Virus
Résolu/Fermé
Boulette Man
-
14 mars 2011 à 17:19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 16 mars 2011 à 11:30
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 16 mars 2011 à 11:30
A voir également:
- Virus
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Faux message virus ordinateur - Guide
- Tinyurl.com virus - Forum Virus
- Faux message virus iphone - Forum iPhone
22 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
14 mars 2011 à 17:26
14 mars 2011 à 17:26
bonjour
es tu sûr que c'est virus le responsable ?
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
es tu sûr que c'est virus le responsable ?
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Bonjour,
Oui, je pense que c'est du au cheval de troie, car je n'avais pas ces problémes avant que Antivir ne le detecte...
pjjoint.malekal.com/files.php?read=08d2149ded7109
Merci
Oui, je pense que c'est du au cheval de troie, car je n'avais pas ces problémes avant que Antivir ne le detecte...
pjjoint.malekal.com/files.php?read=08d2149ded7109
Merci
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
14 mars 2011 à 17:54
14 mars 2011 à 17:54
oui
tu es tres infecté
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien ...enregistrer la cible du lien sous )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
tu es tres infecté
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien ...enregistrer la cible du lien sous )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Est-ce que c'est possible de le faire en mode sans echec?
Car la je n'arrive pas à lancer comboFix en mode normal...
Car la je n'arrive pas à lancer comboFix en mode normal...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
14 mars 2011 à 18:16
14 mars 2011 à 18:16
ok
retélécharge le en cliquant droit sur le lien / enregistrer la cible du lien sous / et tu le renommes BOULETTE.exe avant de l'enregistrer sur le bureau
puis tente le en mode normal
si ca coince encore en mode sans echec avec prise en charge reseau
retélécharge le en cliquant droit sur le lien / enregistrer la cible du lien sous / et tu le renommes BOULETTE.exe avant de l'enregistrer sur le bureau
puis tente le en mode normal
si ca coince encore en mode sans echec avec prise en charge reseau
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
14 mars 2011 à 19:11
14 mars 2011 à 19:11
Re,
Voilà, aprés plusieur tentatives, le rapport :
ComboFix 11-03-13.02 - rollin 14/03/2011 18:50:30.2.1 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.804 [GMT 1:00]
Lancé depuis: c:\documents and settings\rollin\Bureau\Boulette.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\rollin\Application Data\OfferBox\config.dat
c:\documents and settings\rollin\Application Data\OfferBox\config.xml
c:\documents and settings\rollin\Application Data\TMInc\game.cfg
c:\documents and settings\rollin\Application Data\TMInc\user1.sav
c:\program files\OfferBox\OfferBox.exe
c:\program files\OfferBox\OfferBoxBHO.dll
c:\program files\OfferBox\OfferBoxChromeExtension.crx
c:\program files\OfferBox\OfferBoxEngine.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome.manifest
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\events.js
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\overlay.xul
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.xpt
c:\program files\OfferBox\offerboxffx@offerbox.com\install.rdf
c:\program files\OfferBox\OfferBoxLauncher.exe
c:\program files\OfferBox\res\language.xml
c:\program files\OfferBox\res\loader.gif
c:\program files\OfferBox\uninst.exe
c:\windows\rasrop.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\SysInfo.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
-------\Service_SSHNAS
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-14 au 2011-03-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-14 16:49 . 2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
2011-03-14 16:46 . 2011-03-14 16:46 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-14 16:36 . 2011-03-14 16:46 -------- d-----w- c:\program files\ZHPDiag
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\rollin\Application Data\Elephant Games
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Elephant Games
2011-03-14 10:27 . 2011-03-14 10:30 -------- d-----w- c:\program files\Mystery Trackers - Le Manoir des Void
2011-03-13 11:40 . 2011-03-13 11:44 -------- d-----w- c:\program files\Legends of the Wild West - Golden Hill
2011-03-11 13:41 . 2011-03-11 13:43 -------- d-----w- c:\program files\Les Affaires Perdues du 221B Baker St
2011-02-17 10:54 . 2011-02-17 21:24 -------- d-----w- c:\documents and settings\rollin\Application Data\BitTorrent
2011-02-17 10:54 . 2011-02-17 10:54 -------- d-----w- c:\program files\BitTorrent
2011-02-14 14:56 . 2011-02-16 19:05 -------- d-----w- c:\program files\Dark Tales-Double Assassinat dans la rue Morgue
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}"= "c:\program files\DevNet\Toolbar\DevNet.dll" [2010-10-29 487248]
.
[HKEY_CLASSES_ROOT\clsid\{3ea8d036-c9e7-4721-bcdf-c13d00c4cc39}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{A26CCE4F-8765-482B-A9F5-7D0A1635C08C}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]
@="{122903B6-792E-AAB2-1D17-90F038E70E6B}"
[HKEY_CLASSES_ROOT\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"Norton Ghost 9.0"="c:\program files\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-02-13 2196240]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"IWON"="c:\progra~1\IWONG\bar\1.bin\9ubar.dll" [2011-01-25 675840]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Agent Serveur M'dia.lnk - c:\program files\Serveur Media\twonkymediaserverconfig.exe [2010-2-19 235152]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Utilitaire sans fil Belkin.lnk - c:\program files\Belkin\F5D8053v4\BelkinWCUI.exe [2009-9-6 1474560]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Sports Interactive\\Football Manager 2010\\fm.exe"=
"c:\\Program Files\\Serveur Media\\twonkymediaserverwatchdog.exe"=
"c:\\Program Files\\Serveur Media\\TwonkyMediaServer.exe"=
"c:\\Program Files\\Serveur Media\\bgtrans.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [29/07/2004 03:33 138780]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [06/12/2010 08:31 1238408]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/01/2010 12:49 691696]
S1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [29/07/2004 04:13 46779]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/09/2009 13:52 108289]
S2 IWONGService;IWON Service;c:\progra~1\IWONG\bar\1.bin\9ubarsvc.exe [25/01/2011 12:59 28766]
S2 Serveur Média;Serveur Média;c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 --> c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 [?]
S2 yhffnxum;Logitech LVPr2Mon Controller;c:\windows\System32\svchost.exe -k netsvcs [03/08/2004 23:55 14336]
S3 androidusb;ADB Interface Driver;c:\windows\system32\drivers\androidusb.sys [07/04/2010 11:38 25728]
S3 qcusbser;ACER Android USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [07/04/2010 11:38 105984]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
yhffnxum
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.iadah.com/web-E-3
uDefault_Search_URL = hxxp://www.cherche.us/keyword/
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Recherche avec cherche.us - c:\documents and settings\rollin\scriptjava.html
Trusted Zone: chat-land.org
TCP: {3673844E-9EC1-4FBB-B63C-809E72071D4A} = 212.27.40.241,212.27.40.240
FF - ProfilePath - c:\documents and settings\rollin\Application Data\Mozilla\Firefox\Profiles\2wr33awb.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm217YYfr&ptb=8E7A6DA9-8BF3-4086-904D-AC005D381D6D&psa=&ind=2011012507&ptnrS=ZVxdm217YYfr&si=xFR&st=kwd&n=77dd9d9b&searchfor=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: IWON: 9uffxtbr@IWONG.com - c:\program files\IWONG\bar\1.bin
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Yxacusuyanamis - c:\windows\rasrop.dll
AddRemove-BFG-Alabama Smith - Les Cristaux de la Destinee - c:\program files\Alabama Smith - Les Cristaux de la Destinee\Uninstall.exe
AddRemove-BFG-Alexandra Fortune et le Mystere de l'Archipel Oublie - c:\program files\Alexandra Fortune et le Mystere de l'Archipel Oublie\Uninstall.exe
AddRemove-BFG-Princesse Isabella - Le Chateau Ensorcele - c:\program files\Princesse Isabella - Le Chateau Ensorcele\Uninstall.exe
AddRemove-bwin Casino - c:\casino\BWINCA~1\UNWISE.EXE
AddRemove-Fix-it-Up 2 - World Tour Deluxe - c:\program files\Zylom Games\Fix-it-Up 2 - World Tour Deluxe\GameInstlr.exe
AddRemove-GameCenter - c:\program files\Cyanide\GameCenter\uninstall.exe
AddRemove-Hidden Wonders of the Depths Deluxe - c:\program files\Zylom Games\Hidden Wonders of the Depths Deluxe\GameInstlr.exe
AddRemove-OfferBox Browser - c:\program files\OfferBox\uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-14 18:57
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> Harddisk0\DR0 -> \Device\00000032
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86737439]<<
c:\docume~1\rollin\LOCALS~1\Temp\catchme.sys
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x8673d7d0]; MOV EAX, [0x8673d84c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 nt!IofCallDriver[0x804E3D45] -> \Device\Harddisk0\DR0[0x866C7AB8]
3 CLASSPNP[0xF78A405B] -> nt!IofCallDriver[0x804E3D45] -> \Device\00000070[0x866ACF18]
5 ACPI[0xF770E620] -> nt!IofCallDriver[0x804E3D45] -> [0x86793030]
\Driver\nvata[0x867235A0] -> IRP_MJ_CREATE -> 0x86737439
error: Read Fonction incorrecte.
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV SI, 0x7be; MOV CL, 0x4; CMP [SI], CH; JL 0x2d; JNZ 0x3b; }
detected disk devices:
\Device\0000006f -> \??\IDE#DiskMaxtor_6V160E0__________________________VA111900#33564D3044424759202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1844)
c:\windows\system32\jdyuwnyc.dll
c:\windows\system32\msi.dll
.
Heure de fin: 2011-03-14 19:00:27
ComboFix-quarantined-files.txt 2011-03-14 18:00
.
Avant-CF: 9 782 480 896 octets libres
Après-CF: 10 595 205 120 octets libres
.
- - End Of File - - 9DC47431B01EF4EFD7E9D43E37DA7EEB
Voilà, aprés plusieur tentatives, le rapport :
ComboFix 11-03-13.02 - rollin 14/03/2011 18:50:30.2.1 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.804 [GMT 1:00]
Lancé depuis: c:\documents and settings\rollin\Bureau\Boulette.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\rollin\Application Data\OfferBox\config.dat
c:\documents and settings\rollin\Application Data\OfferBox\config.xml
c:\documents and settings\rollin\Application Data\TMInc\game.cfg
c:\documents and settings\rollin\Application Data\TMInc\user1.sav
c:\program files\OfferBox\OfferBox.exe
c:\program files\OfferBox\OfferBoxBHO.dll
c:\program files\OfferBox\OfferBoxChromeExtension.crx
c:\program files\OfferBox\OfferBoxEngine.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome.manifest
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\events.js
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\overlay.xul
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.xpt
c:\program files\OfferBox\offerboxffx@offerbox.com\install.rdf
c:\program files\OfferBox\OfferBoxLauncher.exe
c:\program files\OfferBox\res\language.xml
c:\program files\OfferBox\res\loader.gif
c:\program files\OfferBox\uninst.exe
c:\windows\rasrop.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\SysInfo.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
-------\Service_SSHNAS
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-14 au 2011-03-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-14 16:49 . 2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
2011-03-14 16:46 . 2011-03-14 16:46 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-14 16:36 . 2011-03-14 16:46 -------- d-----w- c:\program files\ZHPDiag
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\rollin\Application Data\Elephant Games
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Elephant Games
2011-03-14 10:27 . 2011-03-14 10:30 -------- d-----w- c:\program files\Mystery Trackers - Le Manoir des Void
2011-03-13 11:40 . 2011-03-13 11:44 -------- d-----w- c:\program files\Legends of the Wild West - Golden Hill
2011-03-11 13:41 . 2011-03-11 13:43 -------- d-----w- c:\program files\Les Affaires Perdues du 221B Baker St
2011-02-17 10:54 . 2011-02-17 21:24 -------- d-----w- c:\documents and settings\rollin\Application Data\BitTorrent
2011-02-17 10:54 . 2011-02-17 10:54 -------- d-----w- c:\program files\BitTorrent
2011-02-14 14:56 . 2011-02-16 19:05 -------- d-----w- c:\program files\Dark Tales-Double Assassinat dans la rue Morgue
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}"= "c:\program files\DevNet\Toolbar\DevNet.dll" [2010-10-29 487248]
.
[HKEY_CLASSES_ROOT\clsid\{3ea8d036-c9e7-4721-bcdf-c13d00c4cc39}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{A26CCE4F-8765-482B-A9F5-7D0A1635C08C}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]
@="{122903B6-792E-AAB2-1D17-90F038E70E6B}"
[HKEY_CLASSES_ROOT\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"Norton Ghost 9.0"="c:\program files\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-02-13 2196240]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"IWON"="c:\progra~1\IWONG\bar\1.bin\9ubar.dll" [2011-01-25 675840]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Agent Serveur M'dia.lnk - c:\program files\Serveur Media\twonkymediaserverconfig.exe [2010-2-19 235152]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Utilitaire sans fil Belkin.lnk - c:\program files\Belkin\F5D8053v4\BelkinWCUI.exe [2009-9-6 1474560]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Sports Interactive\\Football Manager 2010\\fm.exe"=
"c:\\Program Files\\Serveur Media\\twonkymediaserverwatchdog.exe"=
"c:\\Program Files\\Serveur Media\\TwonkyMediaServer.exe"=
"c:\\Program Files\\Serveur Media\\bgtrans.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [29/07/2004 03:33 138780]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [06/12/2010 08:31 1238408]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/01/2010 12:49 691696]
S1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [29/07/2004 04:13 46779]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/09/2009 13:52 108289]
S2 IWONGService;IWON Service;c:\progra~1\IWONG\bar\1.bin\9ubarsvc.exe [25/01/2011 12:59 28766]
S2 Serveur Média;Serveur Média;c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 --> c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 [?]
S2 yhffnxum;Logitech LVPr2Mon Controller;c:\windows\System32\svchost.exe -k netsvcs [03/08/2004 23:55 14336]
S3 androidusb;ADB Interface Driver;c:\windows\system32\drivers\androidusb.sys [07/04/2010 11:38 25728]
S3 qcusbser;ACER Android USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [07/04/2010 11:38 105984]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
yhffnxum
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.iadah.com/web-E-3
uDefault_Search_URL = hxxp://www.cherche.us/keyword/
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Recherche avec cherche.us - c:\documents and settings\rollin\scriptjava.html
Trusted Zone: chat-land.org
TCP: {3673844E-9EC1-4FBB-B63C-809E72071D4A} = 212.27.40.241,212.27.40.240
FF - ProfilePath - c:\documents and settings\rollin\Application Data\Mozilla\Firefox\Profiles\2wr33awb.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm217YYfr&ptb=8E7A6DA9-8BF3-4086-904D-AC005D381D6D&psa=&ind=2011012507&ptnrS=ZVxdm217YYfr&si=xFR&st=kwd&n=77dd9d9b&searchfor=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: IWON: 9uffxtbr@IWONG.com - c:\program files\IWONG\bar\1.bin
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Yxacusuyanamis - c:\windows\rasrop.dll
AddRemove-BFG-Alabama Smith - Les Cristaux de la Destinee - c:\program files\Alabama Smith - Les Cristaux de la Destinee\Uninstall.exe
AddRemove-BFG-Alexandra Fortune et le Mystere de l'Archipel Oublie - c:\program files\Alexandra Fortune et le Mystere de l'Archipel Oublie\Uninstall.exe
AddRemove-BFG-Princesse Isabella - Le Chateau Ensorcele - c:\program files\Princesse Isabella - Le Chateau Ensorcele\Uninstall.exe
AddRemove-bwin Casino - c:\casino\BWINCA~1\UNWISE.EXE
AddRemove-Fix-it-Up 2 - World Tour Deluxe - c:\program files\Zylom Games\Fix-it-Up 2 - World Tour Deluxe\GameInstlr.exe
AddRemove-GameCenter - c:\program files\Cyanide\GameCenter\uninstall.exe
AddRemove-Hidden Wonders of the Depths Deluxe - c:\program files\Zylom Games\Hidden Wonders of the Depths Deluxe\GameInstlr.exe
AddRemove-OfferBox Browser - c:\program files\OfferBox\uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-14 18:57
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> Harddisk0\DR0 -> \Device\00000032
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86737439]<<
c:\docume~1\rollin\LOCALS~1\Temp\catchme.sys
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x8673d7d0]; MOV EAX, [0x8673d84c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 nt!IofCallDriver[0x804E3D45] -> \Device\Harddisk0\DR0[0x866C7AB8]
3 CLASSPNP[0xF78A405B] -> nt!IofCallDriver[0x804E3D45] -> \Device\00000070[0x866ACF18]
5 ACPI[0xF770E620] -> nt!IofCallDriver[0x804E3D45] -> [0x86793030]
\Driver\nvata[0x867235A0] -> IRP_MJ_CREATE -> 0x86737439
error: Read Fonction incorrecte.
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV SI, 0x7be; MOV CL, 0x4; CMP [SI], CH; JL 0x2d; JNZ 0x3b; }
detected disk devices:
\Device\0000006f -> \??\IDE#DiskMaxtor_6V160E0__________________________VA111900#33564D3044424759202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1844)
c:\windows\system32\jdyuwnyc.dll
c:\windows\system32\msi.dll
.
Heure de fin: 2011-03-14 19:00:27
ComboFix-quarantined-files.txt 2011-03-14 18:00
.
Avant-CF: 9 782 480 896 octets libres
Après-CF: 10 595 205 120 octets libres
.
- - End Of File - - 9DC47431B01EF4EFD7E9D43E37DA7EEB
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
14 mars 2011 à 20:07
14 mars 2011 à 20:07
ok
il en a laisser en route
donc plusieurs choses
1)
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
File::
c:\windows\system32\jdyuwnyc.dll
Folder::
C:\Program Files\Winsudate
C:\Documents and Settings\Ju\Application Data\EoRezo
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
NetSvc::
yhffnxum
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
_____________
2)
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
_____________
3)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
__________
4)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
il en a laisser en route
donc plusieurs choses
1)
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
File::
c:\windows\system32\jdyuwnyc.dll
Folder::
C:\Program Files\Winsudate
C:\Documents and Settings\Ju\Application Data\EoRezo
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
NetSvc::
yhffnxum
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
_____________
2)
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
_____________
3)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
__________
4)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
15 mars 2011 à 10:15
15 mars 2011 à 10:15
Bonjour,
ComboFix :
ComboFix 11-03-13.02 - rollin 14/03/2011 20:36:41.3.1 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.806 [GMT 1:00]
Lancé depuis: c:\documents and settings\rollin\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\rollin\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\documents and settings\Ju\Application Date\EoRezo"
"c:\program files\Winsudate"
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-14 au 2011-03-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-14 17:59 . 2011-03-14 17:59 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2011-03-14 16:49 . 2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
2011-03-14 16:46 . 2011-03-14 16:46 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-14 16:36 . 2011-03-14 16:46 -------- d-----w- c:\program files\ZHPDiag
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\rollin\Application Data\Elephant Games
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Elephant Games
2011-03-14 10:27 . 2011-03-14 10:30 -------- d-----w- c:\program files\Mystery Trackers - Le Manoir des Void
2011-03-13 11:40 . 2011-03-13 11:44 -------- d-----w- c:\program files\Legends of the Wild West - Golden Hill
2011-03-11 13:41 . 2011-03-11 13:43 -------- d-----w- c:\program files\Les Affaires Perdues du 221B Baker St
2011-02-17 10:54 . 2011-02-17 21:24 -------- d-----w- c:\documents and settings\rollin\Application Data\BitTorrent
2011-02-17 10:54 . 2011-02-17 10:54 -------- d-----w- c:\program files\BitTorrent
2011-02-14 14:56 . 2011-02-16 19:05 -------- d-----w- c:\program files\Dark Tales-Double Assassinat dans la rue Morgue
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}"= "c:\program files\DevNet\Toolbar\DevNet.dll" [2010-10-29 487248]
.
[HKEY_CLASSES_ROOT\clsid\{3ea8d036-c9e7-4721-bcdf-c13d00c4cc39}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{A26CCE4F-8765-482B-A9F5-7D0A1635C08C}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]
@="{122903B6-792E-AAB2-1D17-90F038E70E6B}"
[HKEY_CLASSES_ROOT\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"Norton Ghost 9.0"="c:\program files\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-02-13 2196240]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"IWON"="c:\progra~1\IWONG\bar\1.bin\9ubar.dll" [2011-01-25 675840]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Agent Serveur M'dia.lnk - c:\program files\Serveur Media\twonkymediaserverconfig.exe [2010-2-19 235152]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Utilitaire sans fil Belkin.lnk - c:\program files\Belkin\F5D8053v4\BelkinWCUI.exe [2009-9-6 1474560]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Sports Interactive\\Football Manager 2010\\fm.exe"=
"c:\\Program Files\\Serveur Media\\twonkymediaserverwatchdog.exe"=
"c:\\Program Files\\Serveur Media\\TwonkyMediaServer.exe"=
"c:\\Program Files\\Serveur Media\\bgtrans.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [29/07/2004 03:33 138780]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [06/12/2010 08:31 1238408]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/01/2010 12:49 691696]
S1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [29/07/2004 04:13 46779]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/09/2009 13:52 108289]
S2 IWONGService;IWON Service;c:\progra~1\IWONG\bar\1.bin\9ubarsvc.exe [25/01/2011 12:59 28766]
S2 Serveur Média;Serveur Média;c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 --> c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 [?]
S2 yhffnxum;Logitech LVPr2Mon Controller;c:\windows\System32\svchost.exe -k netsvcs [03/08/2004 23:55 14336]
S3 androidusb;ADB Interface Driver;c:\windows\system32\drivers\androidusb.sys [07/04/2010 11:38 25728]
S3 qcusbser;ACER Android USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [07/04/2010 11:38 105984]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.iadah.com/web-E-3
uDefault_Search_URL = hxxp://www.cherche.us/keyword/
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Recherche avec cherche.us - c:\documents and settings\rollin\scriptjava.html
Trusted Zone: chat-land.org
TCP: {3673844E-9EC1-4FBB-B63C-809E72071D4A} = 212.27.40.241,212.27.40.240
FF - ProfilePath - c:\documents and settings\rollin\Application Data\Mozilla\Firefox\Profiles\2wr33awb.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm217YYfr&ptb=8E7A6DA9-8BF3-4086-904D-AC005D381D6D&psa=&ind=2011012507&ptnrS=ZVxdm217YYfr&si=xFR&st=kwd&n=77dd9d9b&searchfor=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: IWON: 9uffxtbr@IWONG.com - c:\program files\IWONG\bar\1.bin
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-14 20:43
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> Harddisk0\DR0 -> \Device\00000032
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86737439]<<
c:\docume~1\rollin\LOCALS~1\Temp\catchme.sys
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x8673d7d0]; MOV EAX, [0x8673d84c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 nt!IofCallDriver[0x804E3D45] -> \Device\Harddisk0\DR0[0x866C7AB8]
3 CLASSPNP[0xF78A405B] -> nt!IofCallDriver[0x804E3D45] -> \Device\00000070[0x866ACF18]
5 ACPI[0xF770E620] -> nt!IofCallDriver[0x804E3D45] -> [0x86793030]
\Driver\nvata[0x867235A0] -> IRP_MJ_CREATE -> 0x86737439
error: Read Fonction incorrecte.
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV SI, 0x7be; MOV CL, 0x4; CMP [SI], CH; JL 0x2d; JNZ 0x3b; }
detected disk devices:
\Device\0000006f -> \??\IDE#DiskMaxtor_6V160E0__________________________VA111900#33564D3044424759202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1968)
c:\windows\system32\jdyuwnyc.dll
c:\windows\system32\msi.dll
.
Heure de fin: 2011-03-14 20:45:22
ComboFix-quarantined-files.txt 2011-03-14 19:45
ComboFix2.txt 2011-03-14 18:00
.
Avant-CF: 10 582 339 584 octets libres
Après-CF: 10 593 939 456 octets libres
.
- - End Of File - - 588A0E4308756EE4B037DC318AFF4ED3
______________________________________________________
load_tdsskiller
2011/03/14 20:51:17.0484 2948 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/14 20:51:17.0781 2948 ================================================================================
2011/03/14 20:51:17.0781 2948 SystemInfo:
2011/03/14 20:51:17.0781 2948
2011/03/14 20:51:17.0781 2948 OS Version: 5.1.2600 ServicePack: 2.0
2011/03/14 20:51:17.0781 2948 Product type: Workstation
2011/03/14 20:51:17.0781 2948 ComputerName: UNICORNI-A59C4A
2011/03/14 20:51:17.0781 2948 UserName: rollin
2011/03/14 20:51:17.0781 2948 Windows directory: C:\WINDOWS
2011/03/14 20:51:17.0781 2948 System windows directory: C:\WINDOWS
2011/03/14 20:51:17.0781 2948 Processor architecture: Intel x86
2011/03/14 20:51:17.0781 2948 Number of processors: 1
2011/03/14 20:51:17.0781 2948 Page size: 0x1000
2011/03/14 20:51:17.0781 2948 Boot type: Normal boot
2011/03/14 20:51:17.0781 2948 ================================================================================
2011/03/14 20:51:18.0171 2948 Initialize success
2011/03/14 20:52:11.0906 3912 ================================================================================
2011/03/14 20:52:11.0906 3912 Scan started
2011/03/14 20:52:11.0906 3912 Mode: Manual;
2011/03/14 20:52:11.0906 3912 ================================================================================
2011/03/14 20:52:13.0203 3912 ================================================================================
2011/03/14 20:52:13.0203 3912 Scan finished
2011/03/14 20:52:13.0203 3912 ================================================================================
2011/03/14 20:52:21.0734 2984 Deinitialize success
______________________________________________________________
AD-Remover<\gras>
======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:52:44 le 14/03/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
rollin@UNICORNI-A59C4A ( )
============== ACTION(S) ==============
Fichier supprimé: C:\Documents and Settings\rollin\Application Data\Mozilla\FireFox\Profiles\2wr33awb.default\searchplugins\cherche.xml
Fichier supprimé: C:\Documents and Settings\rollin\scriptjava.html
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia
(!) -- Fichiers temporaires supprimés.
-- Fichier ouvert: C:\Documents and Settings\rollin\Application Data\Mozilla\FireFox\Profiles\2wr33awb.default\Prefs.js --
Ligne supprimée: user_pref("extensions.IWONG.openSearchURL", "hxxp://search.mywebsearch.com/mywebsearch/opensearch.jh...
Ligne supprimée: user_pref("keyword.URL", "hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm217YYfr&ptb...
-- Fichier Fermé --
Clé supprimée: HKLM\Software\Classes\Interface\{0016EFAA-8C8C-4213-A201-F12427C593D8}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{B17A0BCD-DD00-4C0A-96B1-0E8DC9FC9BD1}
Clé supprimée: HKLM\Software\Classes\Interface\{CE988FA9-C303-476F-AC07-385941604350}
Clé supprimée: HKLM\Software\Classes\Interface\{D8878812-6DD4-4F68-8E6D-419BFFD2CBF9}
Clé supprimée: HKLM\Software\Classes\Interface\{FEFAA9AF-0DF2-47FE-A5A8-E3FC3AE31ABE}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\PopCap
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.5.3 (fr)] ****
HKLM_MozillaPlugins\@ei.IWONG.com/Plugin (x)
HKLM_MozillaPlugins\@IWONG.com/Plugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
Components\aboutCertError.js
Components\aboutPrivateBrowsing.js
Components\aboutRights.js
Components\aboutRobots.js
Components\aboutSessionRestore.js
Components\nsPostUpdateWin.js
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox )
HKLM_Extensions|9uffxtbr@IWONG.com - C:\Program Files\IWONG\bar\1.bin
-- C:\Documents and Settings\rollin\Application Data\Mozilla\FireFox\Profiles\2wr33awb.default --
Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)
Searchplugins\iadah.xml (<SearchPlugin xmlns=hxxp://www.mozilla.org/2006/browser/search/<ShortNameiadah</ShortName<Descriptioniadah</Description<...)
Searchplugins\IWONG.xml (hxxp://search.mywebsearch.com/mywebsearch/cfg_redir2.jhtml)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\rollin\\Bureau
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\rollin\\Bureau
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.3
========================================
**** Internet Explorer Version [6.0.2900.2180] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{496ad952-e43c-4e58-b849-6ab72c7227e5} - "iadah" (hxxp://www.iadah.com/web-E-3?search&q={searchTerms})
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "cherche.us" (hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&c...)
HKLM_Toolbar|{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} (C:\Program Files\DevNet\Toolbar\DevNet.dll)
HKLM_ElevationPolicy\{43023B0B-C598-4935-808C-990E0C700723} - C:\Program Files\DevNet\Toolbar\DevNetUpdater.exe (DevNet)
HKLM_ElevationPolicy\{c2fdc27c-8e38-47fe-ab04-3aa9b4ee7614} - C:\Program Files\IWONG\bar\1.bin\9uimpipe.exe (IWON)
HKLM_ElevationPolicy\{D62088BE-DBCC-11DB-8D0A-D0DD55D89595} - C:\Program Files\RealArcade\Installer\bin\gameinstaller.exe (?)
HKLM_ElevationPolicy\{ded0c442-4679-447d-8f31-06e1355f6220} - C:\Program Files\IWONG\bar\1.bin\9uSkPlay.exe (IWON)
BHO\{122903B6-792E-AAB2-1D17-90F038E70E6B} - "?" (c:\windows\system32\jdyuwnyc.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/03/2011 20:54:02 (1163 Octet(s))
Fin à: 20:54:46, 14/03/2011
============== E.O.F ==============
___________________________________________________________
<gras>MalwareBytes'
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6057
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
15/03/2011 05:44:45
mbam-log-2011-03-15 (05-44-45).txt
Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 253250
Temps écoulé: 1 heure(s), 7 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\all users\application data\Avira\antivir desktop\TEMP\avscan-20110314-222349-6b08bd6e\ARK6.tmp (Trojan.Boaxxe) -> Delete on reboot.
c:\documents and settings\all users\documents\19792079 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\WINDOWS\system32\sshnas21.dll.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
________________________________________________________
Voilà!
Il a l'air de tourné déjà un peu mieux :)
Merci bien
ComboFix :
ComboFix 11-03-13.02 - rollin 14/03/2011 20:36:41.3.1 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.806 [GMT 1:00]
Lancé depuis: c:\documents and settings\rollin\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\rollin\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\documents and settings\Ju\Application Date\EoRezo"
"c:\program files\Winsudate"
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-14 au 2011-03-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-14 17:59 . 2011-03-14 17:59 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2011-03-14 16:49 . 2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
2011-03-14 16:46 . 2011-03-14 16:46 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-14 16:36 . 2011-03-14 16:46 -------- d-----w- c:\program files\ZHPDiag
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\rollin\Application Data\Elephant Games
2011-03-14 10:32 . 2011-03-14 10:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Elephant Games
2011-03-14 10:27 . 2011-03-14 10:30 -------- d-----w- c:\program files\Mystery Trackers - Le Manoir des Void
2011-03-13 11:40 . 2011-03-13 11:44 -------- d-----w- c:\program files\Legends of the Wild West - Golden Hill
2011-03-11 13:41 . 2011-03-11 13:43 -------- d-----w- c:\program files\Les Affaires Perdues du 221B Baker St
2011-02-17 10:54 . 2011-02-17 21:24 -------- d-----w- c:\documents and settings\rollin\Application Data\BitTorrent
2011-02-17 10:54 . 2011-02-17 10:54 -------- d-----w- c:\program files\BitTorrent
2011-02-14 14:56 . 2011-02-16 19:05 -------- d-----w- c:\program files\Dark Tales-Double Assassinat dans la rue Morgue
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}"= "c:\program files\DevNet\Toolbar\DevNet.dll" [2010-10-29 487248]
.
[HKEY_CLASSES_ROOT\clsid\{3ea8d036-c9e7-4721-bcdf-c13d00c4cc39}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{A26CCE4F-8765-482B-A9F5-7D0A1635C08C}]
[HKEY_CLASSES_ROOT\IadahToolbar.IEHook]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]
@="{122903B6-792E-AAB2-1D17-90F038E70E6B}"
[HKEY_CLASSES_ROOT\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}]
2011-03-14 16:49 737280 ----a-w- c:\windows\system32\jdyuwnyc.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"Norton Ghost 9.0"="c:\program files\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-07-29 1122304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-02-13 2196240]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"IWON"="c:\progra~1\IWONG\bar\1.bin\9ubar.dll" [2011-01-25 675840]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Agent Serveur M'dia.lnk - c:\program files\Serveur Media\twonkymediaserverconfig.exe [2010-2-19 235152]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Utilitaire sans fil Belkin.lnk - c:\program files\Belkin\F5D8053v4\BelkinWCUI.exe [2009-9-6 1474560]
.
c:\documents and settings\rollin\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rollin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-6 135680]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Sports Interactive\\Football Manager 2010\\fm.exe"=
"c:\\Program Files\\Serveur Media\\twonkymediaserverwatchdog.exe"=
"c:\\Program Files\\Serveur Media\\TwonkyMediaServer.exe"=
"c:\\Program Files\\Serveur Media\\bgtrans.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [29/07/2004 03:33 138780]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [06/12/2010 08:31 1238408]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/01/2010 12:49 691696]
S1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [29/07/2004 04:13 46779]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/09/2009 13:52 108289]
S2 IWONGService;IWON Service;c:\progra~1\IWONG\bar\1.bin\9ubarsvc.exe [25/01/2011 12:59 28766]
S2 Serveur Média;Serveur Média;c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 --> c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 [?]
S2 yhffnxum;Logitech LVPr2Mon Controller;c:\windows\System32\svchost.exe -k netsvcs [03/08/2004 23:55 14336]
S3 androidusb;ADB Interface Driver;c:\windows\system32\drivers\androidusb.sys [07/04/2010 11:38 25728]
S3 qcusbser;ACER Android USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [07/04/2010 11:38 105984]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.iadah.com/web-E-3
uDefault_Search_URL = hxxp://www.cherche.us/keyword/
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Recherche avec cherche.us - c:\documents and settings\rollin\scriptjava.html
Trusted Zone: chat-land.org
TCP: {3673844E-9EC1-4FBB-B63C-809E72071D4A} = 212.27.40.241,212.27.40.240
FF - ProfilePath - c:\documents and settings\rollin\Application Data\Mozilla\Firefox\Profiles\2wr33awb.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm217YYfr&ptb=8E7A6DA9-8BF3-4086-904D-AC005D381D6D&psa=&ind=2011012507&ptnrS=ZVxdm217YYfr&si=xFR&st=kwd&n=77dd9d9b&searchfor=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: IWON: 9uffxtbr@IWONG.com - c:\program files\IWONG\bar\1.bin
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-14 20:43
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> Harddisk0\DR0 -> \Device\00000032
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86737439]<<
c:\docume~1\rollin\LOCALS~1\Temp\catchme.sys
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x8673d7d0]; MOV EAX, [0x8673d84c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 nt!IofCallDriver[0x804E3D45] -> \Device\Harddisk0\DR0[0x866C7AB8]
3 CLASSPNP[0xF78A405B] -> nt!IofCallDriver[0x804E3D45] -> \Device\00000070[0x866ACF18]
5 ACPI[0xF770E620] -> nt!IofCallDriver[0x804E3D45] -> [0x86793030]
\Driver\nvata[0x867235A0] -> IRP_MJ_CREATE -> 0x86737439
error: Read Fonction incorrecte.
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV SI, 0x7be; MOV CL, 0x4; CMP [SI], CH; JL 0x2d; JNZ 0x3b; }
detected disk devices:
\Device\0000006f -> \??\IDE#DiskMaxtor_6V160E0__________________________VA111900#33564D3044424759202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1968)
c:\windows\system32\jdyuwnyc.dll
c:\windows\system32\msi.dll
.
Heure de fin: 2011-03-14 20:45:22
ComboFix-quarantined-files.txt 2011-03-14 19:45
ComboFix2.txt 2011-03-14 18:00
.
Avant-CF: 10 582 339 584 octets libres
Après-CF: 10 593 939 456 octets libres
.
- - End Of File - - 588A0E4308756EE4B037DC318AFF4ED3
______________________________________________________
load_tdsskiller
2011/03/14 20:51:17.0484 2948 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/14 20:51:17.0781 2948 ================================================================================
2011/03/14 20:51:17.0781 2948 SystemInfo:
2011/03/14 20:51:17.0781 2948
2011/03/14 20:51:17.0781 2948 OS Version: 5.1.2600 ServicePack: 2.0
2011/03/14 20:51:17.0781 2948 Product type: Workstation
2011/03/14 20:51:17.0781 2948 ComputerName: UNICORNI-A59C4A
2011/03/14 20:51:17.0781 2948 UserName: rollin
2011/03/14 20:51:17.0781 2948 Windows directory: C:\WINDOWS
2011/03/14 20:51:17.0781 2948 System windows directory: C:\WINDOWS
2011/03/14 20:51:17.0781 2948 Processor architecture: Intel x86
2011/03/14 20:51:17.0781 2948 Number of processors: 1
2011/03/14 20:51:17.0781 2948 Page size: 0x1000
2011/03/14 20:51:17.0781 2948 Boot type: Normal boot
2011/03/14 20:51:17.0781 2948 ================================================================================
2011/03/14 20:51:18.0171 2948 Initialize success
2011/03/14 20:52:11.0906 3912 ================================================================================
2011/03/14 20:52:11.0906 3912 Scan started
2011/03/14 20:52:11.0906 3912 Mode: Manual;
2011/03/14 20:52:11.0906 3912 ================================================================================
2011/03/14 20:52:13.0203 3912 ================================================================================
2011/03/14 20:52:13.0203 3912 Scan finished
2011/03/14 20:52:13.0203 3912 ================================================================================
2011/03/14 20:52:21.0734 2984 Deinitialize success
______________________________________________________________
AD-Remover<\gras>
======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:52:44 le 14/03/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
rollin@UNICORNI-A59C4A ( )
============== ACTION(S) ==============
Fichier supprimé: C:\Documents and Settings\rollin\Application Data\Mozilla\FireFox\Profiles\2wr33awb.default\searchplugins\cherche.xml
Fichier supprimé: C:\Documents and Settings\rollin\scriptjava.html
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia
(!) -- Fichiers temporaires supprimés.
-- Fichier ouvert: C:\Documents and Settings\rollin\Application Data\Mozilla\FireFox\Profiles\2wr33awb.default\Prefs.js --
Ligne supprimée: user_pref("extensions.IWONG.openSearchURL", "hxxp://search.mywebsearch.com/mywebsearch/opensearch.jh...
Ligne supprimée: user_pref("keyword.URL", "hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm217YYfr&ptb...
-- Fichier Fermé --
Clé supprimée: HKLM\Software\Classes\Interface\{0016EFAA-8C8C-4213-A201-F12427C593D8}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{B17A0BCD-DD00-4C0A-96B1-0E8DC9FC9BD1}
Clé supprimée: HKLM\Software\Classes\Interface\{CE988FA9-C303-476F-AC07-385941604350}
Clé supprimée: HKLM\Software\Classes\Interface\{D8878812-6DD4-4F68-8E6D-419BFFD2CBF9}
Clé supprimée: HKLM\Software\Classes\Interface\{FEFAA9AF-0DF2-47FE-A5A8-E3FC3AE31ABE}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\PopCap
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.5.3 (fr)] ****
HKLM_MozillaPlugins\@ei.IWONG.com/Plugin (x)
HKLM_MozillaPlugins\@IWONG.com/Plugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
Components\aboutCertError.js
Components\aboutPrivateBrowsing.js
Components\aboutRights.js
Components\aboutRobots.js
Components\aboutSessionRestore.js
Components\nsPostUpdateWin.js
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox )
HKLM_Extensions|9uffxtbr@IWONG.com - C:\Program Files\IWONG\bar\1.bin
-- C:\Documents and Settings\rollin\Application Data\Mozilla\FireFox\Profiles\2wr33awb.default --
Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)
Searchplugins\iadah.xml (<SearchPlugin xmlns=hxxp://www.mozilla.org/2006/browser/search/<ShortNameiadah</ShortName<Descriptioniadah</Description<...)
Searchplugins\IWONG.xml (hxxp://search.mywebsearch.com/mywebsearch/cfg_redir2.jhtml)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\rollin\\Bureau
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\rollin\\Bureau
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.3
========================================
**** Internet Explorer Version [6.0.2900.2180] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{496ad952-e43c-4e58-b849-6ab72c7227e5} - "iadah" (hxxp://www.iadah.com/web-E-3?search&q={searchTerms})
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "cherche.us" (hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&c...)
HKLM_Toolbar|{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} (C:\Program Files\DevNet\Toolbar\DevNet.dll)
HKLM_ElevationPolicy\{43023B0B-C598-4935-808C-990E0C700723} - C:\Program Files\DevNet\Toolbar\DevNetUpdater.exe (DevNet)
HKLM_ElevationPolicy\{c2fdc27c-8e38-47fe-ab04-3aa9b4ee7614} - C:\Program Files\IWONG\bar\1.bin\9uimpipe.exe (IWON)
HKLM_ElevationPolicy\{D62088BE-DBCC-11DB-8D0A-D0DD55D89595} - C:\Program Files\RealArcade\Installer\bin\gameinstaller.exe (?)
HKLM_ElevationPolicy\{ded0c442-4679-447d-8f31-06e1355f6220} - C:\Program Files\IWONG\bar\1.bin\9uSkPlay.exe (IWON)
BHO\{122903B6-792E-AAB2-1D17-90F038E70E6B} - "?" (c:\windows\system32\jdyuwnyc.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/03/2011 20:54:02 (1163 Octet(s))
Fin à: 20:54:46, 14/03/2011
============== E.O.F ==============
___________________________________________________________
<gras>MalwareBytes'
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6057
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
15/03/2011 05:44:45
mbam-log-2011-03-15 (05-44-45).txt
Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 253250
Temps écoulé: 1 heure(s), 7 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\all users\application data\Avira\antivir desktop\TEMP\avscan-20110314-222349-6b08bd6e\ARK6.tmp (Trojan.Boaxxe) -> Delete on reboot.
c:\documents and settings\all users\documents\19792079 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\WINDOWS\system32\sshnas21.dll.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
________________________________________________________
Voilà!
Il a l'air de tourné déjà un peu mieux :)
Merci bien
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 15/03/2011 à 10:23
Modifié par moment de grace le 15/03/2011 à 10:23
ok
1)
regarde si il est encore là lui
c:\windows\system32\jdyuwnyc.dll
_____
2)
reposte le rapport tdsskiller qui n'est pas complet
________
3)
vide la quarantaine de MBAM
puis
Fais un nouveau rapport ZHPdiag stp
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
1)
regarde si il est encore là lui
c:\windows\system32\jdyuwnyc.dll
_____
2)
reposte le rapport tdsskiller qui n'est pas complet
________
3)
vide la quarantaine de MBAM
puis
Fais un nouveau rapport ZHPdiag stp
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
15 mars 2011 à 10:34
15 mars 2011 à 10:34
1)
c:\windows\system32\jdyuwnyc.dll
Il est tjr présent
2)
J'ai copier coller tout le rapport tdsskiller pourtant :/
Faut-il que je relance tdsskiller?
3)
https://pjjoint.malekal.com/files.php?id=c52b98b8d591115
c:\windows\system32\jdyuwnyc.dll
Il est tjr présent
2)
J'ai copier coller tout le rapport tdsskiller pourtant :/
Faut-il que je relance tdsskiller?
3)
https://pjjoint.malekal.com/files.php?id=c52b98b8d591115
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
15 mars 2011 à 10:41
15 mars 2011 à 10:41
oui refais un coup de tdsskiller stp
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
15 mars 2011 à 10:43
15 mars 2011 à 10:43
Voilà ce que j'ai eu :
2011/03/15 10:42:27.0687 2456 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/15 10:42:27.0968 2456 ================================================================================
2011/03/15 10:42:27.0968 2456 SystemInfo:
2011/03/15 10:42:27.0968 2456
2011/03/15 10:42:27.0968 2456 OS Version: 5.1.2600 ServicePack: 2.0
2011/03/15 10:42:27.0968 2456 Product type: Workstation
2011/03/15 10:42:27.0968 2456 ComputerName: UNICORNI-A59C4A
2011/03/15 10:42:27.0968 2456 UserName: rollin
2011/03/15 10:42:27.0968 2456 Windows directory: C:\WINDOWS
2011/03/15 10:42:27.0968 2456 System windows directory: C:\WINDOWS
2011/03/15 10:42:27.0968 2456 Processor architecture: Intel x86
2011/03/15 10:42:27.0968 2456 Number of processors: 1
2011/03/15 10:42:27.0968 2456 Page size: 0x1000
2011/03/15 10:42:27.0968 2456 Boot type: Normal boot
2011/03/15 10:42:27.0968 2456 ================================================================================
2011/03/15 10:42:28.0468 2456 Initialize success
2011/03/15 10:42:30.0734 2440 ================================================================================
2011/03/15 10:42:30.0734 2440 Scan started
2011/03/15 10:42:30.0734 2440 Mode: Manual;
2011/03/15 10:42:30.0734 2440 ================================================================================
2011/03/15 10:42:32.0109 2440 ================================================================================
2011/03/15 10:42:32.0109 2440 Scan finished
2011/03/15 10:42:32.0109 2440 ================================================================================
2011/03/15 10:42:27.0687 2456 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/15 10:42:27.0968 2456 ================================================================================
2011/03/15 10:42:27.0968 2456 SystemInfo:
2011/03/15 10:42:27.0968 2456
2011/03/15 10:42:27.0968 2456 OS Version: 5.1.2600 ServicePack: 2.0
2011/03/15 10:42:27.0968 2456 Product type: Workstation
2011/03/15 10:42:27.0968 2456 ComputerName: UNICORNI-A59C4A
2011/03/15 10:42:27.0968 2456 UserName: rollin
2011/03/15 10:42:27.0968 2456 Windows directory: C:\WINDOWS
2011/03/15 10:42:27.0968 2456 System windows directory: C:\WINDOWS
2011/03/15 10:42:27.0968 2456 Processor architecture: Intel x86
2011/03/15 10:42:27.0968 2456 Number of processors: 1
2011/03/15 10:42:27.0968 2456 Page size: 0x1000
2011/03/15 10:42:27.0968 2456 Boot type: Normal boot
2011/03/15 10:42:27.0968 2456 ================================================================================
2011/03/15 10:42:28.0468 2456 Initialize success
2011/03/15 10:42:30.0734 2440 ================================================================================
2011/03/15 10:42:30.0734 2440 Scan started
2011/03/15 10:42:30.0734 2440 Mode: Manual;
2011/03/15 10:42:30.0734 2440 ================================================================================
2011/03/15 10:42:32.0109 2440 ================================================================================
2011/03/15 10:42:32.0109 2440 Scan finished
2011/03/15 10:42:32.0109 2440 ================================================================================
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 15/03/2011 à 10:56
Modifié par moment de grace le 15/03/2011 à 10:56
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O2 - BHO: (no name) - {122903B6-792E-AAB2-1D17-90F038E70E6B} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\jdyuwnyc.dll
O3 - Toolbar: Iadah Toolbar - {3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} . (.DevNet - Toolbar DevNet.) -- C:\Program Files\DevNet\Toolbar\DevNet.dll
O42 - Logiciel: Iadah Toolbar - (.DevNet.) [HKCU] -- IadahToolbar
MBRFix
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O2 - BHO: (no name) - {122903B6-792E-AAB2-1D17-90F038E70E6B} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\jdyuwnyc.dll
O3 - Toolbar: Iadah Toolbar - {3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} . (.DevNet - Toolbar DevNet.) -- C:\Program Files\DevNet\Toolbar\DevNet.dll
O42 - Logiciel: Iadah Toolbar - (.DevNet.) [HKCU] -- IadahToolbar
MBRFix
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
Modifié par Boulette Man le 15/03/2011 à 10:59
Modifié par Boulette Man le 15/03/2011 à 10:59
Re,
Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-03-2011-10-57-53.txt
Run by rollin at 15/03/2011 10:57:53
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms} => Clé supprimée avec succès
O2 - BHO: (no name) - {122903B6-792E-AAB2-1D17-90F038E70E6B} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\jdyuwnyc.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}] => Clé supprimée avec succès
[HKCR\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}] => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O3 - Toolbar: Iadah Toolbar - {3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} . (.DevNet - Toolbar DevNet.) -- C:\Program Files\DevNet\Toolbar\DevNet.dll => Valeur absente
========== Fichier(s) ==========
c:\windows\system32\jdyuwnyc.dll => Supprimé et mis en quarantaine
c:\program files\devnet\toolbar\devnet.dll => Fichier absent
========== Logiciel(s) ==========
O42 - Logiciel: Iadah Toolbar - (.DevNet.) [HKCU] -- IadahToolbar => Logiciel supprimé avec succès
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> \Device\00000071
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867D91F8]<<
1 ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\Harddisk0\DR0[0x86710AB8]
3 CLASSPNP[0xF765105B] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000072[0x8671DAF8]
5 ACPI[0xF73DB620] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000071[0x86719030]
\Driver\nvata[0x866F4A08] -> IRP_MJ_CREATE -> 0x867D91F8
kernel: MBR read successfully
detected hooks:
\Driver\atapi -> 0x8676e1f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> \Device\00000071
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867D91F8]<<
1 ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\Harddisk0\DR0[0x86710AB8]
3 CLASSPNP[0xF765105B] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000072[0x8671DAF8]
5 ACPI[0xF73DB620] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000071[0x86719030]
\Driver\nvata[0x866F4A08] -> IRP_MJ_CREATE -> 0x867D91F8
kernel: MBR read successfully
detected hooks:
\Driver\atapi -> 0x8676e1f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
========== Récapitulatif ==========
4 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Fichier(s)
1 : Logiciel(s)
1 : Master Boot Record
End of the scan
Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-03-2011-10-57-53.txt
Run by rollin at 15/03/2011 10:57:53
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms} => Clé supprimée avec succès
O2 - BHO: (no name) - {122903B6-792E-AAB2-1D17-90F038E70E6B} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\jdyuwnyc.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}] => Clé supprimée avec succès
[HKCR\CLSID\{122903B6-792E-AAB2-1D17-90F038E70E6B}] => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O3 - Toolbar: Iadah Toolbar - {3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} . (.DevNet - Toolbar DevNet.) -- C:\Program Files\DevNet\Toolbar\DevNet.dll => Valeur absente
========== Fichier(s) ==========
c:\windows\system32\jdyuwnyc.dll => Supprimé et mis en quarantaine
c:\program files\devnet\toolbar\devnet.dll => Fichier absent
========== Logiciel(s) ==========
O42 - Logiciel: Iadah Toolbar - (.DevNet.) [HKCU] -- IadahToolbar => Logiciel supprimé avec succès
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> \Device\00000071
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867D91F8]<<
1 ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\Harddisk0\DR0[0x86710AB8]
3 CLASSPNP[0xF765105B] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000072[0x8671DAF8]
5 ACPI[0xF73DB620] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000071[0x86719030]
\Driver\nvata[0x866F4A08] -> IRP_MJ_CREATE -> 0x867D91F8
kernel: MBR read successfully
detected hooks:
\Driver\atapi -> 0x8676e1f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> \Device\00000071
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867D91F8]<<
1 ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\Harddisk0\DR0[0x86710AB8]
3 CLASSPNP[0xF765105B] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000072[0x8671DAF8]
5 ACPI[0xF73DB620] -> ntkrnlpa!IofCallDriver[0x804EDE00] -> \Device\00000071[0x86719030]
\Driver\nvata[0x866F4A08] -> IRP_MJ_CREATE -> 0x867D91F8
kernel: MBR read successfully
detected hooks:
\Driver\atapi -> 0x8676e1f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
========== Récapitulatif ==========
4 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Fichier(s)
1 : Logiciel(s)
1 : Master Boot Record
End of the scan
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
15 mars 2011 à 11:04
15 mars 2011 à 11:04
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
15 mars 2011 à 11:08
15 mars 2011 à 11:08
Voici le rapport, tout à l'air OK :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> Harddisk0\DR0 -> \Device\00000071
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6V160E0 rev.VA111900 -> Harddisk0\DR0 -> \Device\00000071
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
15 mars 2011 à 12:15
15 mars 2011 à 12:15
ok
redemarre le pc et dis moi si tu as encore des soucis
redemarre le pc et dis moi si tu as encore des soucis
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
15 mars 2011 à 12:32
15 mars 2011 à 12:32
Re,
Beh, tout à l'air de trés bien fonctionner!
Merci beaucoup
Beh, tout à l'air de trés bien fonctionner!
Merci beaucoup
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
15 mars 2011 à 12:59
15 mars 2011 à 12:59
Ok
Pour finir
1)
Mettre à jour XP
https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/
Et internet explorer (même si tu ne l'utlises pas)
https://support.microsoft.com/fr-fr/allproducts
.......................
2)
Mettre à jour la Console Java ? :
https://www.java.com/fr/download/uninstalltool.jsp
et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).
voici pour desinstaller :
JavaRa
http://raproducts.org/click/click.php?id=1
Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
.............
3)
IMPORTANT
Purger les points de restauration système:
Télécharge OneClick2RestorePoint
http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)
Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz
* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* * Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.
Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................
4)
pour supprimer les outils de désinfection :
télécharge Delfix de Xplode
http://www.teamxscript.org/too/Xplode/DelFix.exe
choisis SUPPRESSION
poste son rapport
.............................................
Recommandations pour l'avenir
Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb
Pour t'aider dans cette tâche, voici quelques pistes
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
............................
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
........................
Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
..........................
Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................
garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
..........................
Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php
.........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html
........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
http://www.libellules.ch/...
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Pour finir
1)
Mettre à jour XP
https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/
Et internet explorer (même si tu ne l'utlises pas)
https://support.microsoft.com/fr-fr/allproducts
.......................
2)
Mettre à jour la Console Java ? :
https://www.java.com/fr/download/uninstalltool.jsp
et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).
voici pour desinstaller :
JavaRa
http://raproducts.org/click/click.php?id=1
Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
.............
3)
IMPORTANT
Purger les points de restauration système:
Télécharge OneClick2RestorePoint
http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)
Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz
* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* * Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.
Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................
4)
pour supprimer les outils de désinfection :
télécharge Delfix de Xplode
http://www.teamxscript.org/too/Xplode/DelFix.exe
choisis SUPPRESSION
poste son rapport
.............................................
Recommandations pour l'avenir
Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb
Pour t'aider dans cette tâche, voici quelques pistes
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
............................
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
........................
Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
..........................
Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................
garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
..........................
Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php
.........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html
........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
http://www.libellules.ch/...
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Boulette Man
Messages postés
13
Date d'inscription
lundi 14 mars 2011
Statut
Membre
Dernière intervention
14 octobre 2013
16 mars 2011 à 01:13
16 mars 2011 à 01:13
# DelFix v7.5 - Rapport créé le 16/03/2011 à 01:13
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 2
# Nom d'utilisateur : rollin - UNICORNI-A59C4A (Administrateur)
# Exécuté depuis : C:\Documents and Settings\rollin\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\tdsskiller
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\TDSSKiller.2.4.21.0_14.03.2011_20.47.18_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_14.03.2011_20.51.17_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_15.03.2011_10.42.27_log.txt
Supprimé : C:\ZHPExportRegistry-15-03-2011-10-57-53.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\mbr.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\rollin\Bureau\Load_tdsskiller.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\rollin\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\rollin\Bureau\OneClick2RP.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [2613 octets] ##########
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 2
# Nom d'utilisateur : rollin - UNICORNI-A59C4A (Administrateur)
# Exécuté depuis : C:\Documents and Settings\rollin\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\tdsskiller
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\TDSSKiller.2.4.21.0_14.03.2011_20.47.18_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_14.03.2011_20.51.17_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_15.03.2011_10.42.27_log.txt
Supprimé : C:\ZHPExportRegistry-15-03-2011-10-57-53.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\mbr.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\rollin\Bureau\Load_tdsskiller.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\rollin\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\rollin\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\rollin\Bureau\OneClick2RP.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [2613 octets] ##########
