Bouillon de culture Résolu/Fermé

Question

Bonjour, 

J'ai récupéré ce matin l'ordi d'un ami qui semblait surinfecté...et j'étais loin du compte.

Je poste ci-apres le log combofix, et j'aimerais avoir de l'aide pour continuer la desinfection : redirection de pages à partir de Goggle, sur Google Chrome et sur Internet Explorer.

ComboFix 11-01-20.03 - Michel 21/01/2011  13:02:50.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1279.878 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Michel\Application Data\avdrn.dat
c:\documents and settings\Michel\Application Data\desktop.ini
c:\documents and settings\Michel\Application Data\download2
c:\documents and settings\Michel\Application Data\xssend2
c:\documents and settings\Michel\Menu Démarrer\Programmes\System Tool
c:\windows\system32\drivers\srenum.sys
c:\windows\system32\qtplugin.exe

Une copie infectée de c:\windows\system32\drivers\mouclass.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_srenum
-------\Service_srenum


(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-21 au 2011-01-21  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10e.exe" [2010-01-27 256280]

c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=

R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers
disrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'

2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2001-04-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-mssend - c:\documents and settings\Michel\Application Data\xssend2\svcnost.exe
HKLM-Run-download - c:\documents and settings\Michel\Application Data\download2\svcnost.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 13:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2380)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32undll32.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21  13:15:53 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-01-21 12:15

Avant-CF: 52 782 878 720 octets libres
Après-CF: 53 182 504 960 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - AD146C3C5FFD1EA047D2CF55A14A2207


Merci

moment de grace · Answer

bonjour

effectivement

infecté par Batimal...et autre

1)

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

______________

2)

fais ZHPSearch comme expliqué ici

https://www.commentcamarche.net/faq/30383-infection-bamital#zhpsearch

hisaeh · Answer

Merci de ton intervention .

Etape 1 :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij7v2Mjx6.txt

hisaeh · Answer

Etape 2 :

Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
Run by Michel at 21/01/2011 15:34:12
Windows XP Home Edition Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.AB9E757EAE865B5E0B7B48697222F006] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier patché
[MD5.103DE23E2D27BCE322154D38D95A1D8B] 21/01/2011 14:58:21 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [74210]
[MD5.CFCB116CD07E72259E0289C72DD7B4F1] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\system32\winlogon.exe [512000]   => Fichier patché
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432]   => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 7
Nombre de fichiers analysés : 57162
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 21s)

moment de grace · Answer

ok

pas fichiers de rechange

as tu le cd de xp ?

hisaeh · Answer

Voui...

moment de grace · Answer

ok

on va faire autrement

télécharge ces deux fichiers et copie les à la racine de C

http://sd-2.archive-host.com/membres/up/135518691112296573/explorer_97.exe

http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon_98.exe

puis

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

FCopy:: 

c:\ explorer.exe | c:\windows\explorer.exe 

c:\ winlogon.exe | c:\windows\system32\winlogon.exe



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

................................

si tu n'as pas de message d'erreur

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


je regarderai tout à l'heure (je bouge)

hisaeh · Answer

Rapport Combo :

ComboFix 11-01-20.04 - Michel 21/01/2011  16:57:28.2.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1279.901 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-21 au 2011-01-21  ))))))))))))))))))))))))))))))))))))
.

2011-01-21 15:48 . 2011-01-21 15:48	512000	----a-w-	C:\winlogon_98.exe
2011-01-21 15:48 . 2011-01-21 15:48	1037824	----a-w-	C:\explorer_97.exe
2011-01-21 14:29 . 2011-01-21 14:34	--------	d-----w-	c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2011-01-21 14:02 . 2011-01-21 14:02	28752	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys
2011-01-21 14:01 . 2011-01-13 00:41	5890896	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58	--------	d-----w-	C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45	--------	d-----w-	C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42	--------	d-----w-	C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41	--------	d-----w-	C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58	3365	----a-w-	C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.

------- Sigcheck -------

[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
(((((((((((((((((((((((((((((   SnapShot@2011-01-21_12.12.59   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51	222080              c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09	233936              c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09	311248              c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03	2297344              c:\windows\Installer\67553.msi
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=

R1 MpKsl70f528a0;MpKsl70f528a0;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [21/01/2011 15:02 28752]
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers
disrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MPKSL70F528A0
.
Contenu du dossier 'Tâches planifiées'

2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title = 
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-RunOnce-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10e.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 17:00
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\COMRes.dll
.
Heure de fin: 2011-01-21  17:02:39
ComboFix-quarantined-files.txt  2011-01-21 16:02
ComboFix2.txt  2011-01-21 12:15

Avant-CF: 52 819 996 672 octets libres
Après-CF: 52 819 943 424 octets libres

- - End Of File - - 29EE9A3CBC2D0C70F6F948186272D0AA

hisaeh · Answer

Et nouveau DIAG  :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijQtTt2Ld.txt

moment de grace · Answer

la manip n'a pas pris

on fait autrement

retélécharge les deux fichiers comme tout à l'heure

puis

Grave ce OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start= 
Tu boots dessus, le but étant d'arriver sur un système d'exploitation alternatif qui permet d'accéder aux fichiers de ton Windows. 

Copie C:\winlogon.exe en remplacement de C:\WINDOWS\system32\winlogon.exe 

et copie C:\explorer.exe sur C:\WINDOWS\explorer.exe 

Redémarre sur ton Windows normalement. 

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

moment de grace · Answer

non


télécharge et dézippe à la racine de C les deux fichiers

http://sd-2.archive-host.com/membres/up/135518691112296573/explorer__winlogon.rar


/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

gsjztds
obtgmrv



Folder::

c:\windows\TEMP\5640a22679b1
c:\windows\TEMP\54809d729ac0


FCopy:: 

c:\ explorer.exe | c:\windows\explorer.exe 

c:\ winlogon.exe | c:\windows\system32\winlogon.exe



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

hisaeh · Answer

ComboFix 11-01-20.04 - Michel 21/01/2011  19:15:38.5.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1279.918 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\explorer.exe
C:\winlogon.exe

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GSJZTDS
-------\Legacy_OBTGMRV
-------\Service_gsjztds
-------\Service_obtgmrv


(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-21 au 2011-01-21  ))))))))))))))))))))))))))))))))))))
.

2011-01-21 18:08 . 2011-01-21 18:08	--------	d-----w-	c:\program files\7-Zip
2011-01-21 14:29 . 2011-01-21 17:46	--------	d-----w-	c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2011-01-21 14:01 . 2011-01-13 00:41	5890896	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58	--------	d-----w-	C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45	--------	d-----w-	C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42	--------	d-----w-	C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41	--------	d-----w-	C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58	3365	----a-w-	C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.

------- Sigcheck -------

[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
(((((((((((((((((((((((((((((   SnapShot@2011-01-21_12.12.59   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51	222080              c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09	233936              c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09	311248              c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03	2297344              c:\windows\Installer\67553.msi
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=

R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers
disrd.sys [16/01/2001 20:48 20480]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S1 MpKsl70f528a0;MpKsl70f528a0;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'

2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title = 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 19:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3888)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21  19:22:47 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-01-21 18:22
ComboFix2.txt  2011-01-21 17:41
ComboFix3.txt  2011-01-21 16:43
ComboFix4.txt  2011-01-21 16:02
ComboFix5.txt  2011-01-21 18:14

Avant-CF: 52 925 476 864 octets libres
Après-CF: 52 924 686 336 octets libres

- - End Of File - - 146D48314629672255BB0707FE48987F

moment de grace · Answer

non

y avait un espace de trop !!!!!!!!!!!

donc même manip

téléchargement des fichiers et combo avec ce texte là

KillAll::


FCopy::

c:\explorer.exe | c:\windows\explorer.exe

c:\winlogon.exe | c:\windows\system32\winlogon.exe

hisaeh · Answer

ComboFix 11-01-20.04 - Michel 21/01/2011  20:37:30.6.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1279.941 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\explorer.exe
C:\winlogon.exe

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.
--------------- FCopy ---------------

c:\explorer.exe --> c:\windows\explorer.exe
c:\winlogon.exe --> c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-21 au 2011-01-21  ))))))))))))))))))))))))))))))))))))
.

2011-01-21 18:08 . 2011-01-21 18:08	--------	d-----w-	c:\program files\7-Zip
2011-01-21 14:29 . 2011-01-21 18:27	--------	d-----w-	c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2011-01-21 14:01 . 2011-01-13 00:41	5890896	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58	--------	d-----w-	C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45	--------	d-----w-	C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42	--------	d-----w-	C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41	--------	d-----w-	C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58	3365	----a-w-	C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.

------- Sigcheck -------

[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
(((((((((((((((((((((((((((((   SnapShot@2011-01-21_12.12.59   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51	222080              c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09	233936              c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09	311248              c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03	2297344              c:\windows\Installer\67553.msi
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=

R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers
disrd.sys [16/01/2001 20:48 20480]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S1 MpKsl70f528a0;MpKsl70f528a0;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'

2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]

2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title = 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 20:43
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3180)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21  20:45:41 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-01-21 19:45
ComboFix2.txt  2011-01-21 18:22
ComboFix3.txt  2011-01-21 17:41
ComboFix4.txt  2011-01-21 16:43
ComboFix5.txt  2011-01-21 19:34

Avant-CF: 52 925 763 584 octets libres
Après-CF: 52 918 611 968 octets libres

- - End Of File - - C87F645541A6D057D1029FFE9483E0AD

moment de grace · Answer

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

moment de grace · Answer

il se réinfecte à chaque fois 

t'as vraiment pas un cd, même un effacable ? 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

moment de grace · Answer

on va essayé avec un autre outils 

1) 

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

O43 - CFD: 21/01/2011 - 12:12:10 ----D- C:\Documents and Settings\Michel\Application Data\szknogcpczdug2ugdqucxs1yd2vkp2g2      
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendfiudnymgaxwoadu1qhwyflzacazmcpc     
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendhnjrfkbzw1sfpysik3owwwujgabcsxp     
O43 - CFD: 21/01/2011 - 12:12:10 ----D- C:\Documents and Settings\Michel\Application Data\xssendkc2jnoyhovsvejwkwqaelk1oerzlcmq     
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendkvwmtbexgtiahzxgnfrdclepvd1j1ls     
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendwzctbduhsmh3zuiyc2wcxs3wmovkype  



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message  

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport  

_______________ 

2) 

dézippe à nouveau les deux fichiers sur C puis

Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

* dezippe le , Lance le , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image/img 

[img]http://imagesup.org/image/img 

Dans le cadre , sous Input Script here , copie_colle le contenu en gras ci dessous et clic execute: 

begin copying here: 

Files to move: 
c:\explorer.exe| c:\windows\explorer.exe 

c:\winlogon.exe | c:\windows\system32\winlogon.exe 



* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

hisaeh · Answer

Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : 
Run by Michel at 22/01/2011 08:09:06
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Dossier(s) ==========
C:\Documents and Settings\Michel\Application Data\szknogcpczdug2ugdqucxs1yd2vkp2g2  => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendfiudnymgaxwoadu1qhwyflzacazmcpc  => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendhnjrfkbzw1sfpysik3owwwujgabcsxp  => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendkc2jnoyhovsvejwkwqaelk1oerzlcmq  => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendkvwmtbexgtiahzxgnfrdclepvd1j1ls  => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendwzctbduhsmh3zuiyc2wcxs3wmovkype  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
6 : Dossier(s)


End of the scan

hisaeh · Answer

Raté on dirait....

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\explorer.exe" is whitelisted
File move operation "c:\explorer.exe|c:\windows\explorer.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error:  file "c:\windows\system32\winlogon.exe" is whitelisted
File move operation "c:\winlogon.exe|c:\windows\system32\winlogon.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished!  Terminate.

moment de grace · Answer

OLTPE

=> https://forums.commentcamarche.net/forum/affich-20602774-bouillon-de-culture#11

hisaeh · Answer

Je crois que ça veut pas, il doit se reinfecter au demarrage...


http://www.cijoint.fr/cjlink.php?file=cj201101/cijgHpfv9c.txt

moment de grace · Answer

non

je pense que c'est bon

passe les deux fichiers sur VT

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


c:\windows\explorer.exe

c:\windows\system32\winlogon.exe 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

hisaeh · Answer

Ca scan pour explorer.exe. Mais en allant chercher le fichier, juste en dessous il y en a un qui s'appelle explorer_original.exe ?? 


AhnLab-V3 2011.01.18.00 2011.01.17 - 
AntiVir 7.11.1.216 2011.01.21 - 
Antiy-AVL 2.0.3.7 2011.01.18 - 
Avast 4.8.1351.0 2011.01.21 - 
Avast5 5.0.677.0 2011.01.21 - 
AVG 10.0.0.1190 2011.01.21 - 
BitDefender 7.2 2011.01.22 - 
CAT-QuickHeal 11.00 2011.01.22 - 
ClamAV 0.96.4.0 2011.01.22 - 
Commtouch 5.2.11.5 2011.01.22 - 
Comodo 7468 2011.01.22 - 
DrWeb 5.0.2.03300 2011.01.22 - 
Emsisoft 5.1.0.1 2011.01.22 - 
eSafe 7.0.17.0 2011.01.20 - 
eTrust-Vet 36.1.8115 2011.01.21 - 
F-Prot 4.6.2.117 2011.01.21 - 
F-Secure 9.0.16160.0 2011.01.22 - 
Fortinet 4.2.254.0 2011.01.22 - 
GData 21 2011.01.22 - 
Ikarus T3.1.1.97.0 2011.01.22 - 
Jiangmin 13.0.900 2011.01.22 - 
K7AntiVirus 9.77.3618 2011.01.22 - 
Kaspersky 7.0.0.125 2011.01.22 - 
McAfee 5.400.0.1158 2011.01.22 - 
McAfee-GW-Edition 2010.1C 2011.01.22 - 
Microsoft 1.6502 2011.01.22 - 
NOD32 5807 2011.01.21 - 
Norman 6.06.12 2011.01.21 - 
nProtect 2011-01-18.01 2011.01.18 - 
Panda 10.0.2.7 2011.01.22 - 
PCTools 7.0.3.5 2011.01.22 - 
Prevx 3.0 2011.01.22 - 
Rising 23.41.04.06 2011.01.21 - 
Sophos 4.61.0 2011.01.22 - 
SUPERAntiSpyware 4.40.0.1006 2011.01.22 - 
Symantec 20101.3.0.103 2011.01.22 - 
TheHacker 6.7.0.1.118 2011.01.21 - 
TrendMicro 9.120.0.1004 2011.01.22 - 
TrendMicro-HouseCall 9.120.0.1004 2011.01.22 - 
VBA32 3.12.14.3 2011.01.21 - 
VIPRE 8151 2011.01.22 - 
ViRobot 2011.1.22.4268 2011.01.22 - 
VirusBuster 13.6.158.0 2011.01.21 - 
Additional informationShow all  
MD5   : f2317622d29f9ff0f88aeecd5f60f0dd 
SHA1  : d54b0b83de6ee5922dd90db1446872bf32062b25 
SHA256: 1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13 

Patience est mère de sûreté !

hisaeh · Answer

c'est ça que tu voulais :

http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1295682601

moment de grace · Answer

ok

faut que je me renseigne pour la suppression de ligne mais àpriori l'infection est traitée

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

hisaeh · Answer

Ok je lance Malwarebytes, et j'ai fait un scan Batimal sur ZHPsearch pour confirmer :
Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
Run by Michel at 22/01/2011 09:04:25
Windows XP Home Edition Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier sain
[MD5.0E3551F454198BA7DBC87C41F79DADD0] 22/01/2011 08:13:09 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [67724]
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ---A- | -- C:\Windows\system32\winlogon.exe [512000]   => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432]   => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 7
Nombre de fichiers analysés : 57234
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 23s)

hisaeh · Answer

Il me declare les fichiedrs qu'on a téléchargés...

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5564

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/01/2011 09:14:12
mbam-log-2011-01-22 (09-14-12).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 127300
Temps écoulé: 2 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\explorer.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.

moment de grace · Answer

oui

je vois et c'est bizarre mais bon..

comment se comporte le pc ?

moment de grace · Answer

il subsiste un doute

fais un scan en ligne ici 

copie colle le rapport final 

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

tuto pout t'aider 

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur

moment de grace · Answer

sinon y a celui ci

Télécharger Eset Nod32 : 
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe 
* Lancer le fichier 
* Accepter les conditions 
* Autoriser le programme à accéder à Internet 
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement) 
* Téléchargement des signatures 


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte ! 

* Le scan débute dés la fin du téléchargement 
* Générer le rapport 
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte... 



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum. 
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt 

Pour vous aider voici un tuto rédigé par dorgane : 
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

hisaeh · Answer

C'est que j'ai fais...c'est en cours à 74 %...

hisaeh · Answer

RAPPORT ESET :

C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir	Win32/Patched.GO cheval de troie
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir	une variante de Win32/Kryptik.CU cheval de troie
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir	Win32/Patched.GN cheval de troie
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006015.exe	Win32/Patched.GO cheval de troie
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006016.exe	Win32/Patched.GN cheval de troie
C:\WINDOWS\system32\ms.dll	Win32/Bamital.DV cheval de troie


confirmé par VT :
http://www.virustotal.com/file-scan/report.html?id=2ee23ec6d62143b6c9c3a4deb308eb5b84ec7732356823e80b2db83d45146887-1295693248

moment de grace · Answer

ok

je me renseigne avant de le supprimer

il doit intéresser les concepteurs d'outils

moment de grace · Answer

(sourire)

ok hisaeh

eset te l'a t il supprimé ?

hisaeh · Answer

Non j'avais décoché par prudence.

hisaeh · Answer

Voilà le rapport et je me sauve :

C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir	Win32/Patched.GO cheval de troie	supprimé - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir	une variante de Win32/Kryptik.CU cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir	Win32/Patched.GN cheval de troie	supprimé - mis en quarantaine
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006015.exe	Win32/Patched.GO cheval de troie	supprimé - mis en quarantaine
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006016.exe	Win32/Patched.GN cheval de troie	supprimé - mis en quarantaine
C:\WINDOWS\system32\ms.dll	Win32/Bamital.DV cheval de troie	nettoyé par suppression - mis en quarantaine

hisaeh · Answer

Re,

suis dispo pour continuer si il le faut.

Merci

moment de grace · Answer

je suis de retour

si le pc fonctionne

on peut finaliser ton affaire

pour cela

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

moment de grace · Answer

1)

* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe   


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message

( ce rapport est sauvegardé dans ce dossier  C:\Program files\ZHPDiag\ZHPFixReport.txt ) 

..........................


2)
IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe

Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz

*	Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
*	Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
*	Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
*	Rends toi dans l'onglet "Autres options"
*	Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
*	Les points de restauration système seront purgés sauf le dernier créé.


Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable

.................

3)

Télécharge DelFix sur ton bureau.

http://www.teamxscript.org/too/Xplode/DelFix.exe


1. Lance le, choisis le bouton SUPPRESSION

2. Patiente pendant le scan jusqu'à l'ouverture du rapport.

3. Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch

___________________


Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://www.teamxscript.org/usbfixTelechargement.html
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Pour savoir si ton PC est à jour utilise Sécunia

https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

...................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

hisaeh · Answer

Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : 
Run by Michel at 01/01/2001 00:31:31
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente


========== Récapitulatif ==========
2 : Valeur(s) du Registre


End of the scan

moment de grace · Answer

c'est tout bon

sauf soucis

=> résolu

bonne continuation...

Bouillon de culture

40 réponses

Discussions similaires

Newsletters