19 16:27:36.0734 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/01/19 16:27:37.0765 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/01/19 16:27:37.0968 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/01/19 16:27:38.0171 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/01/19 16:27:38.0578 HSFHWBS2 (970178e8e003eb1481293830069624b9) C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys
2011/01/19 16:27:38.0906 HSF_DP (ebb354438a4c5a3327fb97306260714a) C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys
2011/01/19 16:27:39.0203 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/01/19 16:27:39.0796 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/01/19 16:27:40.0000 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/01/19 16:27:40.0578 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/01/19 16:27:41.0328 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/01/19 16:27:41.0781 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/01/19 16:27:41.0921 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/01/19 16:27:42.0046 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/01/19 16:27:42.0187 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/01/19 16:27:42.0312 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/01/19 16:27:42.0468 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/01/19 16:27:42.0671 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/01/19 16:27:42.0890 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/01/19 16:27:43.0328 mdmxsdk (195741aee20369980796b557358cd774) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/01/19 16:27:43.0500 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/01/19 16:27:43.0656 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/01/19 16:27:43.0843 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/01/19 16:27:43.0984 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/01/19 16:27:44.0140 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/01/19 16:27:45.0343 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/01/19 16:27:45.0578 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/01/19 16:27:45.0859 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/01/19 16:27:46.0031 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/01/19 16:27:46.0234 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/01/19 16:27:46.0375 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/01/19 16:27:46.0546 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/01/19 16:27:46.0765 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/01/19 16:27:48.0500 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/01/19 16:27:48.0671 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/01/19 16:27:49.0375 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/01/19 16:27:49.0531 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/01/19 16:27:49.0640 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/01/19 16:27:50.0062 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/01/19 16:27:50.0250 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/01/19 16:27:50.0453 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/01/19 16:27:50.0671 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/01/19 16:27:51.0578 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/01/19 16:27:52.0078 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/01/19 16:27:53.0312 nv (ba1b732c1a70cfea0c1b64f2850bf44f) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/01/19 16:27:54.0265 nvax (163cd7728440a1901e72e7207fa5877a) C:\WINDOWS\system32\drivers\nvax.sys
2011/01/19 16:27:54.0453 NVENET (c8400ca70bf8a30156487bf887886432) C:\WINDOWS\system32\DRIVERS\NVENET.sys
2011/01/19 16:27:54.0671 nvnforce (f573f587abed7c750b66ab96143ca1e9) C:\WINDOWS\system32\drivers\nvapu.sys
2011/01/19 16:27:54.0984 nv_agp (db36442c20793c53b4128eb85f9a3d32) C:\WINDOWS\system32\DRIVERS\nv_agp.sys
2011/01/19 16:27:55.0109 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/01/19 16:27:55.0265 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/01/19 16:27:55.0375 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/01/19 16:27:55.0562 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/01/19 16:27:55.0734 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/01/19 16:27:56.0000 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/01/19 16:27:56.0328 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/01/19 16:27:56.0484 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/01/19 16:27:56.0687 pcouffin (5b6c11de7e839c05248ced8825470fef) C:\WINDOWS\system32\Drivers\pcouffin.sys
2011/01/19 16:27:58.0531 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/01/19 16:27:58.0671 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/01/19 16:27:59.0062 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/01/19 16:28:00.0406 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/01/19 16:28:00.0531 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/01/19 16:28:00.0718 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/01/19 16:28:00.0968 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/01/19 16:28:01.0171 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/01/19 16:28:01.0343 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/01/19 16:28:01.0515 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/01/19 16:28:01.0906 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/01/19 16:28:02.0140 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/01/19 16:28:02.0406 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/01/19 16:28:02.0546 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/01/19 16:28:02.0843 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/01/19 16:28:03.0109 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/01/19 16:28:03.0703 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/01/19 16:28:04.0093 sptd (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys
2011/01/19 16:28:04.0359 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/01/19 16:28:04.0609 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/01/19 16:28:04.0937 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/01/19 16:28:05.0078 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/01/19 16:28:05.0281 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/01/19 16:28:06.0265 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/01/19 16:28:06.0515 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/01/19 16:28:06.0765 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/01/19 16:28:06.0968 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/01/19 16:28:07.0171 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/01/19 16:28:07.0625 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/01/19 16:28:08.0062 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/01/19 16:28:08.0296 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/01/19 16:28:08.0500 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/01/19 16:28:08.0671 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/01/19 16:28:08.0890 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/01/19 16:28:09.0140 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/01/19 16:28:09.0312 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/01/19 16:28:09.0484 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/01/19 16:28:09.0828 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/01/19 16:28:10.0281 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/01/19 16:28:10.0656 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/01/19 16:28:10.0890 winachsf (1225ebea76aac3c84df6c54fe5e5d8be) C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys
2011/01/19 16:28:11.0250 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/01/19 16:28:11.0265 ================================================================================
2011/01/19 16:28:11.0265 Scan finished
2011/01/19 16:28:11.0265 ================================================================================
2011/01/19 16:28:11.0312 Detected object count: 1
2011/01/19 16:28:32.0687 \HardDisk0 - will be cured after reboot
2011/01/19 16:28:32.0687 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure
2011/01/19 16:28:46.0796 Deinitialize success
0
Réponse 8 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 janv. 2011 à 16:44
pasterma,

1/ Pour les fichiers autorun.inf et Antivir :
https://support.avira.com/hc/en-us/community/topics

Un vaccin est un fichier autorun.inf crée pour empêcher des infections de se propager via des supports amovibles comme les clés USB.

On va vérifier pour ces fichiers autorun.inf présents sur ton PC.

Télécharge USBFix ( par El Desaparecido ) sur ton bureau.

* Double clique sur UsbFix.exe présent sur ton bureau .
* clique sur Recherche .
* Un message t'avertira de brancher les supports amovibles.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
FAIS-LE.
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

2/ Pour vérifier que le rootkit a bien été éliminé.

Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files

Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.

Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.

# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

A+
0
Réponse 9 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 17:07
Voila le resultat... pas terrible on dirait hein...


USBFIX

############################## | UsbFix 7.038 | [Recherche]

Utilisateur: agopian (Administrateur) # GEORGES [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 16:49:33 | 19/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) XP 1700+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 15 Go (5 Go libre(s) - 37%) [] # FAT32
D:\ -> Disque fixe # 21 Go (13 Go libre(s) - 65%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 99%) [] # FAT32

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
D:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

################## | E.O.F |


GMER a trouve ca
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-01-19 16:57:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST340810A rev.3.93
Running: 79603m0b.exe; Driver: C:\DOCUME~1\agopian\LOCALS~1\Temp\fwldqpob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

et voici le scan

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-19 17:03:36
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST340810A rev.3.93
Running: 79603m0b.exe; Driver: C:\DOCUME~1\agopian\LOCALS~1\Temp\fwldqpob.sys


---- System - GMER 1.0.15 ----

SSDT F7F3369E ZwCreateKey
SSDT F7F33694 ZwCreateThread
SSDT F7F336A3 ZwDeleteKey
SSDT F7F336AD ZwDeleteValueKey
SSDT F7F336B2 ZwLoadKey
SSDT F7F33680 ZwOpenProcess
SSDT F7F33685 ZwOpenThread
SSDT F7F336BC ZwReplaceKey
SSDT F7F336B7 ZwRestoreKey
SSDT F7F336A8 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF7CC1392]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6F62360, 0x24BB1D, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x01 0x39 0x1A 0xBB ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x01 0x39 0x1A 0xBB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x01 0x39 0x1A 0xBB ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x01 0x39 0x1A 0xBB ...

---- EOF - GMER 1.0.15 ----
0
Réponse 10 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 janv. 2011 à 18:03
pasterma, 

Voila le resultat... pas terrible on dirait hein...

Non. USBfix a trouvé quelques clés avec des valeurs changées.
pas toujours le signe d'une infection.

Et pour les fichiers autorun.inf : 

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
D:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

C'est bien ce que je te disais. Les lecteurs sont vaccinés et protégés contre des infections.
Tout à fait normal que Antivir les bloque.

----------------------------------------------------

1/ relance USBFix et choisis suppression.

2/ des restes d'adware ( ou publiciels ) à supprimer.

Télécharge AD-Remover de C_XX sur ton bureau :
http://www.teamxscript.org/too/AD-R.exe

Tu te déconnectes du net et ferme toutes les applications en cours.

Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur.
Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm

* Double-clique sur AD-R.exe .
* Au menu principal, choisis l'option "nettoyer" pour effectuer le nettoyage .
* Suis les invites.
* Le PC va te demander de redémarrer pour procéder au nettoyage. Accepte

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.

Note : Il se trouve en C:\AD-Report-Clean.log

A+
0
Réponse 11 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 18:59
Salut

voici les rapports

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: agopian (Administrateur) # GEORGES [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 18:44:13 | 19/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) XP 1700+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 15 Go (5 Go libre(s) - 37%) [] # FAT32
D:\ -> Disque fixe # 21 Go (13 Go libre(s) - 65%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 99%) [] # FAT32

################## | Éléments infectieux |


Supprimé! D:\Recycler\S-1-5-21-1645522239-606747145-725345543-1003
Supprimé! D:\Recycler\S-1-5-21-1935655697-1972579041-1801674531-1003

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[19/01/2011 - 16:29:58 | ASH | 1610612736] C:\PAGEFILE.SYS
[09/09/2009 - 00:01:50 | D ] C:\WINDOWS
[19/01/2011 - 16:30:00 | ASH | 1073254400] C:\hiberfil.sys
[07/09/2002 - 00:00:00 | N | 4952] C:\Bootfont.bin
[11/09/2009 - 01:18:44 | N | 252240] C:\ntldr
[04/08/2004 - 02:38:34 | N | 47564] C:\NTDETECT.COM
[18/01/2011 - 23:45:04 | D ] C:\FOUND.000
[09/09/2009 - 00:07:08 | D ] C:\Documents and Settings
[15/01/2011 - 22:38:28 | D ] C:\Program Files
[09/09/2009 - 00:23:38 | N | 0] C:\CONFIG.SYS
[09/09/2009 - 00:23:38 | N | 0] C:\AUTOEXEC.BAT
[09/09/2009 - 00:23:38 | N | 0] C:\IO.SYS
[09/09/2009 - 00:23:38 | N | 0] C:\MSDOS.SYS
[09/09/2009 - 00:31:48 | SHD ] C:\System Volume Information
[19/01/2011 - 15:33:30 | N | 328] C:\boot.ini
[19/01/2011 - 15:11:22 | D ] C:\_OTL
[24/03/2010 - 11:49:52 | RAD ] C:\autorun.inf
[19/01/2011 - 15:33:24 | D ] C:\cmdcons
[03/08/2004 - 23:00:08 | N | 263488] C:\cmldr
[19/01/2011 - 15:30:46 | D ] C:\Qoobox
[19/01/2011 - 16:40:20 | SHD ] C:\Recycled
[18/01/2011 - 16:44:34 | N | 212] C:\Boot.bak
[19/01/2011 - 15:54:22 | N | 16035] C:\ComboFix.txt
[19/01/2011 - 16:28:48 | N | 33582] C:\TDSSKiller.2.4.14.0_19.01.2011_16.27.12_log.txt
[19/01/2011 - 16:47:48 | D ] C:\UsbFix
[19/01/2011 - 18:42:30 | N | 1247] C:\UsbFix.txt
[10/09/2009 - 01:00:52 | D ] C:\NVIDIA
[10/09/2009 - 22:39:30 | D ] C:\PNP
[28/11/2009 - 11:32:22 | D ] C:\[Download]
[18/01/2011 - 19:28:14 | D ] D:\20111801_192256_agopian
[24/03/2010 - 11:49:52 | RAD ] D:\autorun.inf
[06/12/2010 - 00:34:01 | D ] D:\Casino.Jack.2010.DVDRip.XviD.AC3-ViSiON
[14/12/2010 - 00:52:03 | D ] D:\fringe
[19/01/2011 - 18:44:25 | SHD ] D:\RECYCLER
[14/01/2011 - 18:40:42 | D ] D:\Red 2010 BRRip 720p H264 AAC - MXMG
[15/01/2011 - 12:19:17 | D ] D:\Red.Hill.LIMITED.BDRip .XviD.NeDiVx-
[19/01/2011 - 06:22:37 | SHD ] D:\System Volume Information
[13/12/2009 - 01:45:19 | ASH | 533634] D:\Thumbs.db

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_GEORGES.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |



et ADR

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 19/01/11 à 17:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:52:07 le 19/01/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
agopian@GEORGES ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\agopian\Application Data\Mozilla\FireFox\Profiles\ufa4esgd.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true);
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\agopian\Application Data\Mozilla\FireFox\Profiles\ufa4esgd.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\agopian\\Bureau
browser.download.lastDir, C:\\Documents and Settings\\agopian\\Bureau
browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 19/01/2011 (922 Octet(s))

Fin à: 18:52:49, 19/01/2011

============== E.O.F ==============



Merci
0
Réponse 12 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 janv. 2011 à 19:07
OK,

Relance OTL et choisis Analyse.
Poste le rapport en utilisant le site http://cijoint.fr

A+
0
Réponse 13 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 19:11
est ce que je dois cocher tous les utilisateurs ???
0
Réponse 14 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 janv. 2011 à 19:11
Oui, tu peux.
0
Réponse 15 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 19:22
voici le rapport

a noter que pendant le scan, antivir a bloqué à 2 reprises autorun.inf

http://www.cijoint.fr/cjlink.php?file=cj201101/cijy6p6ra3.txt


A +

georges
0
Réponse 16 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 janv. 2011 à 20:53
Re,

1/ Relance OTL.exe.

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL
[2010/10/07 10:34:12 | 000,000,020 | ---- | C] () -- C:\Documents and Settings\LocalService\Application Data\cnmkat.dat


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Poste le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

2/ fais un scan en ligne avec ESET :
Tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Poste le rapport si infections.

A+
0
Réponse 17 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 22:22
milles excuses mais il a fallu que je m'absente 2 heures.
je vais faire de suite ce que tu m'as dit
0
Réponse 18 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
19 janv. 2011 à 23:10
voici les resultats




========== OTL ==========
C:\Documents and Settings\LocalService\Application Data\cnmkat.dat moved successfully.

OTL by OldTimer - Version 3.2.20.2 log created on 01192011_222337


ESET a trouve ca


C:\_OTL\MovedFiles\01192011_151120\C_Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2\csrss.exe une variante de Win32/Kryptik.JUX cheval de troie nettoyé par suppression - mis en quarantaine


dois je supprimer le fichier mis en quarantain...

merci
0
Réponse 19 / 23
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 janv. 2011 à 23:21
patersma,

les fichiers en quarantaine seront supprimés lorsqu'on enlevera les outils.

---------------------------------

mets à jour le PC.

1/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

* Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
* Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
* Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

* clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
* Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
* Si oui, clique sur Installer puis suis les invites.

Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

* Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
* Suis les invites.
* Il te sera précisé de la suppression les versions trouvées et supprimées

2/ mets à jour adobe reader ( et désinstalle ensuite la version 9.4 ):
https://get2.adobe.com/fr/reader/otherversions/

3/ Va sur le site de secunia et mets à jour les plugins du PC :
https://www.flexera.com/products/operations/software-vulnerability-management.html

On termine ensuite.

A+
0
Réponse 20 / 23
pasterma Messages postés 380 Date d'inscription mercredi 6 août 2008 Statut Membre Dernière intervention 30 mars 2024 1
20 janv. 2011 à 00:00
voila tout est fait...
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses