Sujet Précédent Sujet Suivant

Cheval de troie

Résolu/Fermé
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014 - 5 avril 2011 à 16:50
 Utilisateur anonyme - 14 avril 2011 à 16:23
Bonjour,

Aprés l'analyse de mon Pc avec mon anti-virus (AVG internet security) il me detecte un cheval de troie dans 3 fichiers qu'il ne peut pas supprimer car objets inaccéssibles.

Cheval de toie: Agent_r.XJ dans fichiers:
- C:\ windows\system32\svchost.exe (1980):\memory_001a0000
- C:\ windows\system32\wuauclt.exe (2952):\memory_002c0000
- C:\ windows\explorer.exe (1360):\memory_001a0000

J'espere avoir fourni assez de renseignements, merci par avance pour votre aide.


A voir également:

77 réponses

Réponse 1 / 77
Utilisateur anonyme
5 avril 2011 à 16:52
salut

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
1
Réponse 2 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
5 avril 2011 à 18:28
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.8 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤ XP | Vista | Seven - 32/64 ¤

Mis à jour le 05/04/2011 | 09.30 par g3n-h@ckm@n
Utilisateur : Foot (Administrateurs)
Ordinateur : CLUB_FOOT

Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox :

Scan : 17:08:06 | 05/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[exefile | command] : "%1" %*
[comfile | command] : "%1" %*
[scrfile | command] : "%1" /S
[batfile | command] : "%1" %*
[piffile | command] : "%1" %*
[IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[exefile | command] : "%1" %*
[comfile | command] : "%1" %*
[scrfile | command] : "%1" /S
[batfile | command] : "%1" %*
[piffile | command] : "%1" %*
[IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[Ndisuio] | Start -> Aucune modification : 3 -> 3
[EapHost] | Start -> Modification apportée : 3 -> 2
[SharedAccess] | Start -> Aucune modification : 2 -> 2
[wuauserv] | Start -> Aucune modification : 2 -> 2
[wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU | Main] | Start Page -> Modification apportée : https://www.google.fr/?gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
[HKCU | Main] | Local Page -> Aucune Modification : C:\windows\system32\blank.htm -> C:\windows\system32\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM | Main] | Start Page -> Aucune Modification : https://www.msn.com/fr-fr/?ocid=iehp -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Local Page -> Aucune Modification : C:\windows\system32\blank.htm -> C:\windows\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKLM | Main] | Default_Page_URL -> Aucune Modification : https://www.msn.com/fr-fr/?ocid=iehp -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Search Page -> Aucune Modification : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RTHDCPL.exe -> Processus stoppé
explorer.exe -> Processus stoppé


¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

scanning jobs ...

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service wuauserv autorun restored
Service ERSvc autorun restored

restoring show hidden and system files

restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows XP

scanning C:\windows\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Foot\Application Data ...
scanning C:\DOCUME~1\Foot\LOCALS~1\Temp\ ...
scanning C:\ ...

completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0



Fin : 18:25:20

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
0
Réponse 3 / 77
Utilisateur anonyme
5 avril 2011 à 19:40
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Configuration

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Réponse 4 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 06:14
http://www.cijoint.fr/cjlink.php?file=cj201104/cijkadggf6.txt

http://www.cijoint.fr/cjlink.php?file=cj201104/cijRr0wzU6.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 77
Utilisateur anonyme
6 avril 2011 à 12:24
salut tu peux virer ad-aware il sert à rien (la preuve ^^ )


▶ Télécharge ici : Ad-remover sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

0
Réponse 6 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 13:52
======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 06/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:42:27 le 06/04/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Foot@CLUB_FOOT ( )

============== ACTION(S) ==============


Fichier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navigateur OfferBox.lnk
Fichier supprimé: C:\windows\system32\ConduitEngine.tmp
Fichier supprimé: C:\Documents and Settings\Foot\Application Data\Mozilla\FireFox\Profiles\nfhpcn77.default\searchplugins\askcom.xml
Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier supprimé: C:\Documents and Settings\Foot\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\ShoppingReport2
Dossier supprimé: C:\Documents and Settings\Foot\Application Data\OfferBox
Dossier supprimé: C:\Documents and Settings\andrea et lorenzo\Application Data\OfferBox
Dossier supprimé: C:\Program Files\OfferBox
Dossier supprimé: C:\Documents and Settings\Foot\Local Settings\Application Data\iMesh
Dossier supprimé: C:\Documents and Settings\andrea et lorenzo\Application Data\iMeshMediabarTb

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Foot\Application Data\Mozilla\FireFox\Profiles\nfhpcn77.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne supprimée: user_pref("extensions.enabledItems", "illimitux@illimitux.net:3.2,jqs@sun.com:1.0,{20a82645-c095-46e...
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\iMesh.LauncherEventHandler
Clé supprimée: HKLM\Software\Classes\iMesh.LauncherEventHandler.1
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT1460988
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2617927
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\DataMngr
Clé supprimée: HKLM\Software\Poker 770
Clé supprimée: HKLM\Software\ShoppingReport2
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\iMesh
Clé supprimée: HKCU\Software\Poker 770
Clé supprimée: HKCU\Software\ShoppingReport2
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé supprimée: HKLM\Software\Classes\Installer\Products\5B4758C25396ECF468E04F8E063287FF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\5B4758C25396ECF468E04F8E063287FF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{28D35620-51D9-11DE-9D13-2DB156D89593}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKCU\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

-- C:\Documents and Settings\Foot\Application Data\Mozilla\FireFox\Profiles\nfhpcn77.default --
Extensions\illimitux@illimitux.net (Illimitux)
Prefs.js - browser.search.defaultenginename, Search the web (Babylon)
Prefs.js - browser.search.selectedEngine, Search the web (Babylon)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
Prefs.js - browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
Prefs.js - browser.startup.homepage, hxxp://search.babylon.com/home

-- C:\Documents and Settings\andrea et lorenzo\Application Data\Mozilla\FireFox\Profiles\xoplp7mv.default --
Prefs.js - browser.startup.homepage, hxxp://google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} - "Web Search" (hxxp://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms})
HKLM_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} - "Web Search" (hxxp://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms})
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (x)
HKCU_Toolbar\ShellBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
HKLM_ElevationPolicy\44276242-4128-4f6b-9d30-85cbe113a192 - C:\Program Files\myBabylon_English\myBabylon_EnglishToolbarHelper.exe (x)
HKLM_Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - "Create Mobile Favorite" (C:\PROGRA~1\MI3AA1~1\INetRepl.dll,210)
HKLM_Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{EC8FCB46-9F27-476E-B26A-93989316D2FB} - "WebAdSystem Helper" (C:\Program Files\WebAdSystem\BrowserExtensions\internetexplorer\WebAdSystemBho.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 780 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/04/2011 13:43:00 (5797 Octet(s))

Fin à: 13:44:08, 06/04/2011

============== E.O.F ==============
0
Réponse 7 / 77
Utilisateur anonyme
6 avril 2011 à 14:04
refais un scan OTL stp
0
Réponse 8 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 14:20
http://www.cijoint.fr/cjlink.php?file=cj201104/cij7kicVJ7.txt
0
Réponse 9 / 77
Utilisateur anonyme
6 avril 2011 à 14:45
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\windows\System32\drivers\installnetawa.exe
C:\windows\System32\Kill1211.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
0
Réponse 10 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 14:58
http://www.virustotal.com/file-scan/report.html?id=1e0e601711626c5460ce4fc5c8d0b7d9f09de7b266e7d6f2e04c13a1f6221cd1-1302094369
http://www.virustotal.com/file-scan/report.html?id=1658bc1ad1016ebe69e509fe72a45a5f4f4269fa4994e1753ddb95b3afadba9c-1302094598
0
Réponse 11 / 77
Utilisateur anonyme
6 avril 2011 à 15:01
tu peux les supprimer ?
0
Réponse 12 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 15:19
Comment cela les supprimer et où ?????
0
Réponse 13 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 15:34
J'ai trouvé le fichier installnet.exe mais pas Kill1211.exe
Apparement je peux le supprimer mais je ne sais pas si il est utile ou pas ?
0
Réponse 14 / 77
Utilisateur anonyme
6 avril 2011 à 15:47
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 15 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 18:38
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6286

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/04/2011 18:28:35
mbam-log-2011-04-06 (18-28-35).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 287503
Temps écoulé: 46 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Firevall Administrating (Trojan.Backdoor) -> Value: Firevall Administrating -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Foot\application data\Adobe\plugs\mmc175751718.txt (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9395880e-7259-485c-88c8-37a54ede72d6}\RP159\A0023790.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9395880e-7259-485c-88c8-37a54ede72d6}\RP159\A0023793.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
0
Réponse 16 / 77
Utilisateur anonyme
6 avril 2011 à 19:04

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 17 / 77
lancome51 Messages postés 50 Date d'inscription jeudi 3 septembre 2009 Statut Membre Dernière intervention 19 novembre 2014
6 avril 2011 à 20:33
excuse-moi mais comme je suis novice:

- comment je peux savoir la version adequate 32 ou 64 bits ?
- que dois je desactiver une fois AVG desinstaller, tu dis tes Antispywares (j'ai Tune Up je dois le desactiver ?)
- Une fois l'analyse effectué par Combofix, dois-je réinstaller et comment AVG avant de me reconnecter et de poster.
Merci de ces précisions car je ne voudrais pas faire une connerie !!!!!
0
Réponse 18 / 77
Utilisateur anonyme
6 avril 2011 à 21:15
pour AVG laisse tomber tu mettras Avast après je considere qu il est beaucoup plus reactif quand aux veroles du web

et pour toi c'est 32 bits :)

le reste est bon tu peux ensuite lancer le scan en suivant les directives :)

n'oublie pas defogger avant ;)
0
Réponse 19 / 77
lancome51
7 avril 2011 à 06:46
ComboFix 11-04-06.02 - Foot 07/04/2011 6:16.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.689 [GMT 2:00]
Lancé depuis: c:\documents and settings\Foot\Bureau\laurent.exe
FW: AVG Firewall *Enabled* {8decf618-9569-4340-b34a-d78d28969b66}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Foot\Application Data\Adobe\plugs
c:\documents and settings\Foot\Application Data\Adobe\shed
c:\documents and settings\Foot\Application Data\Adobe\shed\thr1.chm
c:\windows\system32\drivers\snetcfg.exe
c:\windows\system32\setup.ini
c:\windows\TEMP\logishrd\LVPrcInj02.dll
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-07 au 2011-04-07 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-06 11:42 . 2011-04-06 11:42 -------- d-----w- c:\program files\Ad-Remover
2011-04-05 15:08 . 2011-04-05 15:08 -------- d-----w- C:\1st_Quarantine_L_K
2011-04-04 19:17 . 2011-04-04 19:17 -------- d-----w- C:\$AVG
2011-04-04 18:39 . 2011-04-04 18:39 -------- d-----w- c:\documents and settings\Foot\Application Data\AVG10
2011-04-04 18:38 . 2011-04-04 18:38 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files
2011-04-04 18:34 . 2011-04-07 03:59 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG10
2011-04-04 18:32 . 2011-04-04 18:32 -------- d-----w- c:\program files\AVG
2011-04-04 18:24 . 2011-04-04 18:33 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData
2011-04-04 17:53 . 2010-11-23 15:25 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2011-04-04 17:53 . 2010-11-23 15:21 29504 ----a-w- c:\windows\system32\uxtuneup.dll
2011-04-04 17:52 . 2011-04-04 17:52 -------- d-----w- c:\documents and settings\Foot\Application Data\TuneUp Software
2011-04-04 17:52 . 2011-04-04 17:53 -------- d-----w- c:\program files\TuneUp Utilities 2011
2011-04-04 17:52 . 2011-04-04 17:54 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2011-04-04 17:35 . 2011-04-04 17:35 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
2011-04-04 17:03 . 2011-04-04 17:03 -------- d-----w- c:\program files\Enigma Software Group
2011-04-04 17:02 . 2011-04-04 18:25 -------- d-----w- c:\windows\41EBC322660F4D16A0DF53147210CBDB.TMP
2011-04-04 16:38 . 2011-04-04 16:38 -------- d-----w- c:\documents and settings\andrea et lorenzo\Local Settings\Application Data\KalityWeb
2011-04-04 02:21 . 2011-04-04 02:21 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-04-02 08:44 . 2011-04-02 08:44 -------- d-----w- c:\documents and settings\NetworkService\Bureau
2011-04-01 13:32 . 2011-04-01 13:32 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-03-31 19:08 . 2011-03-31 19:10 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-03-31 15:59 . 2011-03-31 15:59 -------- d-----w- c:\windows\system32\wbem\Repository
2011-03-23 17:09 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-23 17:09 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-03-19 13:04 . 2011-03-23 17:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2011-03-18 14:34 . 2011-03-18 14:34 -------- d-----w- c:\program files\Winamax Poker
2011-03-17 17:05 . 2011-03-17 17:06 -------- d-----w- c:\documents and settings\Foot\Local Settings\Application Data\FullTiltPoker.fr
2011-03-17 17:04 . 2011-03-18 20:00 -------- d-----w- c:\program files\Full Tilt Poker.Fr
2011-03-16 22:22 . 2011-03-16 22:22 -------- d-----w- c:\program files\WebAdSystem
2011-03-16 22:22 . 2011-03-16 22:22 -------- d-----w- c:\documents and settings\Foot\Local Settings\Application Data\KalityWeb
2011-03-12 10:28 . 2011-03-12 10:28 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
2011-03-10 20:47 . 2011-03-10 20:55 -------- d-----w- c:\windows\system32\NtmsData
2011-03-10 11:44 . 2011-03-10 11:44 -------- d-----w- c:\program files\iPod
2011-03-10 11:44 . 2011-03-10 11:45 -------- d-----w- c:\program files\iTunes
2011-03-10 11:31 . 2011-03-10 11:31 -------- d-----w- c:\program files\Bonjour
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-18 15:36 . 2009-11-20 16:54 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2011-02-18 15:36 . 2009-11-20 16:54 4184352 ----a-w- c:\windows\system32\usbaaplrc.dll
2011-02-09 13:54 . 2004-08-05 05:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2004-08-05 05:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-02 07:59 . 2004-08-05 05:00 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2004-08-05 05:00 677888 ----a-w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-05 05:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-05 05:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EC8FCB46-9F27-476E-B26A-93989316D2FB}]
2011-03-13 21:40 90624 ----a-w- c:\program files\WebAdSystem\BrowserExtensions\internetexplorer\WebAdSystemBho.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-02 16377344]
"DiscWizardMonitor.exe"="c:\program files\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-08-21 1192336]
"AcronisTimounterMonitor"="c:\program files\Seagate\DiscWizard\TimounterMonitor.exe" [2007-08-21 1966128]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Seagate\Schedule2\schedhlp.exe" [2007-08-20 148760]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-27 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-27 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-27 137752]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-02-13 2196240]
"EEventManager"="c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-10-12 102400]
"CTCheck"="c:\program files\ComPlus Applications\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acer WLAN 11g USB Dongle.lnk - c:\program files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
REALTEK RTL8187 Wireless LAN Utility.lnk - c:\program files\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe [2009-11-19 737280]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="c:\program files\Skype\Phone\Skype.exe" /nosplash /minimized
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AppleSyncNotifier"=c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
"WebAdSystem"=c:\program files\WebAdSystem\WebAdSystem.exe
"Synchronization Manager"=%SystemRoot%\system32\mobsync.exe /logon
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [23/11/2010 17:23 1483072]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [20/10/2009 15:39 194304]
R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [19/11/2009 23:19 13532]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [07/10/2010 12:34 10064]
S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15/12/2010 19:58 136176]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - SJYPKT
*Deregistered* - uphcleanhlp
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-15 17:58]
.
2011-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-15 17:58]
.
2011-04-07 c:\windows\Tasks\User_Feed_Synchronization-{23D50707-F413-4485-BDF2-A648EBA7D2B0}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
Trusted Zone: everestpoker.com
Trusted Zone: microsoft.com\download.windowsupdate
Trusted Zone: microsoft.com\update
TCP: {CA495168-0DDD-444B-938F-B1585933031D} = 192.168.1.1
TCP: {CCD85EB5-8D11-4E0B-BBA8-A53BDC4C2DC7} = 194.2.0.20,194.2.0.50
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20100811034846
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://www.visiogood.com/jalss/cfweb_activex.camfrogweb.com-advanced-2.0.2.20_instmodule.exe
DPF: {62D90588-609E-4208-A260-A6CEC45BB92C} - hxxp://www.bobtv.fr/download/v2/cfweb_www.bobtv.fr-download-v2_instmodule.exe
DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-07 06:29
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1400)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(5552)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\KMPJLMN.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\ArcSoft\PhotoImpression 5\share\pihook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\UPHClean\uphclean.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Heure de fin: 2011-04-07 06:34:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-04-07 04:34
.
Avant-CF: 26 730 196 992 octets libres
Après-CF: 27 400 867 840 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\windows
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\windows="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 6A06A2CD19DE842551CD2BBA7EA3C3A2
0
Réponse 20 / 77
Utilisateur anonyme
7 avril 2011 à 13:30

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Folder::
c:\windows\41EBC322660F4D16A0DF53147210CBDB.TMP
C:\1st_Quarantine_L_K

Driver::
SJYPKT

Registry::
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389"=-
"26675"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"MSPY2002"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"RTHDCPL"=-

RegLock::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]


------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
Nom d'une musique classique
panoramaaa -
Thierry -

9 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses