Sujet Précédent Sujet Suivant

Svp Virus en Masse

Résolu/Fermé
HelpSvp - Modifié par irongege le 28/01/2011 à 19:21
 Utilisateur anonyme - 2 févr. 2011 à 16:01
Bonjour,
Pour résumé je me prend plein de virus en peu de temps en ne faisant rien , je susi redirigé vers des pages malveillantes quand je clique sur certaines pages , je sais qu'il faut télécharger une chose du genre ZHPDiag et COmbofix , on pourrait m'aider svp ?
A voir également:

48 réponses

Réponse 1 / 48
Utilisateur anonyme
Modifié par 91300 le 29/01/2011 à 09:40
hello, le rapport est accessible: pour ceux que ca intéresse et qui n'y ont pas accès, je vous le met sur cjoint: voici son zhpdiag

@HelpSvp tu semble être bien infecter:

Télécharge GMER Scanner de rootkit

http://www2.gmer.net/download.php

[*]télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.

[*]exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.

[*]le chargement va prendre une minute.

[*]si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).

[*]règle les paramètres (fenêtre de droite) de la manière suivante :


# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée

[*]clique sur "SCAN" puis patiente...

[*]En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "051209.txt"

[*]Double clique sur "051209.txt" ; le fichier s'ouvre dans le Bloc-Notes

[*]Copie le contenu et colle le dans ta réponse.

▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀
<signature>▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

Qualification Helper sur HELPER FORMATION.
1
Réponse 2 / 48
Utilisateur anonyme
Modifié par 91300 le 28/01/2011 à 17:28
bonjours,




☯ bienvenu sur CCM, nous allons essayer de résoudre ton problème.

attentions, voici quelques règles:


▨ les helpers ici sont volontaire et peuvent traiter plusieurs sujets donc, si une réponse se fait trop attendre, pas de panique, nous reviendrons sur ton sujet. (si une réponse ce fait trop attendre, contacter le helper par MP.)

il est important de suivre la procédure jusqu'au bout! même si le pc va mieux, ne pas partir tant que le helpers n'a pas dit que c'est fini... il pourrait rester des infections!

▨ si tu as des questions, n'hésite pas a me les poser, ne reste pas dans le doute.



☯ bonne désinfection.



pour une analyse de ton système, fais ceci:

----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

▶ Télécharge zhpdiag (de Nicolas Coolman)

▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


ne passe pas combofix si je ne te le demande pas, c'est un outils puissant qui pourrait faire des dégats alors, si je ne te le demande pas, ne prends pas l'initiative de le faire.


@++
▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

Qualification Helper sur HELPER FORMATION.
0
Réponse 3 / 48
HelpSvp
28 janv. 2011 à 17:31
Je suis un habitué , déjà merci de m'avoir répondu ^^
Donc , je résume : fenêtre pornographiques , redirection et virus en tout genre qui se font détecté et supprimé par avira et il a detecté un 1pod.exe , j'espère que cela ne va pas affecter mon Ipod Touch :S
La Malware Bytes analyse mon systeme et ZhpDiag est entrain d'effectuer le rapport je poste sa tout de suite !
0
Réponse 4 / 48
HelpSvp
28 janv. 2011 à 17:36
Cijoint ne marche pas ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 48
HelpSvp
28 janv. 2011 à 17:42
Svp Cijoint ne marche pas !
0
Réponse 6 / 48
HelpSvp
28 janv. 2011 à 18:03
Ok le bug je vois même pas mon message qui s'affiche
0
Réponse 7 / 48
HelpSvp
28 janv. 2011 à 18:03
Voici le lien (cijoint ne marche pas j'ai utilisé 2share )

http://w ww.2shared.com/document/l6VuyZZ1/ZHPDiagtxt.html

Enlevez l'espace du w ww
0
Réponse 8 / 48
Utilisateur anonyme
28 janv. 2011 à 19:18
bonsoir,

Gen aurais pu te réponde, sur ce poste !

pour avancer 91300 :-)

ton rapport est inccessible !

essaie de l'héberger sur l'un des sites, si ça ne passe pas, copresse le, puis hébrege le sur l'un de ses sites :

http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
http://www.terafiles.net/</gras>


0
Utilisateur anonyme
28 janv. 2011 à 19:24
lu
0
Utilisateur anonyme
28 janv. 2011 à 19:26
l'ut Gen,
alors mon copin, les postes sympas, tu nous les laisses? :P
0
Utilisateur anonyme
28 janv. 2011 à 19:28
vi :)
0
Utilisateur anonyme
28 janv. 2011 à 19:29
pas cool :-(
0
Utilisateur anonyme
28 janv. 2011 à 22:27
bonsoir, que ce passe t'il? j'ai loupé un truc? (j'étais sorti...)
merci ;)
0
Réponse 9 / 48
HelpSvp
29 janv. 2011 à 10:45
Merci de m'avoir répondu ! Je suis actuellement en "Mini-Vacances" d'un Week-end je reviens dans 1 jours et je m'occupe de sa , merci de m'aider et rassurez moi svp , il n'y a pas de risque de me faire "Hack" mes adresses etc... ? Et on m'avait détecté un virus "1pod.exe" je l'ai supprimé , je peux paraitre naïf mais aucun risque pour mon Ipod touch et mes adresses ? Merci et Excusez moi de mon Noobisme :)

De plus il me semble que j'avais déjà eu ce virus auparavant Zcrypt/Gen un truc comme ça , j'étais sur internet j'ai cliqué sur une page que je visite souvent qui référence des albums de chanteurs et la fenêtre X qui s'ouvre :/


(Si sa peut aider : Scan Spybot et Malware Byte's Complet = Rien de trouvé .

Mais le plus important , rien de grave pour mes adresses et mon Itouch :S
Un moment j'ai cliqué sur une page et sa me redirigé vers un site qui tentait de me prendre des information , le site avait du genre des chiffres : 123.456.654 enfin voilà donc j'ai quitté la page , Svp rassurez moi ><" .



Merci de votre aide et de me consacré du temps !

Cordialement HelpSvp.
0
Réponse 10 / 48
Utilisateur anonyme
29 janv. 2011 à 11:44
tu as une grosse infection mais, on va s'en occuper.
je penses pas que tes adresses courent des risques.
0
Réponse 11 / 48
HelpSvp
29 janv. 2011 à 12:02
Merci :)

Et comment ai-je pu attraper cela ?
Dois-je installer un pare-feu (zone firealarm qqe chose comme ça)?
Comment faire pour que cela ne se reprroduise plus ?

Encore merci , demain soir je te poste le rappoer :)
0
Utilisateur anonyme
29 janv. 2011 à 20:47
Et comment ai-je pu attraper cela ? ==> téléchargement, P2P, si tu clic n'importe où etc... pleins de facteur d'infection.

tu as quel système déjà? xp et vista, installe un par feu comme comodo
0
HelpSvp
30 janv. 2011 à 12:06
Bah une fois la toute première fois je tchattais via un réseau de jeu (Steam) je pars manger je reviens avira qui m'affiche 1 fenêtre d'avertissements qui se dédouble quand je clique dessus ( j'ai réussi a régler le problème grace a ccm ) deuxième fois sur un site ou beaucoup de monde allait ( en regardant les commentaires ) Et là virus , (Merci encore a ccm) et là je recherchais un Album d'un chanteur je me suis eloigné de 4 - 5 pages environ j'ai cliqué et là j'ai eu des virus.


Comme système j'ai XP et je viens de faire la connaissance sur internet d'extensions bien sympa de firefox que j'installerais après que tu m'ai aidé comme tu le fais ( Adblock Plus , Wot ....)


Je dois l'avouer si tu veux m'aider , j'ai télécharger un logiciel pré-crackés portable mais jamais eu de virus detecté ni lors du téléchargement ni lorsque que je l'utilise (rarement qui plus ai , par contre j'avais téléchargé ce dernier sur le site qui m'a infecté mon ordinateur mais je n'étais pas dans la même section ( Logiciel , jeux , Films etc ... ) j'i demandé a un ami d'allé voir avec son ordi , son anti-virus a bloqué le site comme étant malveillant ...

Enfin bref pour mon logiciel j'ai lu des commentaires et aucun ne c'est plaint : " Merci Marche Nickel " , " Beau travail" etc ... J'ai regardé toutes les pages des commentaires et aucunes reproches ...


Pour le pare-feu après qu'on est nettoyé mon ordi , si j'installe le tiens je désactive le pare-feu windows par défaut ?
0
Utilisateur anonyme
30 janv. 2011 à 12:14
non, pas la peine.
par contre, je veux bien le rapport GMER si tu peux le faire...
tu as probablement un ROOTKIT:

Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Voici les principales actions des rootkits :

* Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
* Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.

0
HelpSvp
30 janv. 2011 à 12:41
Je rentre ce soir de mon (Mini-Week-end)

Je fais ce scan dès que j'arrive , on ma prêté un ordi .

On va s'en sortir hein ? :S
0
Utilisateur anonyme
30 janv. 2011 à 13:32
oui, on va s'en sortir, pas de soucie. ;)
0
Réponse 12 / 48
e suis rentré !
30 janv. 2011 à 20:01
Je suis rentré !
Bon sa commence bien une fenêtre Pop-Up dans l'onglet , aussi j'ai oublié de te le dire quand je ferme ma session windows ou éteint l'ordi elle met grave du temps a se fermer .

Voici le rapport GMER :

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-30 20:01:07
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdePort2 MAXTOR_STM3160215A rev.3.AAD
Running: k6cvmx61.exe; Driver: C:\DOCUME~1\laurent\LOCALS~1\Temp\pwlyrpog.sys


---- System - GMER 1.0.15 ----

SSDT A52B4366 ZwCreateKey
SSDT A52B435C ZwCreateThread
SSDT A52B436B ZwDeleteKey
SSDT A52B4375 ZwDeleteValueKey
SSDT A52B437A ZwLoadKey
SSDT A52B4348 ZwOpenProcess
SSDT A52B434D ZwOpenThread
SSDT A52B4384 ZwReplaceKey
SSDT A52B437F ZwRestoreKey
SSDT A52B4370 ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey [0xA3A5A6D0]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB64E6360, 0x3E57A5, 0xE8000020]
? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[180] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\WINDOWS\System32\svchost.exe[1152] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00D8000A
.text C:\WINDOWS\System32\svchost.exe[1152] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00D9000A
.text C:\WINDOWS\System32\svchost.exe[1152] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00D7000C
.text C:\WINDOWS\System32\svchost.exe[1152] ole32.dll!CoCreateInstance 774BF1AC 5 Bytes JMP 00DD000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[2612] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0161000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[2612] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0162000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[2612] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0160000C
.text C:\Program Files\Mozilla Firefox\firefox.exe[2612] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\WINDOWS\Explorer.EXE[3392] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00F9000A
.text C:\WINDOWS\Explorer.EXE[3392] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00FF000A
.text C:\WINDOWS\Explorer.EXE[3392] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00F8000C
.text C:\Program Files\Mozilla Firefox\plugin-container.exe[3568] USER32.dll!TrackPopupMenu 7E3E531E 5 Bytes JMP 10402342 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 8A6083E5
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 8A6083E5
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort2 8A6083E5
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP3T1L0-7 8A6083E5
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort3 8A6083E5
Device \Device\Ide\IdeDeviceP2T0L0-12 -> \??\IDE#DiskMAXTOR_STM3160215A______________________3.AAD___#5&2c23009c&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@RequireSignedAppInit_DLLs 1

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ouvuxbg2.default\urlclassifier3.sqlite-journal 2027892 bytes
File C:\Documents and Settings\NetworkService\Cookies\system@ad.yieldmanager[2].txt 845 bytes
File C:\Documents and Settings\NetworkService\Cookies\system@avazudsp[1].txt 285 bytes
File C:\Documents and Settings\NetworkService\Cookies\system@blancheporte[2].txt 478 bytes
File C:\Documents and Settings\NetworkService\Cookies\system@mythings[1].txt 342 bytes
File C:\Documents and Settings\NetworkService\Cookies\system@simply[1].txt 0 bytes
File C:\Documents and Settings\NetworkService\Cookies\system@www.blancheporte[1].txt 121 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\E68KIY31\wide_fullpageads_info[1].txt 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\E68KIY31\wide_fullpageads_info[2].txt 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JQ07TX6W\wide_fullpageads_info[2].txt 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JQ07TX6W\page-evenement[1].txt 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JQ07TX6W\pix[1].aspx 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JQ07TX6W\play[3].html 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KB1K0PZP\c[1].aspx 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KB1K0PZP\play[1].html 0 bytes
File C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\VZ1ZK5AH\check_adv[1].htm 0 bytes

---- EOF - GMER 1.0.15 ----
0
Réponse 13 / 48
HelpSvp
30 janv. 2011 à 20:02
Oups j'ai tapé le début du texte dans mon pseudo ^^'

C'est bien moi HelpSvp :)
0
Réponse 14 / 48
HelpSvp
30 janv. 2011 à 20:18
J'ai aussi des erreurs Generic Host Process Win32 sa met la langue (FR) en bas en mode Windows ancien et après la barre en bas se change pendant 1-2 secondes en Windows ancien et revient en normal ainsi que FR .
0
Réponse 15 / 48
HelpSvp
30 janv. 2011 à 20:29
Rolala sa commence a déconner là >< ma barre de taches est transformé en Windows ancien ><
0
Réponse 16 / 48
HelpSvp
30 janv. 2011 à 20:31
J'ai réussi a remettre en passant via Clique droit fond d'ecran Windows Normal ^^' Mais mon ordi cherche quelque chose en permanence ( bouton qui clignote )
Je stress a mort ><
0
Réponse 17 / 48
Utilisateur anonyme
30 janv. 2011 à 20:48

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Utilisateur anonyme
30 janv. 2011 à 21:16
j'ai deja vu ce canned quelque part...:)
0
Utilisateur anonyme
30 janv. 2011 à 22:27
ha bon...? (*surpris*) lol :)
0
Réponse 18 / 48
Utilisateur anonyme
31 janv. 2011 à 14:21
du nouveau pour le combofix?
0
Réponse 19 / 48
HelpsSvp
31 janv. 2011 à 14:45
Voilà !

ComboFix 11-01-30.02 - laurent 31/01/2011 14:33:52.6.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1618 [GMT 1:00]
Lancé depuis: d:\documents and settings\laurent\Mes documents\Alexandre.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-28 au 2011-01-31 ))))))))))))))))))))))))))))))))))))
.

2011-01-28 17:19 . 2011-01-28 17:19 -------- d-s---w- c:\documents and settings\NetworkService\Favoris
2011-01-28 16:28 . 2011-01-28 16:52 -------- d-----w- c:\program files\ZHPDiag

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2009-09-30 21:37 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2009-09-30 21:37 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-13 13:49 . 2010-11-04 15:54 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-13 13:49 . 2010-04-30 17:09 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-11-18 18:12 . 2007-12-29 16:38 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-09 14:52 . 2008-04-14 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:26 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-14 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2009-10-24 13:38 . 2009-10-24 13:38 1443065 ----a-w- c:\program files\Winrar.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-29 68856]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2010-06-16 323392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"ASUS Update Checker"="c:\program files\ASUS\ASUSUpdate\UpdateChecker\UpdateChecker.exe" [2009-12-28 121472]
"WinSys2"="c:\windows\system32\winsys2.exe" [2009-01-08 208896]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2009-09-23 1657448]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2006-03-02 44544]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
WiFi Station pour Livebox.lnk - c:\program files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe [2009-10-3 721408]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Search.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^laurent^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
backup=c:\windows\pss\RocketDock.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 14:57 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38 421888 ----a-w- c:\program files\K-Lite Codec Pack\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 18:04 2879488 ----a-r- c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 03:17 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-12-29 17:18 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2]
2009-01-08 22:00 208896 ----a-w- c:\windows\system32\WinSys2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R0 mv614x;mv614x;c:\windows\system32\drivers\mv614x.sys [29/12/2007 17:58 63232]
R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [16/06/2010 20:06 11448]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/11/2010 16:54 135336]
R2 NVIDIA Performance Driver Service;NVIDIA Performance Driver Service;c:\program files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe [19/07/2009 22:55 4446752]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [18/06/2010 18:48 57248]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26/05/2010 13:44 685816]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24/01/2010 18:13 135664]
S3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [12/11/2008 13:54 37376]
S3 FLASHSYS;FLASHSYS;c:\program files\MSI\Live Update 4\LU4\FlashSys.sys [16/06/2010 19:49 9216]
S3 MsibiosDevice;MsibiosDevice;c:\program files\MSI\Live Update 4\LU4\msibios.sys [16/06/2010 19:49 18432]
S3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [10/01/2008 18:50 31872]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - uphcleanhlp
.
Contenu du dossier 'Tâches planifiées'

2011-01-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-24 17:13]

2011-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-24 17:13]

2011-01-30 c:\windows\Tasks\User_Feed_Synchronization-{E360F1D1-207B-4C3B-AE4E-6531CCE20FD9}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\laurent\Application Data\Mozilla\Firefox\Profiles\ouvuxbg2.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIAWB1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard
FF - user.js: yahoo.homepage.dontask - true
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-31 14:39
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1482476501-1336601894-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
Heure de fin: 2011-01-31 14:41:31
ComboFix-quarantined-files.txt 2011-01-31 13:41

Avant-CF: 41 547 227 136 octets libres
Après-CF: 41 526 673 408 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /usepmtimer

Current=5 Default=5 Failed=0 LastKnownGood=4 Sets=1,2,3,4,5
- - End Of File - - 4862C9693175C2FEAFF73ADC44B4D495
0
Réponse 20 / 48
Utilisateur anonyme
Modifié par 91300 le 31/01/2011 à 14:51
aprioris, on l'a eu: \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected . une vérification s'impose tout de même:

▶ Télécharge TDSSKiller

▶ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

▶ Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\tdsskiller.txt.




▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

Qualification Helper sur HELPER FORMATION.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses