Redirection intempestive vers gomeo
Résolu/Fermé
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
-
Modifié par Theo de Thael le 10/04/2011 à 10:31
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 12 avril 2011 à 08:53
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 12 avril 2011 à 08:53
A voir également:
- Redirection intempestive vers gomeo
- Windows 7 vers windows 10 - Guide
- Transferer photo android vers pc - Guide
- Qwerty vers azerty - Guide
- Vers quelle adresse web renvoie ce lien - Guide
- Il est en cours de transport vers votre site de livraison ✓ - Forum Consommation & Internet
16 réponses
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
10 avril 2011 à 10:37
10 avril 2011 à 10:37
Bonjour, fais ceci :
▶▷▶▷▶▷▶▷▶▷ Combofix ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge ComboFix ( de sUBs ) à cette adresse.
/!\ Ferme toutes les fenêtres de programme ouvertes /!\
/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
◈ Double clique sur " Combofix.exe "
◈ Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.
◈ Pendant le scan, ne touche à rien ( souris, clavier )
◈ Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
▶▷▶▷▶▷▶▷▶▷ Combofix ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge ComboFix ( de sUBs ) à cette adresse.
/!\ Ferme toutes les fenêtres de programme ouvertes /!\
/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
◈ Double clique sur " Combofix.exe "
◈ Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.
◈ Pendant le scan, ne touche à rien ( souris, clavier )
◈ Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
10 avril 2011 à 11:55
10 avril 2011 à 11:55
Re,
Ok, Combofix a fait pas mal de ménage mais il reste des éléments néfastes. Tout d'abord fait ceci :
▶▷▶▷▶▷▶▷▶▷ TDSSKiller ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.
◈ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )
◈ Clique sur [Start Scan] pour démarrer l'analyse.
◈ Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]
◈ Un rapport s'ouvrira au redémarrage du PC.
◈ Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
Puis ceci :
▶▷▶▷▶▷▶▷▶▷ Malwarebytes' Anti-Malware ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge Malwarebytes' Anti-malware sur ton bureau.
◈ Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"
◈ A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
◈ Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]
◈ Sélectionne tout tes disques locaux et amovibles.
◈ Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.
◈ Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].
◈ MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
◈ Tu peux ensuite vider la quarantaine de MBAM.
Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
◈ Si tu as des soucis, un tutoriel est disponible à cette adresse.
Ok, Combofix a fait pas mal de ménage mais il reste des éléments néfastes. Tout d'abord fait ceci :
▶▷▶▷▶▷▶▷▶▷ TDSSKiller ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.
◈ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )
◈ Clique sur [Start Scan] pour démarrer l'analyse.
◈ Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]
◈ Un rapport s'ouvrira au redémarrage du PC.
◈ Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
Puis ceci :
▶▷▶▷▶▷▶▷▶▷ Malwarebytes' Anti-Malware ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge Malwarebytes' Anti-malware sur ton bureau.
◈ Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"
◈ A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
◈ Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]
◈ Sélectionne tout tes disques locaux et amovibles.
◈ Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.
◈ Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].
◈ MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
◈ Tu peux ensuite vider la quarantaine de MBAM.
Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
◈ Si tu as des soucis, un tutoriel est disponible à cette adresse.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
10 avril 2011 à 14:59
10 avril 2011 à 14:59
Re,
Fais maintenant ceci afin qu'on y voit plus clair :
▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀
◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.
Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "
◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
◈ Rend toi sur cjoint puis clique sur " Parcourir ".
◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Fais maintenant ceci afin qu'on y voit plus clair :
▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀
◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.
Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "
◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
◈ Rend toi sur cjoint puis clique sur " Parcourir ".
◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
10 avril 2011 à 15:47
10 avril 2011 à 15:47
Re. Peux-tu me poster le rapport de TDSSKiller qui se trouve sous C:\ , car il y a quelque chose que j'aimerais vérifier :)
Ensuite il reste des saletés sur ton PC.. et en plus Internet Explorer n'est pas à jour :
MSIE: Internet Explorer v6.0.2900.5512
Et il y a des anciennes version de Java installées.. bref tout ça on s'en occupera à la fin ! Pour le moment on va utiliser un script afin de cibler les éléments à supprimer :
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
[HKLM\Software\Classes\interface\{4897bba6-48d9-468c-8efa-846275d7701b}]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1]
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
M2 - MFEP: prefs.js [Kissi - 5zsaivu8.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.12 (.http://www.cacaoweb.org/
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe
[HKCU\Software\cacaoweb]
O43 - CFD: 02/02/2011 - 01:04:22 - [369392] ----D- C:\Program Files\cacaoweb
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\cacaoweb\cacaoweb.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}]
EmptyTemp
EmptyFlash
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
Ensuite il reste des saletés sur ton PC.. et en plus Internet Explorer n'est pas à jour :
MSIE: Internet Explorer v6.0.2900.5512
Et il y a des anciennes version de Java installées.. bref tout ça on s'en occupera à la fin ! Pour le moment on va utiliser un script afin de cibler les éléments à supprimer :
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
[HKLM\Software\Classes\interface\{4897bba6-48d9-468c-8efa-846275d7701b}]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1]
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
M2 - MFEP: prefs.js [Kissi - 5zsaivu8.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.12 (.http://www.cacaoweb.org/
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe
[HKCU\Software\cacaoweb]
O43 - CFD: 02/02/2011 - 01:04:22 - [369392] ----D- C:\Program Files\cacaoweb
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\cacaoweb\cacaoweb.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}]
EmptyTemp
EmptyFlash
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
10 avril 2011 à 17:51
10 avril 2011 à 17:51
Ok
La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout :)
Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles.
Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.
-+-+-+-+-> Mise à jour du PC <-+-+-+-+-
[x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.
1ère étape : Java
[o] Télécharge JavaRa puis décompresse le sur ton bureau.
[o] Ouvre le dossier JavaRa puis exécute JavaRa.exe.
[o] Clique sur "Search For Updates".
[o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
[o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
[o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
[o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
[o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.
/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\
-+-+-+-+-> DelFix <-+-+-+-+-
[x] Télécharge DelFix sur ton bureau.
[x] Lance le et appuie sur [Suppression]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].
-+-+-+-+-> Purger la restauration système <-+-+-+-+-
[x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.
[x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.
[x] Tutoriels :
- Windows XP
- Windows Vista
- Windows 7
-+-+-+-+-> Liens utiles <-+-+-+-+-
Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.
- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire
La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout :)
Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles.
Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.
-+-+-+-+-> Mise à jour du PC <-+-+-+-+-
[x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.
1ère étape : Java
[o] Télécharge JavaRa puis décompresse le sur ton bureau.
[o] Ouvre le dossier JavaRa puis exécute JavaRa.exe.
[o] Clique sur "Search For Updates".
[o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
[o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
[o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
[o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
[o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.
/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\
-+-+-+-+-> DelFix <-+-+-+-+-
[x] Télécharge DelFix sur ton bureau.
[x] Lance le et appuie sur [Suppression]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].
-+-+-+-+-> Purger la restauration système <-+-+-+-+-
[x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.
[x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.
[x] Tutoriels :
- Windows XP
- Windows Vista
- Windows 7
-+-+-+-+-> Liens utiles <-+-+-+-+-
Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.
- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
12 avril 2011 à 08:53
12 avril 2011 à 08:53
Bonjour,
Pas de quoi ;-) Je mets ce sujet en résolu.
@+
Pas de quoi ;-) Je mets ce sujet en résolu.
@+
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 11:05
10 avril 2011 à 11:05
Merci de ta rapidité et de ta clarté :)
Voici le rapport combofix:
ComboFix 11-04-09.01 - Kissi 10/04/2011 10:51:29.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1555 [GMT 2:00]
Lancé depuis: c:\documents and settings\Kissi\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Antivirus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Kissi\Application Data\6F7F1B139BCA46D9692BC728ADE453BE
c:\documents and settings\Kissi\Application Data\6F7F1B139BCA46D9692BC728ADE453BE\enemies-names.txt
c:\documents and settings\Kissi\Application Data\6F7F1B139BCA46D9692BC728ADE453BE\local.ini
c:\documents and settings\Kissi\Application Data\Adobe\plugs
c:\documents and settings\Kissi\Application Data\cacaoweb
c:\documents and settings\Kissi\Application Data\cacaoweb\adstorage.db
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating1D60AB459160F97143193F249AD16B63.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating27E9F3F7E202610D76C54494000B623B.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating29D1E949EFEEC249B16D4649428B813A.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating36E68BF81161EF08F56F5FD408242BF3.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating63BA5F9EBB37D25011FFEEBAB40307D3.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating6F674085928AC1178613350D64BDE8AF.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating72752A310E88355E62A67A231BA72B7D.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating7DA8E523E806BE906F0CE08FCCA1C2FF.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating7F3D721861EA757D925E9506B7B5CA06.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating7FB281F899B282DC8DC5CC7225E28AD5.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating8235AF5EE27059CAC1F0764293E63056.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating925BCA71CCEA3ECF24B1EFFEBBA10031.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingB0D4EDBDB8435886FDB2A181BE657BE8.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingD521487654376A161EB32778CB248374.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingD8625547F15B8758FE59BCE1D7570016.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingF538C4864D7D08AB1A2BD96CDD41A3AA.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingF789A660ACADE26AF4E1F14C1353B58A.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingFC0A3CBC69C57E2766BBD8489443DF62.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingFFE3DCCE4638DE9B9F1248C1AE2ABDBF.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\storage.db
c:\documents and settings\Kissi\Bureau\cacaoweb.exe
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-10 au 2011-04-10 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-09 17:22 . 2011-04-09 17:22 -------- d-----w- c:\documents and settings\Kissi\Application Data\Avira
2011-04-09 16:34 . 2011-04-09 19:09 -------- d-----w- c:\windows\system32\NtmsData
2011-04-09 16:31 . 2011-04-09 16:31 -------- d-----w- c:\program files\Avira
2011-04-09 16:31 . 2011-04-09 16:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2011-04-09 16:31 . 2011-01-10 12:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-04-09 16:31 . 2011-01-10 12:23 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-04-09 16:31 . 2010-06-17 12:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2011-04-09 16:31 . 2010-06-17 12:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2011-04-09 16:15 . 2011-04-01 07:22 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2011-04-09 16:14 . 2011-04-09 16:14 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-04-09 16:07 . 2011-04-09 16:07 -------- d-----w- c:\documents and settings\Kissi\Local Settings\Application Data\Sunbelt Software
2011-04-09 16:05 . 2011-04-09 16:05 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{6A395471-4AA3-4072-AE1B-9B69A97AD164}
2011-04-09 16:04 . 2011-04-09 16:04 -------- d-----w- c:\program files\Lavasoft
2011-04-08 17:40 . 2011-04-08 17:40 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-04-07 06:14 . 2011-04-07 06:14 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2011-04-05 16:21 . 2011-04-05 16:21 -------- d-----w- C:\spoolerlogs
2011-03-31 00:24 . 2011-03-31 00:24 -------- d-s---w- c:\documents and settings\LocalService\UserData
2011-03-30 09:28 . 2011-03-30 09:29 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-03-25 23:48 . 2011-03-25 23:48 4284416 ----a-w- c:\windows\system32\GPhotos.scr
2011-03-24 02:23 . 2011-03-24 02:23 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-03-20 08:36 . 2011-03-20 08:36 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2011-03-12 10:28 . 2011-03-12 10:28 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2011-03-12 10:28 . 2011-03-12 10:28 103864 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:54 . 2006-03-02 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2006-03-02 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 01:16 . 2010-02-26 19:10 922112 ------w- c:\windows\system32\imapi2fs.dll
2011-02-08 01:16 . 2010-02-26 19:10 426496 ------w- c:\windows\system32\imapi2.dll
2011-02-02 07:59 . 2008-09-07 17:30 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-07 17:30 677888 ----a-w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2006-03-02 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-09-08 67128]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2010-04-16 3872080]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"cacaoweb"="c:\program files\cacaoweb\cacaoweb.exe" [2011-04-08 369392]
"Google Update"="c:\documents and settings\Kissi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-10-15 136176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-02 98304]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"BambooCore"="c:\program files\Bamboo Dock\BambooCore.exe" [2010-12-17 629336]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-29 110592]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-9-8 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-10-10 805392]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42 72208 ----a-w- c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\cacaoweb\\cacaoweb.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [09/04/2011 18:15 64512]
R2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [09/10/2009 06:45 169312]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [09/04/2011 18:31 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [01/04/2011 09:22 1753048]
R2 TabletServicePen;TabletServicePen;c:\program files\Tablet\Pen\Pen_Tablet.exe [05/11/2010 22:48 4869488]
R2 TouchServicePen;Wacom Consumer Touch Service;c:\program files\Tablet\Pen\Pen_TouchService.exe [05/11/2010 22:49 416112]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [05/11/2010 22:48 16240]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/06/2010 09:46 136176]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [05/03/2009 21:25 450560]
S3 ZD1211BU(BLUESTORK);Bluestork BS-W-USB Wifi 54g USB Module Driver(BLUESTORK);c:\windows\system32\drivers\ZD1211BU.sys [07/09/2008 22:12 439808]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-01 07:58]
.
2011-04-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-28 07:46]
.
2011-04-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-28 07:46]
.
2011-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1343024091-839522115-1004Core.job
- c:\documents and settings\Kissi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-19 06:51]
.
2011-04-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1343024091-839522115-1004UA.job
- c:\documents and settings\Kissi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-19 06:51]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab
FF - ProfilePath - c:\documents and settings\Kissi\Application Data\Mozilla\Firefox\Profiles\5zsaivu8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: cacaoweb: cacaoweb@cacaoweb.org - %profile%\extensions\cacaoweb@cacaoweb.org
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Notify-glowext - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-10 10:57
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
cacaoweb = "c:\program files\cacaoweb\cacaoweb.exe" -noplayer?abled:cacaoweb?es??????????????????P???????????????P???P???????????P?\?P???G???????G?????????????( ??????Service Pack 3?????????????????????????????
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(552)
c:\windows\system32\Ati2evxx.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2011-04-10 10:59:02
ComboFix-quarantined-files.txt 2011-04-10 08:59
.
Avant-CF: 66 297 507 840 octets libres
Après-CF: 66 434 646 016 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 0D02F0B9C26AE6392A554EBF2790E5CA
Voici le rapport combofix:
ComboFix 11-04-09.01 - Kissi 10/04/2011 10:51:29.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1555 [GMT 2:00]
Lancé depuis: c:\documents and settings\Kissi\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Antivirus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Kissi\Application Data\6F7F1B139BCA46D9692BC728ADE453BE
c:\documents and settings\Kissi\Application Data\6F7F1B139BCA46D9692BC728ADE453BE\enemies-names.txt
c:\documents and settings\Kissi\Application Data\6F7F1B139BCA46D9692BC728ADE453BE\local.ini
c:\documents and settings\Kissi\Application Data\Adobe\plugs
c:\documents and settings\Kissi\Application Data\cacaoweb
c:\documents and settings\Kissi\Application Data\cacaoweb\adstorage.db
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating1D60AB459160F97143193F249AD16B63.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating27E9F3F7E202610D76C54494000B623B.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating29D1E949EFEEC249B16D4649428B813A.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating36E68BF81161EF08F56F5FD408242BF3.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating63BA5F9EBB37D25011FFEEBAB40307D3.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating6F674085928AC1178613350D64BDE8AF.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating72752A310E88355E62A67A231BA72B7D.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating7DA8E523E806BE906F0CE08FCCA1C2FF.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating7F3D721861EA757D925E9506B7B5CA06.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating7FB281F899B282DC8DC5CC7225E28AD5.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating8235AF5EE27059CAC1F0764293E63056.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicating925BCA71CCEA3ECF24B1EFFEBBA10031.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingB0D4EDBDB8435886FDB2A181BE657BE8.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingD521487654376A161EB32778CB248374.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingD8625547F15B8758FE59BCE1D7570016.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingF538C4864D7D08AB1A2BD96CDD41A3AA.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingF789A660ACADE26AF4E1F14C1353B58A.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingFC0A3CBC69C57E2766BBD8489443DF62.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\replicatingFFE3DCCE4638DE9B9F1248C1AE2ABDBF.cacao
c:\documents and settings\Kissi\Application Data\cacaoweb\storage.db
c:\documents and settings\Kissi\Bureau\cacaoweb.exe
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-10 au 2011-04-10 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-09 17:22 . 2011-04-09 17:22 -------- d-----w- c:\documents and settings\Kissi\Application Data\Avira
2011-04-09 16:34 . 2011-04-09 19:09 -------- d-----w- c:\windows\system32\NtmsData
2011-04-09 16:31 . 2011-04-09 16:31 -------- d-----w- c:\program files\Avira
2011-04-09 16:31 . 2011-04-09 16:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2011-04-09 16:31 . 2011-01-10 12:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-04-09 16:31 . 2011-01-10 12:23 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-04-09 16:31 . 2010-06-17 12:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2011-04-09 16:31 . 2010-06-17 12:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2011-04-09 16:15 . 2011-04-01 07:22 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2011-04-09 16:14 . 2011-04-09 16:14 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-04-09 16:07 . 2011-04-09 16:07 -------- d-----w- c:\documents and settings\Kissi\Local Settings\Application Data\Sunbelt Software
2011-04-09 16:05 . 2011-04-09 16:05 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{6A395471-4AA3-4072-AE1B-9B69A97AD164}
2011-04-09 16:04 . 2011-04-09 16:04 -------- d-----w- c:\program files\Lavasoft
2011-04-08 17:40 . 2011-04-08 17:40 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-04-07 06:14 . 2011-04-07 06:14 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2011-04-05 16:21 . 2011-04-05 16:21 -------- d-----w- C:\spoolerlogs
2011-03-31 00:24 . 2011-03-31 00:24 -------- d-s---w- c:\documents and settings\LocalService\UserData
2011-03-30 09:28 . 2011-03-30 09:29 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-03-25 23:48 . 2011-03-25 23:48 4284416 ----a-w- c:\windows\system32\GPhotos.scr
2011-03-24 02:23 . 2011-03-24 02:23 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-03-20 08:36 . 2011-03-20 08:36 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2011-03-12 10:28 . 2011-03-12 10:28 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2011-03-12 10:28 . 2011-03-12 10:28 103864 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:54 . 2006-03-02 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2006-03-02 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 01:16 . 2010-02-26 19:10 922112 ------w- c:\windows\system32\imapi2fs.dll
2011-02-08 01:16 . 2010-02-26 19:10 426496 ------w- c:\windows\system32\imapi2.dll
2011-02-02 07:59 . 2008-09-07 17:30 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-07 17:30 677888 ----a-w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2006-03-02 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-09-08 67128]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2010-04-16 3872080]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"cacaoweb"="c:\program files\cacaoweb\cacaoweb.exe" [2011-04-08 369392]
"Google Update"="c:\documents and settings\Kissi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-10-15 136176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-02 98304]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"BambooCore"="c:\program files\Bamboo Dock\BambooCore.exe" [2010-12-17 629336]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-29 110592]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-9-8 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-10-10 805392]
.
c:\documents and settings\Kissi\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42 72208 ----a-w- c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\cacaoweb\\cacaoweb.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [09/04/2011 18:15 64512]
R2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [09/10/2009 06:45 169312]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [09/04/2011 18:31 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [01/04/2011 09:22 1753048]
R2 TabletServicePen;TabletServicePen;c:\program files\Tablet\Pen\Pen_Tablet.exe [05/11/2010 22:48 4869488]
R2 TouchServicePen;Wacom Consumer Touch Service;c:\program files\Tablet\Pen\Pen_TouchService.exe [05/11/2010 22:49 416112]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [05/11/2010 22:48 16240]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/06/2010 09:46 136176]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [05/03/2009 21:25 450560]
S3 ZD1211BU(BLUESTORK);Bluestork BS-W-USB Wifi 54g USB Module Driver(BLUESTORK);c:\windows\system32\drivers\ZD1211BU.sys [07/09/2008 22:12 439808]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-01 07:58]
.
2011-04-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-28 07:46]
.
2011-04-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-28 07:46]
.
2011-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1343024091-839522115-1004Core.job
- c:\documents and settings\Kissi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-19 06:51]
.
2011-04-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1343024091-839522115-1004UA.job
- c:\documents and settings\Kissi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-19 06:51]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab
FF - ProfilePath - c:\documents and settings\Kissi\Application Data\Mozilla\Firefox\Profiles\5zsaivu8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: cacaoweb: cacaoweb@cacaoweb.org - %profile%\extensions\cacaoweb@cacaoweb.org
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Notify-glowext - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-10 10:57
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
cacaoweb = "c:\program files\cacaoweb\cacaoweb.exe" -noplayer?abled:cacaoweb?es??????????????????P???????????????P???P???????????P?\?P???G???????G?????????????( ??????Service Pack 3?????????????????????????????
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(552)
c:\windows\system32\Ati2evxx.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2011-04-10 10:59:02
ComboFix-quarantined-files.txt 2011-04-10 08:59
.
Avant-CF: 66 297 507 840 octets libres
Après-CF: 66 434 646 016 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 0D02F0B9C26AE6392A554EBF2790E5CA
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 12:33
10 avril 2011 à 12:33
Bonne nouvelle pour combofix alors :) Merci.
TDSSkiller n'a rien trouvé, et j'avais passé MBAM cette semaine sans m'y connaître alors j'avais laissé faire le programme mais je n'avais pas cherché à comprendre le rapport. Je suis en train de repasser MBAM en ce moment quoiqu'il en soit.
TDSSkiller n'a rien trouvé, et j'avais passé MBAM cette semaine sans m'y connaître alors j'avais laissé faire le programme mais je n'avais pas cherché à comprendre le rapport. Je suis en train de repasser MBAM en ce moment quoiqu'il en soit.
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 13:01
10 avril 2011 à 13:01
Voila le rapport MBAM:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6319
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
10/04/2011 12:59:25
mbam-log-2011-04-10 (12-59-25).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 224756
Temps écoulé: 39 minute(s), 50 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6319
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
10/04/2011 12:59:25
mbam-log-2011-04-10 (12-59-25).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 224756
Temps écoulé: 39 minute(s), 50 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 15:40
10 avril 2011 à 15:40
Re! C'est bien que tu y voies plus clair, ça me rassure :p Pour moi ça reste assez obscur mais je te fais confiance :)
Voila le lien cijoint: http://cjoint.com/?1ekpLZHqK6e
Voila le lien cijoint: http://cjoint.com/?1ekpLZHqK6e
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 15:57
10 avril 2011 à 15:57
Voila déjà le lien pour le rapport TDSSkiller: http://cjoint.com/?1ekp7TSQRZ5
Pour IE, on ne l'utilise absolument jamais donc je ne sais pas si c'est nécessaire de le mettre à jour :)
Pour IE, on ne l'utilise absolument jamais donc je ne sais pas si c'est nécessaire de le mettre à jour :)
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
10 avril 2011 à 16:00
10 avril 2011 à 16:00
Ok merci pour le rapport de TDSSKiller. Et même si tu n'utilises pas IE, il est important de le mettre à jour pour combler les failles dont il est victime.
C'est la même chose pour d'autres logiciels comme Java, Flash player ( voir ici : https://forum.malekal.com/viewtopic.php?t=13629&start= )
C'est la même chose pour d'autres logiciels comme Java, Flash player ( voir ici : https://forum.malekal.com/viewtopic.php?t=13629&start= )
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 16:28
10 avril 2011 à 16:28
Yaw! Je suis convaincu, après lecture :) Merci, c'est à savoir.
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 15:59
10 avril 2011 à 15:59
Le rapport ZHPFix:
Rapport de ZHPFix 1.12.3274 par Nicolas Coolman, Update du 06/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-04-2011-15-59-43.txt
Run by Kissi at 10/04/2011 15:59:43
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Classes\interface\{4897bba6-48d9-468c-8efa-846275d7701b} => Clé supprimée avec succès
HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook => Clé supprimée avec succès
HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1 => Clé supprimée avec succès
HKCU\Software\cacaoweb => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29} => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(.) -- C:\Program Files\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Dossier(s) ==========
Dossiers Flash Cookies supprimés : 9
========== Fichier(s) ==========
Fichiers Flash Cookies supprimés : 4
========== Récapitulatif ==========
5 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)
End of the scan
Rapport de ZHPFix 1.12.3274 par Nicolas Coolman, Update du 06/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-04-2011-15-59-43.txt
Run by Kissi at 10/04/2011 15:59:43
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Classes\interface\{4897bba6-48d9-468c-8efa-846275d7701b} => Clé supprimée avec succès
HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook => Clé supprimée avec succès
HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1 => Clé supprimée avec succès
HKCU\Software\cacaoweb => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29} => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(.) -- C:\Program Files\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Dossier(s) ==========
Dossiers Flash Cookies supprimés : 9
========== Fichier(s) ==========
Fichiers Flash Cookies supprimés : 4
========== Récapitulatif ==========
5 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)
End of the scan
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
10 avril 2011 à 16:56
10 avril 2011 à 16:56
Impec' Comment se porte le PC à présent ?
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
Modifié par Theo de Thael le 10/04/2011 à 17:46
Modifié par Theo de Thael le 10/04/2011 à 17:46
Eh bien en apparence ça a l'air d'aller. Je vais le rendre à ma moitié et la laisser surfer comme elle faisait pour reproduire les conditions d'apparition. Je te tiens au courant d'ici ce soir ou dès que le souci se reproduit bien sûr.
Merci déjà d'en être arrivé là :p
Merci déjà d'en être arrivé là :p
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 17:50
10 avril 2011 à 17:50
Et je suis en train de mettre à jour IE ^^
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
10 avril 2011 à 18:22
10 avril 2011 à 18:22
Aaaalors...
Pour Java, j'ai boulettisé, j'ai lancé Delfix avant de poster le rapport de Javara donc.. ben je l'ai refait mais le rapport est très succin, je le poste quand même:
JavaRa 1.15 Removal Log.
Report follows after line.
------------------------------------
The JavaRa removal process was started on Sun Apr 10 18:19:39 2011
------------------------------------
Finished reporting.
Pour Delfix:
# DelFix v7.6 - Rapport créé le 10/04/2011 à 18:15
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Kissi - KISSILOW (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Kissi\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.21.0_10.04.2011_12.18.02_log.txt
Supprimé : C:\ZHPExportRegistry-10-04-2011-15-59-43.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\tdsskiller.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\JavaRa.def
Supprimé : C:\Documents and Settings\Kissi\Bureau\JavaRa.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\JavaRa.zip
Supprimé : C:\Documents and Settings\Kissi\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Kissi\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [2295 octets] ##########
Et enfin j'ai suivi la procédure pour purger les points de restauration et j'en ai créé un ensuite.
Là je lis les liens que tu m'as donné sur la sécurité :)
Pour Java, j'ai boulettisé, j'ai lancé Delfix avant de poster le rapport de Javara donc.. ben je l'ai refait mais le rapport est très succin, je le poste quand même:
JavaRa 1.15 Removal Log.
Report follows after line.
------------------------------------
The JavaRa removal process was started on Sun Apr 10 18:19:39 2011
------------------------------------
Finished reporting.
Pour Delfix:
# DelFix v7.6 - Rapport créé le 10/04/2011 à 18:15
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Kissi - KISSILOW (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Kissi\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.21.0_10.04.2011_12.18.02_log.txt
Supprimé : C:\ZHPExportRegistry-10-04-2011-15-59-43.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\tdsskiller.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\JavaRa.def
Supprimé : C:\Documents and Settings\Kissi\Bureau\JavaRa.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\JavaRa.zip
Supprimé : C:\Documents and Settings\Kissi\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Kissi\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Kissi\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [2295 octets] ##########
Et enfin j'ai suivi la procédure pour purger les points de restauration et j'en ai créé un ensuite.
Là je lis les liens que tu m'as donné sur la sécurité :)
Theo de Thael
Messages postés
21
Date d'inscription
dimanche 10 avril 2011
Statut
Membre
Dernière intervention
28 avril 2015
12 avril 2011 à 08:27
12 avril 2011 à 08:27
Eh bien il semble que le souci soit réglé, aucune redirection intempestive ne s'est manifestée depuis dimanche. Merci beaucoup à toi, ma femme et moi te saluons bien :)
