Infections et autres maux

Gee -  
 Geeee -
Bonsoir,

Finallement mon problème commence plus à devenir une blague qu'autre chose. Ca a commencé le jour ou j'ai recuperé le pc il était infecté jusqu'a la moelle. J'ai essayé d'installer antivirus sur antivirus mais rien n'y faisait. Prise par le boulot et par manque de temps j'ai laissé tomber et reporté la lutte à plus tard.
Jusqu'a hier s'en était trop : L'accés au réseau sans fil était devenu impossible apres 24H de cable réseau j'en ai eu marre !
Avira, Stinger, Hijackthis , MBAM, tout y es passé finallement j'ai recuperé le sans fil, j'ai pu installer Avira et regagné un peu de mon pc.
Je lance le redemarrage !
Ouf j'ai encore le wifi mais plus de FF et Avira refuse de rester allumé plus de 10 secondes

En gros j'ai la totale niveau infections et les plus tenaces qui plus est :

- Conficker
- Virtumonde
Et j'en passe, et pas les plus simples

Etat des lieus et des problèmes :

- Accés réseau sans fil : bloqué
- Accés Gestionnaire des taches bloqué
- Accés au site d'antivirus et microsoft : bloqué
- Accés MSN : Bloqué
- Réinitialisation de la date à 2002 a chaque redemarrage
- Ressources PC surutilisées
- Installation ou lancement d'antivirus quasi impossible

Et encore ce ne sont que ceux dont je me souviens et les plus majeurs d'entre eux mais je commence à croire que d'autres problèmes sont la conséquence de ces infections :

- Batterie toujours à plat
- PC qui chauffe hors normes et j'en passe

Après 3h d'interventions :

- Accés réseau sans fil : Fixed
- Accés Gestionnaire des taches Bloqué
- Accés au site d'antivirus et microsoft : Fixed pour certains pas pour d'autres
- Accés MSN : Fixed
- Réinitialisation de la date à 2002 a chaque redemarrage : Fixed
- Ressources PC surutilisées : ON dirait pas que ce soit reglé
- Firefox refuse de fonctionner j'ai droit à : crashreporter.exe n'existe plus
- Avira qui m'a pas mal aidé à supprimer les infections refuse à nouveau de se lancer

Je dit STOP je jette l'éponge cela dépasse mes maigres compétences et me fatigue plus qu'autre chose, Une âme charitable pourrais-t-elle m'aider à me debarasser des ces infections malsaines car entre les trojan, les vers, les malware et j'en passe j'ai fini par être perdue
Je peux vous fournir le rapport hijackthis de depart et le deuxieme, le rapport stinger, le rapport avira et le rapport MBAM

Windaube m'a tué ce soir

57 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème central est une machine Windows XP gravement infectée par des malwares tenaces (Conficker, Virtumonde), avec blocages réseau et du gestionnaire des tâches, et des réinitialisations fréquentes de la date.
Plusieurs essais anti-virus, comme Avira, Stinger, HijackThis et MBAM, n’ont pas suffi à reprendre le contrôle, l’accès réseau et Firefox restant perturbés et les ressources système fortement sollicitées.
Des propositions incluent l’usage d’un DrWeb Live CD pour démarrer et scanner hors Windows, et l’avertissement sur KillDisk qui efface tout, alors que les rapports ComboFix et HijackThis orientent le nettoyage.
D’autres pistes évoquent aussi l’emploi d’outils complémentaires comme The Avenger ou RogueKiller et la nécessité d’obtenir des logs détaillés pour cibler les vecteurs d’infection sans risque de perte irréversible.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour
    Désolée de dire cela, mais ça pue vraiment le rapport de ComboFix

    Humm, ça déjà

    c:\windows\regedit.exe . . . est infecté!!

    c:\windows\System32\wscntfy.exe ... manque !!


    Et ceci
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nltide_2"="shell32" [X]
    "nltide_3"="advpack.dll" [2008-03-01 124928]


    Et ya pas que cela

    Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Downloads\gee.exe

    L'outil n'a pas été lancé à partir du bureau, pas bien

    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    1
    1. Gee
       
      Je vous l'avais dit j'ai pas baissé les bras pour rien j'ai usé de tout les tours que Moi j'avais dans mon sac et ca n'y faisais rien, bien pour ca que je suis passé vous voir.
      Je vous avais aussi dit que ce n'est pas UNE infection mais DES
      0
    2. Gee
       
      Pour le lancement je me suis rendu compte trop tard qu'il a ete installée sur mes telechargment et non pas dans le bureau
      Et comme j'avais deplacé le premier combofix qui a beugué j'ai eu peur qu'en deplacant il soit à nouveau neutralisé
      0
    3. Gee
       
      oui j'ai commencé à faire ce que Tigzy a dit

      Et oui je sais que mes maux sont sérieux mes mots l'étaient tout autant
      Je lance depuis le bureau je vous tiens au courant
      0
    4. Gee
       
      j'y pense j'ai toujours la boite de dialogue en autorun.inf qui demande à ce que je l'ouvre j'ai peur de mettre anuler et me retrouver avec une autre merde :/
      0
  2. Utilisateur anonyme
     
    Bonsoir
    Attention, cet outil n'est pas à utiliser à la légère

    Assure toi d'abord d'avoir fait une sauvegarde des documents

    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    tutoriel pour bien utiliser l'outil
    http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

    /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    Surtout, accepte d'installer la console de récupération
    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    0
  3. Gee
     
    C'est bien ce que je pensais

    J'ai bien failli m'y attaquer toute seule

    Mais j'aurais pas su interpreter de toute facon

    Merci en tout cas, bon je m'y met je te tiens au courant après coup
    0
  4. Gee
     
    C'est dingue j'ai pas dit que je baissais les bras pour rien

    Même ComboFix n'y resiste pas

    " Il est dangereux de continuer "

    " Votre pc ... Virut "

    Dommage l'imprimecran a raté :/

    Bref je recommence
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Attend ne t'inquiète pas j'ai d'autres cartes en main
    0
  7. Gee
     
    Oh je m'inquiete pas je doute pas de tes compétences
    Je me lasse juste

    En générale j'ai déja horreur de pas pouvoir regler mes problèmes seules :D
    0
  8. Utilisateur anonyme
     
    Cela sent le rogue ça, on va essayer l'outil Rogue Killer

    Laisse ComboFix pour le moment

    * Télécharge sur le bureau RogueKiller (par tigzy)
    * Quitte tous tes programmes en cours
    * Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 1 et valide
    * Si le programme demande pour supprimer le proxy, tape 1 si tu es sûr que ce n'est pas toi qui l'a mis, sinon taper 2
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

    NOTE: taper 2 pour mode suppression
    NOTE: S'il y a un proxy de trouvé , taper 1 pour la suppression
    0
  9. Gee
     
    voici le rapport :

    RogueKiller V3.10.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User: Administrateur [Admin rights]
    Mode: Scan -- Time : 15/02/2011 22:48:14

    Bad processes:

    Found:
    HKCU\...\Policies\System\ DisableTaskMgr : 1
    HKCU\...\Policies\System\ DisableRegistryTools : 1

    HOSTS File:
    127.0.0.1 localhost

    Finished
    0
  10. Utilisateur anonyme
     
    Fait l'option 2 (delete) et poste le rapport
    0
  11. Gee
     
    Il me proposais pas la supression la premiere fois j'ai pensé qu'il la faisait de lui même

    Voici le deuxieme rapport

    Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User: Administrateur [Admin rights]
    Mode: Remove -- Time : 15/02/2011 23:00:51

    Bad processes:

    Deregistred:
    HKCU\...\Policies\System\ DisableTaskMgr : 1
    HKCU\...\Policies\System\ DisableRegistryTools : 1

    HOSTS File:
    127.0.0.1 localhost

    Finished

    Deregistred ... Je veux bien

    Mais c'est tenace c'est bêtes la j'ai relancé le scan et effectivement KEUDALLE ils y sont encore :/

    *Perdue*
    0
  12. Utilisateur anonyme
     
    Attends je te prépare quelque chose, supprime ComboFix déjà
    0
  13. Gee
     
    Ca marche

    Tu vois qu'il a de quoi devenir dingue

    D'ailleurs je commence à douter que quelque autre bizzarerie sur mon pc ne soient pas dues à tout ce ramdam
    0
  14. Utilisateur anonyme
     
    Retélécharge ComboFix que j'ai renommé gee.exe
    http://sd-1.archive-host.com/membres/up/203669918515832581/gee.exe
    Et suis bien les instructions que je t'ai donné
    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    0
    1. Gee
       
      C'est parti pour un tour
      0
  15. Gee
     
    Il est mignon il supprime pour moi

    Combofix a été éliminé de lui même o_O
    0
  16. Utilisateur anonyme
     
    j'ai pas compris
    retélécharge le au nouveau lien que je t'ai donné
    0
  17. Gee
     
    Mon il s'est supprimé automatiquement était en rapport avec le message précedent a savoir l'instruction de suppression des Combofix telechargés

    Merci pour la version personalisée en tout cas

    Ca a ete rapide je n'ai pas eu le temps de connecter mon telephone à peine je commencais a ecrire que c'etait bon, quoi que j'ai eu peur quand il s'est autoexecuter sans me demander la console de sauvegarde

    Voila ou j'en suis :

    Apres analyse tres rapide
    Redemarrage du pc
    Avira s'est lancé à signalé une infection que j'ai pas eu le temps de lire puis à redisparu
    Les programmes de demarrage se sont lancés normalement
    Et j'ai eu ceci

    https://imageshack.com/

    Je t'avoue que pendant quelque secondes je n'ai su que faire
    Je n'ai touché à rien je suppose que je doit annuler mais je prefere m'en assurer

    Cette boite de dialogue est apparu au même moment ou ComboFix me disait qu'il enregistrait le rapport ... Y a-t-il un lien ?

    Finallement Combofix s'est fermé je n'avais toujours touché rien et voici le rapport
    Je le poste a part parceque c'est du lourd
    0
  18. Gee
     
    ComboFix 11-02-15.01 - Administrateur 15/02/2011 23:25:55.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2039.1561 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Downloads\gee.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\autorun.inf
    C:\system.pif
    C:\win1.pif
    C:\win10.pif
    C:\win11.pif
    C:\win12.pif
    C:\win13.pif
    C:\win19.pif
    C:\win2.pif
    C:\win20.pif
    C:\win3.pif
    C:\win4.pif
    C:\win5.pif
    C:\win6.pif
    C:\win7.pif
    C:\win8.pif
    C:\win9.pif
    c:\windows\system32\msconfig.exe
    c:\windows\system32\office.exe
    c:\windows\system32\sysurl.dll
    c:\windows\Temp\scsE.tmp
    c:\windows\Temp\scsF.tmp
    D:\Autorun.inf
    D:\explorer.exe
    D:\qquq.bat

    c:\windows\regedit.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_ABP470N5
    -------\Service_abp470n5

    ((((((((((((((((((((((((((((( Fichiers créés du 2011-01-15 au 2011-02-15 ))))))))))))))))))))))))))))))))))))
    .

    2011-02-15 19:52 . 2011-02-15 19:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2011-02-15 19:52 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-02-15 19:52 . 2011-02-15 19:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2011-02-15 19:52 . 2011-02-15 19:52 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-02-15 19:52 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-02-15 19:20 . 2011-02-15 19:30 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google
    2011-02-15 19:20 . 2011-02-15 19:20 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Deployment
    2011-02-15 18:28 . 2011-02-15 18:28 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Avira
    2011-02-15 18:24 . 2011-02-15 18:24 -------- d-----w- c:\program files\Avira
    2011-02-15 18:24 . 2011-02-15 18:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2011-02-15 18:24 . 2011-01-10 13:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2011-02-15 18:24 . 2011-01-10 13:23 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2011-02-15 18:24 . 2010-06-17 13:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2011-02-15 18:24 . 2010-06-17 13:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2011-02-10 06:52 . 2011-02-12 19:23 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\AskToolbar
    2011-02-10 03:36 . 2011-02-15 17:53 -------- d-----w- c:\program files\Ask.com
    2011-02-10 03:36 . 2011-02-10 03:36 -------- d-----w- c:\program files\Foxit Software
    2011-01-27 06:35 . 2011-01-27 06:42 -------- d-----w- c:\program files\LearnWords

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-02-15 22:30 . 2010-07-01 17:24 17408 ----a-w- c:\windows\system32\rpcnetp.exe
    2011-02-15 22:30 . 2010-07-02 09:18 57752 ----a-w- c:\windows\system32\rpcnet.dll
    2011-02-08 02:43 . 2010-08-02 00:53 1620 ----a-w- c:\documents and settings\Administrateur\errorlog.tmp
    2011-01-24 19:27 . 2010-07-01 17:24 17408 ----a-w- c:\windows\system32\rpcnetp.dll
    .

    ------- Sigcheck -------

    [-] 2010-01-12 05:24 . 65C243BD71E319B59BCF24696C039B29 . 2004480 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll

    [-] 2010-01-12 . AE0D48AF37F5A48156D4A6BAE07C9121 . 568320 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

    [-] 2010-01-12 . D449DF66B6335B443508A58B1E8DB996 . 647680 . . [5.82] . . c:\windows\system32\comctl32.dll
    [7] 2010-01-12 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
    [7] 2010-01-12 . F92E6BEA9349D49341383F8403B4DFE5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

    [-] 2010-01-12 . DB3AB42404D66860A4C4E9ED8530D0FD . 724480 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

    [-] 2010-01-12 . D84567752FB42D8DC55CFB85FE0EDECE . 1916416 . . [6.00.2900.2894] . . c:\windows\explorer.exe

    [-] 2010-01-12 . A5780186A76EABA3E656E63B41862997 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

    [-] 2010-01-12 . 58DB2EE838D5B7BAD0F7F10A6C920390 . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

    [-] 2010-01-12 . 36FA7DAFA6C2658D9F48C69FB812943B . 2165760 . . [5.1.2600.5586] . . c:\windows\system32\ntkrnlpa.exe

    [-] 2010-01-12 . 928F1D57DD79B2EDDE517B2FFEB570C9 . 2287104 . . [5.1.2600.5586] . . c:\windows\system32\ntoskrnl.exe

    c:\windows\System32\wscntfy.exe ... manque !!
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2011-02-15 205808]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3949904]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2010-01-12 40960]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 643072]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nltide_2"="shell32" [X]
    "nltide_3"="advpack.dll" [2008-03-01 124928]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    binternet.lnk - c:\documents and settings\Administrateur\binternet.exe [N/A]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [N/A]
    CD ROM Maroc.lnk - c:\program files\cdmaroc\exe\ACCUEIL.EXE [2010-7-23 536576]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableTaskMgr"= 1 (0x1)
    "DisableRegistryTools"= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
    2005-12-20 20:57 176128 ----a-w- c:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001
    "DisablePagingExecutive"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "AntiVirusOverride"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "FirewallDisableNotify"=dword:00000001
    "FirewallOverride"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001
    "UacDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
    "c:\\WINDOWS\\system32\\CHDAudPropShortcut.exe"=
    "c:\\WINDOWS\\system32\\igfxtray.exe"=
    "c:\\Program Files\\Analog Devices\\Core\\smax4pnp.exe"=
    "c:\\Program Files\\Windows Sidebar\\sidebar.exe"=
    "c:\\Program Files\\Windows Live\\Photo Gallery\\WLXPhotoGallery.exe"=
    "c:\\WINDOWS\\system32\\igfxpers.exe"=
    "c:\\Program Files\\Yahoo!\\Messenger\\ymsgr_tray.exe"=
    "c:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "c:\\Program Files\\LG Electronics\\LG EV-DO Rev.A USB Modem\\Modem Software\\IEUM.exe"=
    "c:\\WINDOWS\\system32\\hkcmd.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\LG Electronics\\Modem USB LG Electronics\\IEUM.exe"=
    "c:\\Program Files\\RocketDock\\RocketDock.exe"=
    "c:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe"=
    "c:\\Program Files\\Fichiers communs\\Real\\Update_OB\\RealOneMessageCenter.exe"=
    "d:\\iTunes.exe"=
    "d:\\iTunesHelper.exe"=
    "c:\\Program Files\\LG Electronics\\Modem USB LG Electronics\\UMAService.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
    "c:\\Program Files\\aMSN\\bin\\wish.exe"=
    "c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
    "c:\\Program Files\\cdmaroc\\exe\\consult.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Ares\\Ares.exe"=
    "c:\\Program Files\\cdmaroc\\exe\\ACCUEIL.EXE"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Update\\GoogleUpdate.exe"=
    "c:\\WINDOWS\\system32\\netsh.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4666:TCP"= 4666:TCP:zyjaia

    R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [15/02/2011 19:24 VALR 135336]
    R2 DeviceManager;DeviceManager;c:\program files\Fichiers communs\DeviceHelper\DeviceManager.exe -start --> c:\program files\Fichiers communs\DeviceHelper\DeviceManager.exe -start [?]
    S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [04/11/2010 01:21 VALR 114432]
    S3 gzbuepn;gzbuepn;\??\c:\windows\system32\05.tmp --> c:\windows\system32\05.tmp [?]
    S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [27/06/2010 20:25 VALR 9216]
    S3 qcusbser;Modem Interface USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [19/12/2010 11:33 VALR 103552]
    S3 qgsjni;qgsjni;\??\c:\windows\system32\05.tmp --> c:\windows\system32\05.tmp [?]
    S3 UsbEvdoAtc;LGE EVDO USB Serial Port;c:\windows\system32\drivers\lgevdoatc.sys [10/04/2010 14:19 VALR 19840]
    S3 usbevdobus;LGE EVDO Composite USB Device;c:\windows\system32\drivers\lgevdobus.sys [10/04/2010 14:19 VALR 12800]
    S3 UsbEvdoDiag;LGE EVDO USB Serial DM Port;c:\windows\system32\drivers\lgevdodiag.sys [10/04/2010 14:19 VALR 19840]
    S3 UsbEvdomAtc;LGE EVDOM USB Serial Port;c:\windows\system32\drivers\lgevdomatc.sys [10/04/2010 14:08 VALR 19840]
    S3 usbevdombus;LGE EVDOM Composite USB Device;c:\windows\system32\drivers\lgevdombus.sys [10/04/2010 14:08 VALR 13696]
    S3 UsbEvdomDiag;LGE EVDOM USB Serial DM Port;c:\windows\system32\drivers\lgevdomdiag.sys [10/04/2010 14:08 VALR 19840]
    S3 USBEVDOmModem;LGE EVDOM USB Modem;c:\windows\system32\drivers\lgevdommodem.sys [10/04/2010 14:08 VALR 21632]
    S3 USBEVDOModem;LGE EVDO USB Modem;c:\windows\system32\drivers\lgevdomodem.sys [10/04/2010 14:19 VALR 21632]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - ABP470N5
    *NewlyCreated* - HELPSVC

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    zhsvuhdo
    gkldgec

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]
    2008-03-01 12:58 124928 ----a-w- c:\windows\system32\advpack.dll
    .
    Contenu du dossier 'Tâches planifiées'

    2011-02-09 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

    2011-02-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-861567501-115176313-1417001333-500Core.job
    - c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-02-15 19:20]

    2011-02-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-861567501-115176313-1417001333-500UA.job
    - c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-02-15 19:20]

    2011-02-15 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
    - c:\program files\Ask.com\UpdateTask.exe [2010-09-28 21:44]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    Trusted Zone: chat-land.org
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{1C491116-C175-45E1-A570-6FB14FEA8B7B} - (no file)
    WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    HKU-Default-Run-VisualTaskTip - \Program Files\VisualTaskTips\VisualTaskTips.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-02-15 23:31
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\gzbuepn]
    "ImagePath"="\??\c:\windows\system32\05.tmp"

    [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qgsjni]
    "ImagePath"="\??\c:\windows\system32\05.tmp"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(836)
    c:\windows\system32\SETUPAPI.dll
    c:\windows\system32\COMRes.dll
    c:\windows\system32\cscui.dll
    c:\progra~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll

    - - - - - - - > 'lsass.exe'(900)
    c:\windows\system32\setupapi.dll
    c:\windows\system32\scecli.dll

    - - - - - - - > 'explorer.exe'(2892)
    c:\windows\system32\SHDOCVW.dll
    c:\windows\system32\COMRes.dll
    c:\windows\System32\cscui.dll
    c:\windows\system32\ntshrui.dll
    c:\windows\system32\msi.dll
    c:\windows\system32\SETUPAPI.dll
    c:\windows\system32\NETSHELL.dll
    c:\windows\system32\credui.dll
    c:\windows\system32\wpdshserviceobj.dll
    c:\windows\system32\btncopy.dll
    c:\windows\system32\portabledevicetypes.dll
    c:\windows\system32\portabledeviceapi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Fichiers communs\DeviceHelper\DeviceManager.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\rpcnet.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-02-15 23:36:54 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-02-15 22:36

    Avant-CF: 102 031 409 152 octets libres
    Après-CF: 108 386 562 048 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - D214320BB5AC6EB1BEFCC9AF0CDA0AC2
    0
  19. Gee
     
    Eh ca kézako c'est apparu comme ca !

    https://imageshack.com/

    Elle dit qu'elle comprend rien

    Fallait si attendre les bonnes choses ne vienent jamais seules -_-
    0
    1. Gee
       
      Ma connection est plus lente d'un coup
      0
  20. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    ça s'annonce mal....

    Telecharge:

    The avenger

    * dezippe le , Lance le , executer en tant qu'administrateur sous vista

    capture

    Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:


    Drivers to delete:
    gzbuepn
    qgsjni
    ABP470N5
    zhsvuhdo
    gkldgec
    Files to delete:
    c:\windows\system32\05.tmp


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    0
    1. Gee
       
      Bonjoiur,

      Ok Tigzy je m'y met avec Avenger et je vous tiens au courant
      0
  • 1
  • 2
  • 3