capacité d'un rootkit ??? jusqua quoi ??!!!!!

Question

Bonjour, 

j'ai télecharge combofix y a pas longtemps, et aprés l'avoir exicuté il a decellai une activité de rootkit et il a generé ce rapport qui va suivre et avec un message qui dit que le fichier registre est infecté.
alors je voudrai savoir si je dois craidre pour mes fichiers personel ou pas ?

ComboFix 11-03-05.02 - azerty 06/03/2011  14:05:28.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1978.1457 [GMT 1:00]
Lancé depuis: G:\ComboFix.exe
 * Un antivirus résident est actif
.
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\PIF\cmd.vbe
c:\windows\PIF\firewall.vbe
c:\windows\PIFeg.reg
c:\windows\PIFeg1.reg
c:\windows\system32\28463
c:\windows\system32\28463\DVYY.001
c:\windows\system32\AVSredirect.dll
c:\windows\system32\Desktop_.ini
D:\autorun.inf
.
c:\windowsegedit.exe . . . est infecté!!
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-02-06 au 2011-03-06  ))))))))))))))))))))))))))))))))))))
.
.
2011-03-06 12:10 . 2011-03-06 12:10	--------	d-----w-	C:sit
2011-03-05 18:53 . 2011-03-05 18:53	--------	d-----w-	C:\Quarantine
2011-02-18 18:40 . 2011-02-18 18:44	--------	d-----w-	C:\Perl
2011-02-06 21:39 . 2011-02-15 11:05	--------	d-----w-	C:\Temp
2011-02-05 23:08 . 2011-02-05 23:08	--------	d-----r-	C:\MSOCache
2011-02-05 22:06 . 2011-02-05 22:06	--------	d-----w-	C:\Intel
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2009-02-17 11:05	441344	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-13 18:31	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-13 17:58	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2008-04-13 18:33	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2009-02-20 09:47	43520	------w-	c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2009-02-17 11:05	916480	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2009-02-17 11:05	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-12-20 17:26 . 2008-04-13 18:33	736768	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2009-02-20 09:47	385024	------w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2008-04-13 18:33	743424	----a-w-	c:\windows\system32
tdll.dll
2010-12-09 15:14 . 2008-04-13 19:07	2029056	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-12-09 15:14 . 2009-02-20 09:04	2150912	----a-w-	c:\windows\system32
toskrnl.exe
2010-12-09 14:30 . 2008-04-13 18:33	33280	----a-w-	c:\windows\system32\csrsrv.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\system32
bDX.dll
.
.
------- Sigcheck -------
.
[-] 2009-02-20 09:03 . 699D22B70D6CD1B9759A14D10256A715 . 1587712 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2009-02-20 . DE669722494CF41F6E39A62B3B08525C . 561152 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2009-02-17 . 8D94786F48553651FDB92CE307D23B95 . 1492992 . . [6.0] . . c:\windows\system32\comctl32.dll
[7] 2008-04-13 . F92E6BEA9349D49341383F8403B4DFE5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[7] 2001-08-23 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
.
[-] 2009-02-17 . 97CCFDD0F9F73E4158D9461C01DC1D5A . 573952 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
.
[-] 2009-02-17 . 94DF26097D850D6A67743E853A6FC832 . 3193344 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
.
[-] 2009-02-20 . 956F9D20E5D23944F3F2D34CB2850663 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2009-02-20 . 58DB2EE838D5B7BAD0F7F10A6C920390 . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
c:\windows\System32\wscntfy.exe ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-02-06 396152]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-09-09 3118512]
"Memory Improve Ultimate"="c:\program files\Memory Improve Ultimate\MemoryImproveUltimate.exe" [2008-12-15 4994560]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-27 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-27 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-27 150040]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-07-17 53248]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-01-25 421160]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2010-04-12 180224]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-07-21 159744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2009-02-20 40960]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
RKLauncher.lnk - c:\program files\Gadget\RKLauncher\RKLauncher.exe [2011-2-5 393216]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Microsoft Office\Office14\GROOVE.EXE"=
"c:\Program Files\Microsoft Office\Office14\ONENOTE.EXE"=
"c:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5445:TCP"= 5445:TCP:@xpsp2res.dll,-22003
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16/11/2009 09:03 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16/11/2009 09:06 96408]
R1 MpKsl4827b603;MpKsl4827b603;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{ABAFE76B-7358-49EF-ACE4-475282BB4074}\MpKsl4827b603.sys [06/03/2011 14:02 28752]
R1 vcdrom;Virtual CD-ROM Device Driver;c:\program files\System\CPL Bonus\vcdrom.sys [05/02/2011 19:57 8576]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [16/11/2009 09:04 735960]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [05/02/2011 23:19 38912]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [25/03/2010 10:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 21:37 4640000]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MPKSL4827B603
*NewlyCreated* - VCDROM
*Deregistered* - BootScreen
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-03-06 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
2011-03-06 c:\windows\Tasks\User_Feed_Synchronization-{F7C58CE4-E825-41D7-B6C8-420E76C91A84}.job
- c:\windows\system32\msfeedssync.exe [2009-02-20 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - 
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-06 14:12
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\cscui.dll
.
- - - - - - - > 'lsass.exe'(1060)
c:\windows\system32\setupapi.dll
.
Heure de fin: 2011-03-06  14:14:33
ComboFix-quarantined-files.txt  2011-03-06 13:14
.
Avant-CF: 97 924 333 568 octets libres
Après-CF: 97 852 424 192 octets libres
.
- - End Of File - - E6EF02D6FE0E87D86D7EA17F62E8E64C

                                                                                   MERCI 

Configuration: Windows XP / Internet Explorer 7.0

juju666 · Accepted Answer

salut

"_nltide_2"="shell32" >> tu as un faux windows!

&#9654 Rentre dans ton panneau de configuration....      
&#9654 Apparence et personnalisation...      
&#9654 Option des dossiers...(double cliquer dessus)      
&#9654 Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option   
&#9654 Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.   

&#9654 &#9654 ensuite rends toi sur ce lien:   
https://www.virustotal.com/gui/   

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr  


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"   
recherche les entrées suivante dans ton disque :   


c:\windows\Setup1.exe 
c:\windows\system32\config\systemprofile\_inst2.exe 
c:\windows\system32\mstsc.exe 
c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\pubs.exe


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant   

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée    

Ensuite

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau. 

&#9654 &#9654 Miroir 1 si inaccessible  
&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

++

juju666 · Answer

Salut ;)

Bah pour tes fichiers, si c est important, en général on fait des backup ;)

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-03-08 128512] 

ou comment se faire infecter avec un windows non officiel et donc, non à jour :)

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

@+

rabbi1948 · Answer

Merci bien juju666 pour toutes les directives que je vai excuter prochainement parceque je suis sur un autre poste.
pour mes fichiers ce que je demande est : est ce que le male intentioné avec son rootkit a put telecharger et posseder des copies de mes fichiers parcequ'ils sont trés personels.
                                                MERCI INFINIMENT POUR VOTRE AIDE

juju666 · Answer

Salut,

Au pire, voler tes mots de passe avec un KeyLogger. 

++

rabbi1948 · Answer

Merci juju666, ca me rassure un peut a+ pour le rapport.

             CKI VA PIANO, VA SANO, VA LOINTO

rabbi1948 · Answer

Salut juju666

voici le lient que tu a demandé pour le fichier OTL.

https://pjjoint.malekal.com/files.php?id=ceac8d7e6b156

et voici le pour fichier extrats.

https://pjjoint.malekal.com/files.php?id=74ed3b94c5116

                                                                     MERCI BIEN

juju666 · Answer

Salut,

Bien infecté :)

Attention, avant de commencer, lit attentivement la procédure, et imprime la  

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt   

++

rabbi1948 · Answer

salut juju666

j'ai lance combofix il a scanai et redemarrai le pc parcequ'il a detectai une activté rootkit, voici le rapport :

ComboFix 11-03-12.01 - azerty 13/03/2011  22:11:18.3.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1978.1450 [GMT 1:00]
Lancé depuis: c:\documents and settings\azerty\Mes documents\Downloads\Programs\ComboFix.exe
 * Un antivirus résident est actif
.
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windowsegedit.exe . . . est infecté!!
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-02-13 au 2011-03-13  ))))))))))))))))))))))))))))))))))))
.
.
2011-03-13 21:08 . 2011-03-13 21:08	28752	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{D6F06538-FB44-4128-9F59-1B70A930A7E8}\MpKsl75d3dea1.sys
2011-03-13 12:37 . 2011-02-11 06:54	5943120	------w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{D6F06538-FB44-4128-9F59-1B70A930A7E8}\mpengine.dll
2011-03-12 15:16 . 2011-03-13 20:55	--------	d-----w-	C:\SDFix
2011-03-12 14:43 . 2011-03-12 15:05	--------	d-----w-	C:\FyK
2011-03-09 12:54 . 2011-03-09 12:54	--------	d-----w-	c:\documents and settings\azerty\Application Data\SUPERAntiSpyware.com
2011-03-09 12:54 . 2011-03-09 12:54	--------	d-----w-	c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2011-03-09 12:54 . 2011-03-09 12:54	--------	d-----w-	c:\program files\SUPERAntiSpyware
2011-03-09 12:04 . 2011-03-09 12:04	--------	d-----w-	c:\documents and settings\azerty\Application Data\Malwarebytes
2011-03-09 12:04 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-09 12:04 . 2011-03-09 12:04	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-03-09 12:04 . 2011-03-09 12:04	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-09 12:04 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-06 12:10 . 2011-03-06 12:10	--------	d-----w-	c:\program files	rend micro
2011-03-06 12:10 . 2011-03-06 12:10	--------	d-----w-	C:sit
2011-03-05 22:22 . 2011-03-05 22:22	--------	d-----w-	c:\documents and settings\azerty\.dbeaver
2011-03-05 22:22 . 2011-03-05 22:22	--------	d-----w-	c:\program files\DBeaver
2011-03-05 18:53 . 2011-03-06 13:33	--------	d-----w-	C:\Quarantine
2011-03-05 12:47 . 2011-03-05 12:47	--------	d-----w-	c:\documents and settings\azerty\Application Data\Comodo
2011-03-05 11:44 . 2001-08-23 16:04	12288	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys
2011-03-05 11:44 . 2001-08-23 16:04	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2011-03-05 11:44 . 2008-04-13 10:45	10368	-c--a-w-	c:\windows\system32\dllcache\hidusb.sys
2011-03-05 11:44 . 2008-04-13 10:45	10368	----a-w-	c:\windows\system32\drivers\hidusb.sys
2011-03-02 20:45 . 2011-03-13 13:32	--------	d-----w-	c:\program files\Recuva
2011-02-27 14:58 . 2011-03-13 13:20	--------	d-----w-	c:\program files\MediaInfo
2011-02-27 14:43 . 2011-03-13 13:23	--------	d-----w-	c:\program files\Movies2iPhone
2011-02-27 10:41 . 2007-05-17 16:30	318976	----a-w-	c:\windows\system32\avisynth.dll
2011-02-27 10:41 . 2004-02-22 09:11	719872	----a-w-	c:\windows\system32\devil.dll
2011-02-27 10:41 . 2011-02-27 10:41	--------	d-----w-	c:\program files\AviSynth 2.5
2011-02-27 10:41 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2011-02-27 10:38 . 2011-02-27 10:38	--------	d-----w-	c:\program files\eRightSoft
2011-02-27 10:22 . 2011-03-13 13:22	--------	d-----w-	c:\program files\Mp3tag
2011-02-27 09:51 . 2011-02-27 09:51	--------	d-----w-	c:\program files\Memory Improve Ultimate
2011-02-22 13:19 . 2011-02-22 13:19	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Apple
2011-02-21 07:38 . 2011-02-21 07:38	--------	d-----w-	c:\program files\Apoint2K
2011-02-21 07:38 . 2008-02-18 21:09	166960	----a-w-	c:\windows\system32\drivers\Apfiltr.sys
2011-02-21 07:38 . 2006-11-02 07:09	1419232	----a-w-	c:\windows\system32\WdfCoInstaller01005.dll
2011-02-21 07:38 . 2008-01-19 15:53	100546	----a-w-	c:\windows\system32\Vxdif.dll
2011-02-19 13:07 . 2011-02-19 13:07	--------	d-----w-	c:\program files\Activision
2011-02-19 12:23 . 2011-03-13 13:28	--------	d-----w-	c:\program files\PowerISO
2011-02-18 22:09 . 2011-02-26 00:27	--------	d-----w-	c:\documents and settings\azerty\Local Settings\Application Data\ApplicationHistory
2011-02-18 22:08 . 2011-03-13 13:26	--------	d-----w-	c:\program files\Torrent Harvester
2011-02-18 21:57 . 2011-02-18 21:57	--------	d-----w-	c:\documents and settings\azerty\.thumbnails
2011-02-18 21:56 . 2011-02-18 22:04	--------	d-----w-	c:\documents and settings\azerty\.gimp-2.6
2011-02-18 21:56 . 2011-02-18 21:56	--------	d-----w-	c:\documents and settings\azerty\.gegl-0.0
2011-02-18 21:56 . 2011-02-22 02:59	--------	d-----w-	c:\program files\Maketorrent 2
2011-02-18 20:10 . 2011-02-18 20:11	--------	d-----w-	c:\documents and settings\azerty\Application Data\Ashampoo
2011-02-18 20:02 . 2011-02-18 20:10	--------	d-----w-	c:\documents and settings\azerty\Local Settings\Application Data\ashampoo
2011-02-18 20:02 . 2011-02-18 20:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\ashampoo
2011-02-18 20:01 . 2011-02-18 20:01	--------	d-----w-	c:\program files\Ashampoo
2011-02-18 18:40 . 2011-03-13 13:17	--------	d-----w-	C:\Perl
2011-02-18 16:14 . 2011-02-18 16:14	--------	d-----w-	c:\program files\Xiph.Org
2011-02-17 14:47 . 2011-02-17 14:47	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2011-02-16 23:40 . 2011-02-16 23:40	--------	d-sh--w-	c:\windows\ftpcache
2011-02-16 22:28 . 2011-02-16 22:28	--------	d-----w-	c:\windows\Sun
2011-02-16 15:39 . 2011-02-16 21:07	--------	d-----w-	c:\program files\WinISO
2011-02-15 12:08 . 2011-02-15 12:09	--------	d-----w-	c:\documents and settings\azerty\Application Data\Media Player Classic
2011-02-15 11:22 . 2011-02-15 11:22	--------	d-----w-	c:\program files\Jasc Software Inc
2011-02-15 11:21 . 2011-03-13 13:29	32768	------w-	c:\program files\Fichiers communs\InstallShield\engine\6\Intel 32\objectps.dll
2011-02-15 11:21 . 2011-03-13 13:29	217088	------w-	c:\program files\Fichiers communs\InstallShield\IScript\iscript.dll
2011-02-15 11:21 . 2011-03-13 13:29	98304	------w-	c:\program files\Fichiers communs\InstallShield\engine\6\Intel 32\knlwrap.exe
2011-02-15 11:21 . 2011-03-13 13:29	36864	------w-	c:\program files\Fichiers communs\InstallShield\engine\6\Intel 32\msihook.dll
2011-02-15 11:21 . 2011-03-13 13:29	217088	------w-	c:\program files\Fichiers communs\InstallShield\engine\6\Intel 32\iuser.dll
2011-02-15 11:21 . 2011-03-13 13:29	598016	------w-	c:\program files\Fichiers communs\InstallShield\engine\6\Intel 32\ikernel.exe
2011-02-15 11:21 . 2011-03-13 13:29	102400	------w-	c:\program files\Fichiers communs\InstallShield\engine\6\Intel 32\scpthdlr.dll
2011-02-15 11:08 . 2011-02-15 11:08	--------	d-----w-	c:\documents and settings\azerty\.phet
2011-02-15 10:58 . 2011-02-15 12:48	--------	d-----w-	c:\program files\PhET
2011-02-15 10:51 . 2011-02-15 10:51	--------	d-----w-	c:\program files\Evariste
2011-02-15 09:43 . 2011-02-15 09:43	253952	------w-	c:\windows\Setup1.exe
2011-02-15 09:43 . 2011-02-15 09:43	74752	----a-w-	c:\windows\ST6UNST.EXE
2011-02-15 09:34 . 2011-02-15 09:34	--------	d-----w-	c:\program files\Fichiers communs\SWF Studio
2011-02-15 09:32 . 2011-02-15 12:49	--------	d-----w-	c:\program files\EquaChim
2011-02-15 03:26 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2011-02-15 01:28 . 2011-02-15 01:28	--------	d--h--w-	c:\program files\Zero G Registry
2011-02-15 01:28 . 2011-02-15 01:28	--------	d-----w-	c:\program files\GeoGebra
2011-02-15 01:27 . 2011-02-15 01:27	--------	d--h--w-	c:\documents and settings\azerty\InstallAnywhere
2011-02-15 00:15 . 2011-02-15 00:15	--------	d-sh--w-	c:\documents and settings\azerty\PrivacIE
2011-02-14 22:47 . 2011-02-11 06:54	5943120	------w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-02-14 22:46 . 2011-02-02 16:11	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-02-14 22:34 . 2011-02-14 22:35	--------	d-----w-	c:\program files\Microsoft Security Client
2011-02-14 22:31 . 2011-02-14 22:31	--------	d-----w-	c:\program files\Fichiers communs\Java
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:54 . 2008-04-13 18:33	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2008-04-13 18:33	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-05 19:08 . 2011-02-05 19:14	145495	----a-w-	c:\windows\system32\config\systemprofile\_inst2.exe
2011-02-05 19:08 . 2011-02-05 19:14	294145	----a-w-	c:\windows\system32\config\systemprofile\_inst1.exe
2011-02-02 07:59 . 2011-02-05 18:57	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2011-02-05 18:57	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2009-02-17 11:05	441344	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-13 18:31	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-13 17:58	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2008-04-13 18:33	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2009-02-20 09:47	43520	------w-	c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2009-02-17 11:05	916480	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2009-02-17 11:05	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-12-20 17:26 . 2008-04-13 18:33	736768	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2009-02-20 09:47	385024	------w-	c:\windows\system32\html.iec
.
.
------- Sigcheck -------
.
[-] 2009-02-20 09:03 . 699D22B70D6CD1B9759A14D10256A715 . 1587712 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2009-02-20 . DE669722494CF41F6E39A62B3B08525C . 561152 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2009-02-17 . 8D94786F48553651FDB92CE307D23B95 . 1492992 . . [6.0] . . c:\windows\system32\comctl32.dll
[7] 2008-04-13 . F92E6BEA9349D49341383F8403B4DFE5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[7] 2001-08-23 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
.
[-] 2009-02-17 . 97CCFDD0F9F73E4158D9461C01DC1D5A . 573952 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
.
[-] 2009-02-17 . 94DF26097D850D6A67743E853A6FC832 . 3193344 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
.
[-] 2009-02-20 . 956F9D20E5D23944F3F2D34CB2850663 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2009-02-20 . 58DB2EE838D5B7BAD0F7F10A6C920390 . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
c:\windows\System32\wscntfy.exe ... manque !!
.
(((((((((((((((((((((((((((((   SnapShot@2011-03-06_13.12.41   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-03-13 21:09 . 2011-03-13 21:09	16384              c:\windows\Temp\Perflib_Perfdata_3f8.dat
- 2001-08-28 18:00 . 2011-02-21 06:29	85394              c:\windows\system32\perfc00C.dat
+ 2001-08-28 18:00 . 2011-03-07 11:40	85394              c:\windows\system32\perfc00C.dat
- 2001-08-28 18:00 . 2011-02-21 06:29	71336              c:\windows\system32\perfc009.dat
+ 2001-08-28 18:00 . 2011-03-07 11:40	71336              c:\windows\system32\perfc009.dat
+ 2011-02-05 23:14 . 2011-03-13 13:57	34144              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\oisicon.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	34144              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\oisicon.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	42848              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\msouc.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	42848              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\msouc.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	19296              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\cagicon.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	19296              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\cagicon.exe
+ 2001-08-28 18:00 . 2011-03-07 11:40	510500              c:\windows\system32\perfh00C.dat
- 2001-08-28 18:00 . 2011-02-21 06:29	510500              c:\windows\system32\perfh00C.dat
- 2001-08-28 18:00 . 2011-02-21 06:29	441018              c:\windows\system32\perfh009.dat
+ 2001-08-28 18:00 . 2011-03-07 11:40	441018              c:\windows\system32\perfh009.dat
+ 2008-04-13 18:33 . 2011-02-09 13:54	270848              c:\windows\system32\dllcache\sbe.dll
- 2008-04-13 18:33 . 2008-04-13 18:33	270848              c:\windows\system32\dllcache\sbe.dll
+ 2011-02-05 18:57 . 2011-01-27 11:57	677888              c:\windows\system32\dllcache\lhmstsc.exe
- 2011-02-05 18:57 . 2008-04-13 18:34	677888              c:\windows\system32\dllcache\lhmstsc.exe
+ 2008-04-13 18:33 . 2011-02-09 13:54	186880              c:\windows\system32\dllcache\encdec.dll
- 2008-04-13 18:33 . 2008-04-13 18:33	186880              c:\windows\system32\dllcache\encdec.dll
- 2011-02-05 23:14 . 2011-02-15 11:14	415584              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\pubs.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	415584              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\pubs.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	303456              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\outicon.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	303456              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\outicon.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	571232              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\misc.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	571232              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\misc.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	326496              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\joticon.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	326496              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\joticon.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	469856              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\inficon.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	469856              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\inficon.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	178528              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\grvicons.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	178528              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\grvicons.exe
+ 2010-03-29 19:26 . 2010-03-29 19:26	140144              c:\windows\Installer\$PatchCache$\Managed\00004109110000000000000000F01FEC\14.0.4763\ONENOTEMANAGED.DLL
+ 2011-02-05 18:57 . 2011-02-02 07:59	2067456              c:\windows\system32\dllcache\lhmstscx.dll
+ 2011-01-14 10:54 . 2011-01-14 10:54	8739328              c:\windows\Installer\53a4f4.msp
+ 2011-02-16 00:40 . 2011-02-16 00:40	3460608              c:\windows\Installer\53a4dc.msp
- 2011-02-05 23:14 . 2011-02-15 11:14	1479520              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\xlicons.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	1479520              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\xlicons.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	1858400              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\wordicon.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	1858400              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\wordicon.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	3792736              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\pptico.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	3792736              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\pptico.exe
- 2011-02-05 23:14 . 2011-02-15 11:14	1449312              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\accicons.exe
+ 2011-02-05 23:14 . 2011-03-13 13:57	1449312              c:\windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\accicons.exe
+ 2011-02-07 00:12 . 2011-03-13 13:58	37943240              c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-02-06 396152]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-09-09 3118512]
"Memory Improve Ultimate"="c:\program files\Memory Improve Ultimate\MemoryImproveUltimate.exe" [2008-12-15 4994560]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2423752]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-27 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-27 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-27 150040]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-07-17 53248]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-01-25 421160]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-07-21 159744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2009-02-20 40960]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
RKLauncher.lnk - c:\program files\Gadget\RKLauncher\RKLauncher.exe [2011-2-5 393216]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Microsoft Office\Office14\GROOVE.EXE"=
"c:\Program Files\Microsoft Office\Office14\ONENOTE.EXE"=
"c:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5445:TCP"= 5445:TCP:@xpsp2res.dll,-22003
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16/11/2009 09:03 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16/11/2009 09:06 96408]
R1 MpKsl75d3dea1;MpKsl75d3dea1;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{D6F06538-FB44-4128-9F59-1B70A930A7E8}\MpKsl75d3dea1.sys [13/03/2011 22:08 28752]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 19:41 67656]
R1 vcdrom;Virtual CD-ROM Device Driver;c:\program files\System\CPL Bonus\vcdrom.sys [05/02/2011 19:57 8576]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [16/11/2009 09:04 735960]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [05/02/2011 23:19 38912]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [25/03/2010 10:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 21:37 4640000]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MPKSL75D3DEA1
*NewlyCreated* - VCDROM
*Deregistered* - BootScreen
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-03-13 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
2011-03-13 c:\windows\Tasks\User_Feed_Synchronization-{F7C58CE4-E825-41D7-B6C8-420E76C91A84}.job
- c:\windows\system32\msfeedssync.exe [2009-02-20 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - 
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-13 22:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\program files\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll
.
- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\setupapi.dll
.
Heure de fin: 2011-03-13  22:16:58
ComboFix-quarantined-files.txt  2011-03-13 21:16
ComboFix2.txt  2011-03-06 18:41
ComboFix3.txt  2011-03-06 13:14
.
Avant-CF: 100 670 947 328 octets libres
Après-CF: 100 667 932 672 octets libres
.
- - End Of File - - 3375E22BD456453BC559E7C951B548EE


                                                                          MERCI

rabbi1948 · Answer

salut
avant tout je tiens a te dire que j'ai deux fichiers qui sont :
c:\windows\system32\config\systemprofile\_inst1.exe 
c:\windows\system32\config\systemprofile\_inst2.exe 

le premier l'analyse est positive voici le resultat :

http://www.virustotal.com/file-scan/report.html?id=547922f3935d19b1ebf45741cd3c1309aa3df5af5db448a533f1c8a908ad909f-1300220277

le 2me l'analyse est aussi positive voici le rapport :

http://www.virustotal.com/file-scan/report.html?id=04b6ffb5b7874fef0824b82b1573c1ee7a9e4d6fb444cd0afaa60fbcc611bb94-1300220612

pour les autres ils sont nickel.
avant de poster je tiens a dire que le _inst1.exe possede l'icon de firefox, et le _inst2.exe possede l'icon paint net, si ca peut aider.

                                                                      MEEEEEEEEEERCI

juju666 · Answer

Salut,

De rien ;)

Ce sont des adwares (publiciels)

&#9654  Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Nettoyer » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)  


Ensuite:

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

/!\ Le processus d'installation coupe tous tes programmes afin d'arrêter les rogues !!!! /!\

Laisse coché :

&#9830 Exécuter List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au début 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

@+

rabbi1948 · Answer

salut

voici le rapport ad-remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:26:03 le 16/03/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
azerty@MIDO ( ) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\azerty\Application Data\FissaSearch

Clé trouvée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé trouvée: HKCU\Software\FissaSearch
Clé trouvée: HKCU\Software\Spointer


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.0.5 (fr)] ****

Plugins
p32asw.dll (Macromedia, Inc.)
Plugins\NPSWF32.dll (?)
Components\aboutRights.js
Components\aboutRobots.js
Components
sPostUpdateWin.js
HKCU_Extensions|mozilla_cc@internetdownloadmanager.com - C:\Documents and Settings\azerty\Application Data\IDM\idmmzcc3

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.google.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
HKCU_ElevationPolicy\{1902485B-CE75-42C1-BA2D-57E660793D9A} - C:\Program Files\Internet Download Manager\IEMonitor.exe (Tonec Inc.)
HKCU_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)
HKLM_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{0055C089-8582-441B-A0BF-17B458C2A3A8} - "IDMIEHlprObj Class" (C:\Program Files\Internet Download Manager\IDMIECC.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 16/03/2011 15:26:51 (1852 Octet(s)) 

Fin à: 15:27:21, 16/03/2011 
 
============== E.O.F ==============

rabbi1948 · Answer

pardon pour la gafe voici celui du supp :

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:04:14 le 16/03/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
azerty@MIDO ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\azerty\Application Data\FissaSearch

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé supprimée: HKCU\Software\FissaSearch
Clé supprimée: HKCU\Software\Spointer


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.0.5 (fr)] ****

Plugins
p32asw.dll (Macromedia, Inc.)
Plugins\NPSWF32.dll (?)
Components\aboutRights.js
Components\aboutRobots.js
Components
sPostUpdateWin.js
HKCU_Extensions|mozilla_cc@internetdownloadmanager.com - C:\Documents and Settings\azerty\Application Data\IDM\idmmzcc3

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
HKCU_ElevationPolicy\{1902485B-CE75-42C1-BA2D-57E660793D9A} - C:\Program Files\Internet Download Manager\IEMonitor.exe (Tonec Inc.)
HKCU_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)
HKLM_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{0055C089-8582-441B-A0BF-17B458C2A3A8} - "IDMIEHlprObj Class" (C:\Program Files\Internet Download Manager\IDMIECC.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/03/2011 16:04:18 (557 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 16/03/2011 15:26:51 (2500 Octet(s)) 

Fin à: 16:08:54, 16/03/2011 
 
============== E.O.F ==============

juju666 · Answer

ok :)

==> list_kill'em :)

rabbi1948 · Answer

voici le rapport de list kill'm :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijLMezGgi.txt

et voici celui du complimentaire :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijeMe4tLA.txt

                       MEERCI

juju666 · Answer

Vu ^^  


si tu as XP => double clique  
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."   

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.  

mais cette fois-ci :  

&#9654 choisis l'Option Suppression  

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!  

laisse travailler l'outil.  

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,  

&#9654 colle le contenu dans ta réponse   
 .::. Membre Contributeur Commentçamarche .::.

rabbi1948 · Answer

JUJU666, A CE QUE TU EST TOUJOURS LA ?!!!!!

juju666 · Answer

ouiiii :P

rabbi1948 · Answer

salut et bonjour
voici le rapport :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤ 
 
User : azerty (Administrateurs) 
Update on 15/03/2011 by g3n-h@ckm@n ::::: 16.00
Start at: 07:54:11 | 17/03/2011

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 116,44 Go (94,18 Go free) | NTFS
D:\ -> Disque fixe local | 116,43 Go (103,11 Go free) | NTFS
E:\ -> Disque CD-ROM
 
Killed : PID 2752 'iexplore.exe'
Killed : PID 1372 'iexplore.exe'
Killed : PID 3736 'explorer.exe'
Killed : PID 3736 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers 

 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\WINDOWS\System32\Drivers\etc\hosts
127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirewallDisableNotify	=      	0 (0x0) 
AntiVirusDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio -> Start = 3   
 EapHost -> Start = 2   
 Ip6Fw -> Start = 2   
 SharedAccess -> Start = 2   
 wuauserv -> Start = 2   
 wscsvc -> Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\WINDOWS\System32\userinit.exe, 
 VMapplet	=         	rundll32 shell32,Control_RunDLL sysdm.cpl 
 System	=         	 
 PowerdownAfterShutdown	=         	1 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer: 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Hitachi_HTS545025B9A300 rev.PB2OC60F -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
C:\DOCUME~1\azerty\LOCALS~1\Temp\catchme.sys  
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x89D40AB8]
3 CLASSPNP[0xBA0E8FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000006a[0x89DEC118]
5 ACPI[0xB9F7E620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP0T0L0-3[0x89D36C00]
kernel: MBR read successfully
user & kernel MBR OK 


Fin du Nettoyage :  7:54:27

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

rabbi1948 · Answer

il y a un autre aussi le voici :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Executé depuis : C:\Documents and Settings\azerty\Bureau\List_Killem_Install.exe

Mis à jour le 14/03/2011 | 11.05 par g3n-h@ckm@n
Utilisateur : azerty (Administrateurs)
Ordinateur : MIDO

Système d'exploitation : Microsoft Windows XP  (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 

Scan : 07:52:25 | 17/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

[HKLM\..\..\Winlogon] | Shell -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> 1
[HKLM\..\..\Winlogon] | scremoveoption -> 0

¤¤¤¤¤¤¤¤¤¤ Modifications apportées ¤¤¤¤¤¤¤¤¤¤ 

[HKLM\..\..\Winlogon] | Shell -> explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> 1
[HKLM\..\..\Winlogon] | scremoveoption -> 0

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCR\.exe] -> exefile
[HKCR\exefile\shell\open\command] -> exefile

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus stoppé 

explorer.exe -> Processus redémarré


¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

salut, nickel

refais ça : https://forums.commentcamarche.net/forum/affich-21108372-capacite-d-un-rootkit-jusqua-quoi#1

pour controler

rabbi1948 · Answer

salut juju666

Pardon pour ce retard suite a des obligations (mon casse-croute exigeant et paresseux mais je l'aime trop .......) 

enfin le mot magique NIIIIIIIIICKEL MEEEEEEEERCI, voici le rapport :

https://pjjoint.malekal.com/files.php?id=a6b540c8a35128

juju666 · Answer

Salut 

C:\Documents and Settings\azerty\Mes documents\ESET_Nod32_Keys_Finder_V7.exe >> faut pas t'étonner d'avoir des soucis avec un antivirus cracké ...

Sinon, je crois que c'est bon. 

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifs en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

Capacité d'un rootkit ??? jusqua quoi ??!!!!!

22 réponses

Votre réponse

Discussions similaires

Newsletters