Bouillon de culture
Résolu/Fermé
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
-
21 janv. 2011 à 15:15
hisaeh Messages postés 2642 Date d'inscription samedi 10 mars 2007 Statut Membre Dernière intervention 23 août 2019 - 22 janv. 2011 à 21:45
hisaeh Messages postés 2642 Date d'inscription samedi 10 mars 2007 Statut Membre Dernière intervention 23 août 2019 - 22 janv. 2011 à 21:45
A voir également:
- Bouillon de culture
- France culture application - Télécharger - Médias et Actualité
- Test culture générale cesi - Forum Études / Formation High-Tech
- Kadeos culture fnac - Forum Réseaux sociaux
- Comment télécharger un podcast france culture en mp3 - Guide
- Télécharger podcast france culture ✓ - Forum Téléchargement
40 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
21 janv. 2011 à 15:28
21 janv. 2011 à 15:28
bonjour
effectivement
infecté par Batimal...et autre
1)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
______________
2)
fais ZHPSearch comme expliqué ici
https://www.commentcamarche.net/faq/30383-infection-bamital#zhpsearch
effectivement
infecté par Batimal...et autre
1)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
______________
2)
fais ZHPSearch comme expliqué ici
https://www.commentcamarche.net/faq/30383-infection-bamital#zhpsearch
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 15:33
21 janv. 2011 à 15:33
Merci de ton intervention .
Etape 1 :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij7v2Mjx6.txt
Etape 1 :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij7v2Mjx6.txt
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 15:36
21 janv. 2011 à 15:36
Etape 2 :
Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
Run by Michel at 21/01/2011 15:34:12
Windows XP Home Edition Service Pack 3 (Build 2600)
---\\ Elément(s) de recherche
- Trojan.Batimal
---\\ Liste des Fichiers & Dossiers:
[MD5.AB9E757EAE865B5E0B7B48697222F006] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\explorer.exe [1037824] => Fichier patché
[MD5.103DE23E2D27BCE322154D38D95A1D8B] 21/01/2011 14:58:21 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [74210]
[MD5.CFCB116CD07E72259E0289C72DD7B4F1] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\system32\winlogon.exe [512000] => Fichier patché
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432] => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432] => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]
---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 7
Nombre de fichiers analysés : 57162
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 21s)
Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
Run by Michel at 21/01/2011 15:34:12
Windows XP Home Edition Service Pack 3 (Build 2600)
---\\ Elément(s) de recherche
- Trojan.Batimal
---\\ Liste des Fichiers & Dossiers:
[MD5.AB9E757EAE865B5E0B7B48697222F006] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\explorer.exe [1037824] => Fichier patché
[MD5.103DE23E2D27BCE322154D38D95A1D8B] 21/01/2011 14:58:21 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [74210]
[MD5.CFCB116CD07E72259E0289C72DD7B4F1] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\system32\winlogon.exe [512000] => Fichier patché
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432] => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432] => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]
---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 7
Nombre de fichiers analysés : 57162
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 21s)
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
21 janv. 2011 à 15:54
21 janv. 2011 à 15:54
ok
pas fichiers de rechange
as tu le cd de xp ?
pas fichiers de rechange
as tu le cd de xp ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 15:57
21 janv. 2011 à 15:57
Voui...
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 16:14
21 janv. 2011 à 16:14
vu ce que je vois dans les scans, le formatage serait peut etre la meilleure solution, non ?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
21 janv. 2011 à 16:16
21 janv. 2011 à 16:16
ok
on va faire autrement
télécharge ces deux fichiers et copie les à la racine de C
http://sd-2.archive-host.com/membres/up/135518691112296573/explorer_97.exe
http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon_98.exe
puis
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
FCopy::
c:\ explorer.exe | c:\windows\explorer.exe
c:\ winlogon.exe | c:\windows\system32\winlogon.exe
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
................................
si tu n'as pas de message d'erreur
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
je regarderai tout à l'heure (je bouge)
on va faire autrement
télécharge ces deux fichiers et copie les à la racine de C
http://sd-2.archive-host.com/membres/up/135518691112296573/explorer_97.exe
http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon_98.exe
puis
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
FCopy::
c:\ explorer.exe | c:\windows\explorer.exe
c:\ winlogon.exe | c:\windows\system32\winlogon.exe
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
................................
si tu n'as pas de message d'erreur
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
je regarderai tout à l'heure (je bouge)
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 16:20
21 janv. 2011 à 16:20
Je bouge aussi 15 minutes, je fais ça en rentrant
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 17:32
21 janv. 2011 à 17:32
Rapport Combo :
ComboFix 11-01-20.04 - Michel 21/01/2011 16:57:28.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.901 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 15:48 . 2011-01-21 15:48 512000 ----a-w- C:\winlogon_98.exe
2011-01-21 15:48 . 2011-01-21 15:48 1037824 ----a-w- C:\explorer_97.exe
2011-01-21 14:29 . 2011-01-21 14:34 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:02 . 2011-01-21 14:02 28752 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R1 MpKsl70f528a0;MpKsl70f528a0;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [21/01/2011 15:02 28752]
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - MPKSL70F528A0
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
- - - - ORPHELINS SUPPRIMES - - - -
HKU-Default-RunOnce-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10e.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 17:00
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\COMRes.dll
.
Heure de fin: 2011-01-21 17:02:39
ComboFix-quarantined-files.txt 2011-01-21 16:02
ComboFix2.txt 2011-01-21 12:15
Avant-CF: 52 819 996 672 octets libres
Après-CF: 52 819 943 424 octets libres
- - End Of File - - 29EE9A3CBC2D0C70F6F948186272D0AA
ComboFix 11-01-20.04 - Michel 21/01/2011 16:57:28.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.901 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 15:48 . 2011-01-21 15:48 512000 ----a-w- C:\winlogon_98.exe
2011-01-21 15:48 . 2011-01-21 15:48 1037824 ----a-w- C:\explorer_97.exe
2011-01-21 14:29 . 2011-01-21 14:34 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:02 . 2011-01-21 14:02 28752 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R1 MpKsl70f528a0;MpKsl70f528a0;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [21/01/2011 15:02 28752]
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - MPKSL70F528A0
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
- - - - ORPHELINS SUPPRIMES - - - -
HKU-Default-RunOnce-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10e.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 17:00
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\COMRes.dll
.
Heure de fin: 2011-01-21 17:02:39
ComboFix-quarantined-files.txt 2011-01-21 16:02
ComboFix2.txt 2011-01-21 12:15
Avant-CF: 52 819 996 672 octets libres
Après-CF: 52 819 943 424 octets libres
- - End Of File - - 29EE9A3CBC2D0C70F6F948186272D0AA
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 17:34
21 janv. 2011 à 17:34
Et nouveau DIAG :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijQtTt2Ld.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijQtTt2Ld.txt
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
21 janv. 2011 à 18:03
21 janv. 2011 à 18:03
la manip n'a pas pris
on fait autrement
retélécharge les deux fichiers comme tout à l'heure
puis
Grave ce OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=
Tu boots dessus, le but étant d'arriver sur un système d'exploitation alternatif qui permet d'accéder aux fichiers de ton Windows.
Copie C:\\winlogon.exe en remplacement de C:\WINDOWS\system32\winlogon.exe
et copie C:\explorer.exe sur C:\WINDOWS\explorer.exe
Redémarre sur ton Windows normalement.
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
on fait autrement
retélécharge les deux fichiers comme tout à l'heure
puis
Grave ce OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=
Tu boots dessus, le but étant d'arriver sur un système d'exploitation alternatif qui permet d'accéder aux fichiers de ton Windows.
Copie C:\\winlogon.exe en remplacement de C:\WINDOWS\system32\winlogon.exe
et copie C:\explorer.exe sur C:\WINDOWS\explorer.exe
Redémarre sur ton Windows normalement.
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
Modifié par hisaeh le 21/01/2011 à 18:15
Modifié par hisaeh le 21/01/2011 à 18:15
Je n'ai plus de cd dispo pour graver.
En revanche, je peux faire la manip sous dos en console de recup, si tu peux me rappeler la syntaxe de copy....
En revanche, je peux faire la manip sous dos en console de recup, si tu peux me rappeler la syntaxe de copy....
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 18:26
21 janv. 2011 à 18:26
en plus je viens de m'apercevoir que la manip sous Combo n'a pas fonctionné puisqu'il n'a pas trouvé explorer.exe et winlogon.exe, puisque les fichiers telechargés ne s"appellent pas comme ça...faut-il les renommer ?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
21 janv. 2011 à 18:29
21 janv. 2011 à 18:29
arf
que je suis mauvais !!
oui tu as raison
renomme les winlogon.exe et explorer.exe
et retente combo stp
que je suis mauvais !!
oui tu as raison
renomme les winlogon.exe et explorer.exe
et retente combo stp
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 18:30
21 janv. 2011 à 18:30
oki...
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 18:45
21 janv. 2011 à 18:45
Voilà, entre carottes et oignons (faut bien nourrir les fauves...) :
ComboFix 11-01-20.04 - Michel 21/01/2011 18:35:07.4.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.950 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\explorer.exe
C:\winlogon.exe
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:29 . 2011-01-21 16:33 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:02 . 2011-01-21 14:02 28752 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R1 MpKsl70f528a0;MpKsl70f528a0;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [21/01/2011 15:02 28752]
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 18:39
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-01-21 18:41:03
ComboFix-quarantined-files.txt 2011-01-21 17:41
ComboFix2.txt 2011-01-21 16:43
ComboFix3.txt 2011-01-21 16:02
ComboFix4.txt 2011-01-21 12:15
Avant-CF: 52 941 279 232 octets libres
Après-CF: 52 935 651 328 octets libres
- - End Of File - - 6503BF152B987B08987F52FA772ACE06
ComboFix 11-01-20.04 - Michel 21/01/2011 18:35:07.4.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.950 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\explorer.exe
C:\winlogon.exe
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:29 . 2011-01-21 16:33 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:02 . 2011-01-21 14:02 28752 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R1 MpKsl70f528a0;MpKsl70f528a0;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [21/01/2011 15:02 28752]
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 18:39
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-01-21 18:41:03
ComboFix-quarantined-files.txt 2011-01-21 17:41
ComboFix2.txt 2011-01-21 16:43
ComboFix3.txt 2011-01-21 16:02
ComboFix4.txt 2011-01-21 12:15
Avant-CF: 52 941 279 232 octets libres
Après-CF: 52 935 651 328 octets libres
- - End Of File - - 6503BF152B987B08987F52FA772ACE06
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
21 janv. 2011 à 18:57
21 janv. 2011 à 18:57
non
télécharge et dézippe à la racine de C les deux fichiers
http://sd-2.archive-host.com/membres/up/135518691112296573/explorer__winlogon.rar
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
Driver::
gsjztds
obtgmrv
Folder::
c:\windows\TEMP\5640a22679b1
c:\windows\TEMP\54809d729ac0
FCopy::
c:\ explorer.exe | c:\windows\explorer.exe
c:\ winlogon.exe | c:\windows\system32\winlogon.exe
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
télécharge et dézippe à la racine de C les deux fichiers
http://sd-2.archive-host.com/membres/up/135518691112296573/explorer__winlogon.rar
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
Driver::
gsjztds
obtgmrv
Folder::
c:\windows\TEMP\5640a22679b1
c:\windows\TEMP\54809d729ac0
FCopy::
c:\ explorer.exe | c:\windows\explorer.exe
c:\ winlogon.exe | c:\windows\system32\winlogon.exe
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
Modifié par hisaeh le 21/01/2011 à 19:12
Modifié par hisaeh le 21/01/2011 à 19:12
avant de lancer le script, les 2 fichiers extraits doivent ils etre renomés ?
EDIT :Non c'est bon
EDIT :Non c'est bon
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 19:23
21 janv. 2011 à 19:23
ComboFix 11-01-20.04 - Michel 21/01/2011 19:15:38.5.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.918 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\explorer.exe
C:\winlogon.exe
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_GSJZTDS
-------\Legacy_OBTGMRV
-------\Service_gsjztds
-------\Service_obtgmrv
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 18:08 . 2011-01-21 18:08 -------- d-----w- c:\program files\7-Zip
2011-01-21 14:29 . 2011-01-21 17:46 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S1 MpKsl70f528a0;MpKsl70f528a0;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 19:20
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3888)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21 19:22:47 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-21 18:22
ComboFix2.txt 2011-01-21 17:41
ComboFix3.txt 2011-01-21 16:43
ComboFix4.txt 2011-01-21 16:02
ComboFix5.txt 2011-01-21 18:14
Avant-CF: 52 925 476 864 octets libres
Après-CF: 52 924 686 336 octets libres
- - End Of File - - 146D48314629672255BB0707FE48987F
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.918 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\explorer.exe
C:\winlogon.exe
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_GSJZTDS
-------\Legacy_OBTGMRV
-------\Service_gsjztds
-------\Service_obtgmrv
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 18:08 . 2011-01-21 18:08 -------- d-----w- c:\program files\7-Zip
2011-01-21 14:29 . 2011-01-21 17:46 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S1 MpKsl70f528a0;MpKsl70f528a0;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 19:20
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3888)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21 19:22:47 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-21 18:22
ComboFix2.txt 2011-01-21 17:41
ComboFix3.txt 2011-01-21 16:43
ComboFix4.txt 2011-01-21 16:02
ComboFix5.txt 2011-01-21 18:14
Avant-CF: 52 925 476 864 octets libres
Après-CF: 52 924 686 336 octets libres
- - End Of File - - 146D48314629672255BB0707FE48987F
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 19:28
21 janv. 2011 à 19:28
et le DIAG
http://www.cijoint.fr/cjlink.php?file=cj201101/cij6q0109H.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cij6q0109H.txt
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
21 janv. 2011 à 19:56
21 janv. 2011 à 19:56
non
y avait un espace de trop !!!!!!!!!!!
donc même manip
téléchargement des fichiers et combo avec ce texte là
KillAll::
FCopy::
c:\explorer.exe | c:\windows\explorer.exe
c:\winlogon.exe | c:\windows\system32\winlogon.exe
y avait un espace de trop !!!!!!!!!!!
donc même manip
téléchargement des fichiers et combo avec ce texte là
KillAll::
FCopy::
c:\explorer.exe | c:\windows\explorer.exe
c:\winlogon.exe | c:\windows\system32\winlogon.exe
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 20:49
21 janv. 2011 à 20:49
ComboFix 11-01-20.04 - Michel 21/01/2011 20:37:30.6.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.941 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\explorer.exe
C:\winlogon.exe
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
--------------- FCopy ---------------
c:\explorer.exe --> c:\windows\explorer.exe
c:\winlogon.exe --> c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 18:08 . 2011-01-21 18:08 -------- d-----w- c:\program files\7-Zip
2011-01-21 14:29 . 2011-01-21 18:27 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S1 MpKsl70f528a0;MpKsl70f528a0;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 20:43
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3180)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21 20:45:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-21 19:45
ComboFix2.txt 2011-01-21 18:22
ComboFix3.txt 2011-01-21 17:41
ComboFix4.txt 2011-01-21 16:43
ComboFix5.txt 2011-01-21 19:34
Avant-CF: 52 925 763 584 octets libres
Après-CF: 52 918 611 968 octets libres
- - End Of File - - C87F645541A6D057D1029FFE9483E0AD
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.941 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Michel\Bureau\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\explorer.exe
C:\winlogon.exe
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
--------------- FCopy ---------------
c:\explorer.exe --> c:\windows\explorer.exe
c:\winlogon.exe --> c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
2011-01-21 18:08 . 2011-01-21 18:08 -------- d-----w- c:\program files\7-Zip
2011-01-21 14:29 . 2011-01-21 18:27 -------- d-----w- c:\program files\ZHPDiag
2011-01-21 14:02 . 2011-01-21 14:03 -------- d-----w- c:\program files\Fichiers communs\Adobe
2011-01-21 14:01 . 2011-01-13 00:41 5890896 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\mpengine.dll
2011-01-21 13:56 . 2011-01-21 13:58 -------- d-----w- C:\UsbFix
2011-01-21 13:43 . 2011-01-21 13:45 -------- d-----w- C:\Ad-Remover
2011-01-21 13:41 . 2011-01-21 13:42 -------- d-----w- C:\ToolBar SD
2011-01-21 13:37 . 2011-01-21 13:41 -------- d-----w- C:\Lop SD
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\Michel\Application Data\Malwarebytes
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-21 12:19 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-21 12:19 . 2011-01-21 12:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-21 12:19 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 13:58 . 2011-01-21 13:58 3365 ----a-w- C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-21_12.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-16 09:16 . 2010-10-19 20:51 222080 c:\windows\system32\MpSigStub.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 233936 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
+ 2011-01-21 14:09 . 2011-01-21 14:09 311248 c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.dll
+ 2011-01-21 14:03 . 2011-01-21 14:03 2297344 c:\windows\Installer\67553.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S1 MpKsl70f528a0;MpKsl70f528a0;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8DCDE288-AA9F-40E3-8B04-FD4DD5405489}\MpKsl70f528a0.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 20:43
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3180)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21 20:45:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-21 19:45
ComboFix2.txt 2011-01-21 18:22
ComboFix3.txt 2011-01-21 17:41
ComboFix4.txt 2011-01-21 16:43
ComboFix5.txt 2011-01-21 19:34
Avant-CF: 52 925 763 584 octets libres
Après-CF: 52 918 611 968 octets libres
- - End Of File - - C87F645541A6D057D1029FFE9483E0AD
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
21 janv. 2011 à 21:10
21 janv. 2011 à 21:10
lors de ce scan, j'ai eu une alerte windows me signalant que des fichiers systeme etaient remplacés par une version non reconnue et me demandait d'inserer le cd de Xp. Je n'ai pas eu le tps de le faire, le scan s'est terminé et windows a redemarré./...
Je ferai la suite demain.
Bonne soirée et merci encore.
Je ferai la suite demain.
Bonne soirée et merci encore.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
22 janv. 2011 à 06:33
22 janv. 2011 à 06:33
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
22 janv. 2011 à 07:36
22 janv. 2011 à 07:36
le DIAG :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijuHFFI01.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijuHFFI01.txt
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
22 janv. 2011 à 07:51
22 janv. 2011 à 07:51
je vais chercher...mais on peut pas faire la manip avec le cd d'xp ?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 22/01/2011 à 07:39
Modifié par moment de grace le 22/01/2011 à 07:39
il se réinfecte à chaque fois
t'as vraiment pas un cd, même un effacable ?
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
t'as vraiment pas un cd, même un effacable ?
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 22/01/2011 à 08:03
Modifié par moment de grace le 22/01/2011 à 08:03
on va essayé avec un autre outils
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O43 - CFD: 21/01/2011 - 12:12:10 ----D- C:\Documents and Settings\Michel\Application Data\szknogcpczdug2ugdqucxs1yd2vkp2g2
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendfiudnymgaxwoadu1qhwyflzacazmcpc
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendhnjrfkbzw1sfpysik3owwwujgabcsxp
O43 - CFD: 21/01/2011 - 12:12:10 ----D- C:\Documents and Settings\Michel\Application Data\xssendkc2jnoyhovsvejwkwqaelk1oerzlcmq
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendkvwmtbexgtiahzxgnfrdclepvd1j1ls
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendwzctbduhsmh3zuiyc2wcxs3wmovkype
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
_______________
2)
dézippe à nouveau les deux fichiers sur C puis
Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance le , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image/img
[img]http://imagesup.org/image/img
Dans le cadre , sous Input Script here , copie_colle le contenu en gras ci dessous et clic execute:
begin copying here:
Files to move:
c:\explorer.exe| c:\windows\explorer.exe
c:\winlogon.exe | c:\windows\system32\winlogon.exe
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O43 - CFD: 21/01/2011 - 12:12:10 ----D- C:\Documents and Settings\Michel\Application Data\szknogcpczdug2ugdqucxs1yd2vkp2g2
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendfiudnymgaxwoadu1qhwyflzacazmcpc
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendhnjrfkbzw1sfpysik3owwwujgabcsxp
O43 - CFD: 21/01/2011 - 12:12:10 ----D- C:\Documents and Settings\Michel\Application Data\xssendkc2jnoyhovsvejwkwqaelk1oerzlcmq
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendkvwmtbexgtiahzxgnfrdclepvd1j1ls
O43 - CFD: 21/01/2011 - 11:44:04 ----D- C:\Documents and Settings\Michel\Application Data\xssendwzctbduhsmh3zuiyc2wcxs3wmovkype
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
_______________
2)
dézippe à nouveau les deux fichiers sur C puis
Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance le , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image/img
[img]http://imagesup.org/image/img
Dans le cadre , sous Input Script here , copie_colle le contenu en gras ci dessous et clic execute:
begin copying here:
Files to move:
c:\explorer.exe| c:\windows\explorer.exe
c:\winlogon.exe | c:\windows\system32\winlogon.exe
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
22 janv. 2011 à 08:03
22 janv. 2011 à 08:03
Je suis en train de graver OTLPE, je lance tes manips quand meme ?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
22 janv. 2011 à 08:04
22 janv. 2011 à 08:04
oui pour ZHPfix et Avenger
si ca echoue on fait oltpe
si ca echoue on fait oltpe
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
22 janv. 2011 à 08:07
22 janv. 2011 à 08:07
Oki...
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
22 janv. 2011 à 08:11
22 janv. 2011 à 08:11
Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre :
Run by Michel at 22/01/2011 08:09:06
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Dossier(s) ==========
C:\Documents and Settings\Michel\Application Data\szknogcpczdug2ugdqucxs1yd2vkp2g2 => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendfiudnymgaxwoadu1qhwyflzacazmcpc => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendhnjrfkbzw1sfpysik3owwwujgabcsxp => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendkc2jnoyhovsvejwkwqaelk1oerzlcmq => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendkvwmtbexgtiahzxgnfrdclepvd1j1ls => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendwzctbduhsmh3zuiyc2wcxs3wmovkype => Supprimé et mis en quarantaine
========== Récapitulatif ==========
6 : Dossier(s)
End of the scan
Fichier d'export Registre :
Run by Michel at 22/01/2011 08:09:06
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Dossier(s) ==========
C:\Documents and Settings\Michel\Application Data\szknogcpczdug2ugdqucxs1yd2vkp2g2 => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendfiudnymgaxwoadu1qhwyflzacazmcpc => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendhnjrfkbzw1sfpysik3owwwujgabcsxp => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendkc2jnoyhovsvejwkwqaelk1oerzlcmq => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendkvwmtbexgtiahzxgnfrdclepvd1j1ls => Supprimé et mis en quarantaine
C:\Documents and Settings\Michel\Application Data\xssendwzctbduhsmh3zuiyc2wcxs3wmovkype => Supprimé et mis en quarantaine
========== Récapitulatif ==========
6 : Dossier(s)
End of the scan
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
22 janv. 2011 à 08:17
22 janv. 2011 à 08:17
Raté on dirait....
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\windows\explorer.exe" is whitelisted
File move operation "c:\explorer.exe|c:\windows\explorer.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Error: file "c:\windows\system32\winlogon.exe" is whitelisted
File move operation "c:\winlogon.exe|c:\windows\system32\winlogon.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\windows\explorer.exe" is whitelisted
File move operation "c:\explorer.exe|c:\windows\explorer.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Error: file "c:\windows\system32\winlogon.exe" is whitelisted
File move operation "c:\winlogon.exe|c:\windows\system32\winlogon.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
22 janv. 2011 à 08:20
22 janv. 2011 à 08:20
hisaeh
Messages postés
2642
Date d'inscription
samedi 10 mars 2007
Statut
Membre
Dernière intervention
23 août 2019
572
22 janv. 2011 à 08:43
22 janv. 2011 à 08:43
Je crois que ça veut pas, il doit se reinfecter au demarrage...
http://www.cijoint.fr/cjlink.php?file=cj201101/cijgHpfv9c.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijgHpfv9c.txt