worm et w32

Question

Bonjour, 



j'ai le pc du boulot qui bloque a plusieurs reprise il est neuf mais il est contaminé avec un worm je n'arrive pas a me débarrasser de lui j'ai installer le malwarebytes mais il n'a pas supprimer tout.

Help me please

et merci d'avance

juju666 · Answer

Salut,

&#9654 Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 

&#9654  Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir 

&#9654 Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement 
              XP : double clic sur UsbFix

&#9654 Clique sur "Recherche" 

&#9654 Laisse travailler l'outil 

&#9654 A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

titi0803 · Answer

ok

juju666 · Answer

ok ok

&#9654 Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

&#9654 Lance OTL
&#9654 Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

titi0803 · Answer

d'accord

juju666 · Answer

pas d infection visible !!

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier

juju666 · Answer

ok
tu es infecté du ver  conficker (voir https://www.commentcamarche.net/faq/16710-comment-supprimer-le-virus-conficker-downadup-kido

Attention, avant de commencer, lit attentivement la procédure, et imprime la  


Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante. 
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le

&#9654 Une fenêtre apparait : clique sur "Disable"

&#9654 Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt

juju666 · Answer

vu

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE 

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

NetSvc::
mtqws
eotks

Reboot::


&#9654 Enregistre ce fichier sous le nom CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

juju666 · Answer

nickel

suite:

Télécharge ForceMove de Juju666    

Exécute le.  
Une fenêtre bloc note nommée INSTRUCTIONS_SVP va s'ouvrir colle ça dans le fichier texte qui s'ouvre:    


C:\USBFix


Ferme le fichier texte. Accepte la modification par Oui.    

Une infobulle t'avertira que tout sera fermé. Accepte par Ok    

Poste le contenu du rapport qui s'ouvrira à terme  (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)  

=============================

&#9654 Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 

&#9654  Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...)  sans les ouvrir  

&#9654 Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement 
              XP : double clic sur UsbFix

&#9654 Clique sur "Recherche" 

&#9654 Laisse travailler l'outil 

&#9654 A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

&#9654 Aide en images : Tutoriel "Recherche"

titi0803 · Answer

ok j'espere que maintenant il est lisible

ComboFix 11-04-17.03 - Pc7899 18/04/2011  16:30:01.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1014.617 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pc7899\Mes documents\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Pc7899\Bureau\CFSCRIPT.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-18 au 2011-04-18  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-18 14:07 . 2011-04-18 14:11	--------	d-----w-	C:\UsbFix
2011-04-17 07:49 . 2008-06-14 17:59	272768	-c----w-	c:\windows\system32\dllcache\bthport.sys
2011-04-17 07:49 . 2008-06-14 17:59	272768	------w-	c:\windows\system32\drivers\bthport.sys
2011-04-17 07:47 . 2010-02-24 12:31	454016	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2011-04-17 07:46 . 2010-02-16 19:33	2060416	-c----w-	c:\windows\system32\dllcache
tkrnlpa.exe
2011-04-17 07:46 . 2010-02-16 19:32	2018816	-c----w-	c:\windows\system32\dllcache
tkrpamp.exe
2011-04-17 07:46 . 2010-02-16 19:33	2183424	-c----w-	c:\windows\system32\dllcache
toskrnl.exe
2011-04-17 07:46 . 2010-02-16 19:32	2139136	-c----w-	c:\windows\system32\dllcache
tkrnlmp.exe
2011-04-14 15:40 . 2011-04-14 15:40	--------	d-----w-	C:\_OTL
2011-04-13 12:03 . 2011-04-13 12:03	--------	d-----w-	c:\program files\Ad-Remover
2011-04-12 15:45 . 2011-04-18 08:27	--------	d--h--w-	c:\windows\$hf_mig$
2011-04-11 12:26 . 2011-04-11 12:26	--------	d-----w-	c:\documents and settings\Pc7899\Application Data\Malwarebytes
2011-04-11 12:26 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-11 12:26 . 2011-04-11 12:26	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-11 12:26 . 2011-04-11 12:26	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-11 12:26 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-11 09:31 . 2011-04-11 09:31	16856	----a-w-	c:\program files\Mozilla Firefox\plugin-container.exe
2011-04-11 09:31 . 2011-04-11 09:31	719832	----a-w-	c:\program files\Mozilla Firefox\mozcpp19.dll
2011-04-07 12:52 . 2011-04-07 12:52	--------	d-----w-	c:\documents and settings\LocalService\Menu Démarrer
2011-04-07 12:48 . 2011-04-11 12:09	--------	d-----w-	c:\windows\system32\NtmsData
2011-04-07 12:09 . 2011-04-07 12:09	--------	d-----w-	c:\documents and settings\Pc7899\Application Data\Avira
2011-04-07 12:07 . 2011-04-07 12:52	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-04-07 12:07 . 2011-04-07 12:07	--------	d-----w-	c:\program files\Avira
2011-04-07 12:07 . 2011-04-07 12:07	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2011-04-07 12:07 . 2011-02-04 10:09	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-04-07 12:07 . 2010-06-17 12:28	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-04-07 12:07 . 2010-06-17 12:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-04-07 11:11 . 2011-04-07 11:11	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2011-04-07 11:06 . 2011-04-07 11:06	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Google
2011-04-07 11:05 . 2011-04-07 11:28	--------	d-----w-	c:\program files\Google
2011-04-07 10:49 . 2011-04-07 11:28	--------	d-----w-	c:\documents and settings\Pc7899\Local Settings\Application Data\Temp
2011-04-07 10:49 . 2011-04-07 11:28	--------	d-----w-	c:\documents and settings\Pc7899\Local Settings\Application Data\Google
2011-04-07 10:48 . 2011-04-07 10:48	--------	d-s---w-	c:\documents and settings\Pc7899\UserData
2011-04-04 14:39 . 2011-04-18 14:00	--------	d-----w-	c:\documents and settings\Pc7899\Application Data\skypePM
2011-04-04 14:27 . 2011-04-18 14:33	--------	d-----w-	c:\documents and settings\Pc7899\Application Data\Skype
2011-04-04 14:27 . 2011-04-04 14:27	--------	d-----r-	c:\program files\Skype
2011-04-04 14:27 . 2011-04-04 14:27	--------	d-----w-	c:\program files\Fichiers communs\Skype
2011-04-04 14:27 . 2011-04-04 14:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\Skype
2011-03-30 08:24 . 2009-11-26 15:02	221184	----a-w-	c:\windows\system32\RaCoInst.dll
2011-03-30 08:24 . 2009-11-26 15:02	1136128	----a-w-	c:\windows\system32\driverst2860.sys
2011-03-30 08:24 . 2011-03-30 08:24	--------	d-----w-	c:\documents and settings\All Users\Application Data\Ralink Driver
2011-03-28 11:12 . 2011-03-28 11:12	--------	d-----w-	c:\documents and settings\Pc7899\Local Settings\Application Data\Adobe
2011-03-28 08:49 . 2011-03-28 08:49	--------	d-----w-	c:\documents and settings\Pc7899\dwhelper
2011-03-28 08:49 . 2011-03-28 08:49	--------	d-----w-	c:\documents and settings\Pc7899\Local Settings\Application Data\Mozilla
2011-03-28 06:47 . 2004-08-03 21:08	26496	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2011-03-27 10:35 . 2011-03-27 10:35	--------	d-----w-	c:\program files\Microsoft Works
2011-03-27 10:35 . 2011-03-27 10:35	--------	d-----w-	c:\program files\MSBuild
2011-03-27 10:32 . 2011-03-27 10:32	--------	d-----w-	c:\windows\SHELLNEW
2011-03-27 10:32 . 2011-03-27 10:32	--------	d-----w-	c:\documents and settings\Pc7899\Local Settings\Application Data\Microsoft Help
2011-03-27 10:31 . 2011-03-28 13:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2011-03-27 10:31 . 2011-03-27 10:31	--------	d-----r-	C:\MSOCache
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-18 14:11 . 2011-04-18 14:11	6109	----a-w-	C:\UsbFix_Upload_Me_PC789-AC1A120FD.zip
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-04-18_14.01.09   )))))))))))))))))))))))))))))))))))))))))
.
+ 2002-05-13 09:03 . 2004-08-04 04:55	21896              c:\windows\system32\drivers	dtcp.sys
- 2002-05-13 09:03 . 2004-08-04 04:55	21896              c:\windows\system32\drivers	dtcp.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-01-26 15026056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-16 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-16 155648]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-16 131072]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-14 18702336]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-02-04 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Google\Google Earth\client\googleearth.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1320:TCP"= 1320:TCP:tpkqbl
.
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\program files\CyberLink\PowerDVD8\000.fcl [15/05/2008 12:07 61424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [07/04/2011 14:07 135336]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\driverst2860.sys [30/03/2011 10:24 1136128]
S2 eotks;Support Shell;c:\windows\system32\svchost.exe -k netsvcs [04/08/2004 06:55 14336]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [07/04/2011 13:06 136176]
S2 mtqws;Driver Boot;c:\windows\system32\svchost.exe -k netsvcs [04/08/2004 06:55 14336]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32egedt32.exe [07/09/2002 02:00 3584]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13/05/2002 11:13 1684736]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-07 11:05]
.
2011-04-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-07 11:05]
.
2011-04-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-2111687655-839522115-1003Core.job
- c:\documents and settings\Pc7899\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-04-07 10:49]
.
2011-04-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-2111687655-839522115-1003UA.job
- c:\documents and settings\Pc7899\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-04-07 10:49]
.
2011-04-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-04-17 20:18]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Pc7899\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Xmarks: foxmarks@kei.com - %profile%\extensions\foxmarks@kei.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: DownThemAll!: {DDC359D1-844A-42a7-9AA1-88A850A938A8} - %profile%\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Snap Links (EladKarako Mod): snaplinks@snaplinks.net - %profile%\extensions\snaplinks@snaplinks.net
FF - Ext: Gmail Notifier: {44d0a1b4-9c90-4f86-ac92-8680b5d6549e} - %profile%\extensions\{44d0a1b4-9c90-4f86-ac92-8680b5d6549e}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-18 16:33
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1260)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2011-04-18  16:34:20 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-04-18 14:34
ComboFix2.txt  2011-04-18 14:01
.
Avant-CF: 76 005 486 592 octets libres
Après-CF: 75 998 564 352 octets libres
.
- - End Of File - - 22A3A64887A060C47BEEEE1A5E636F7B

juju666 · Answer

??

https://forums.commentcamarche.net/forum/affich-21820830-worm-et-w32#23

titi0803 · Answer

Bonjour

voici le rapport mais je n'ai pas eu besoin d'installer ton logiciel en fin de compte j'ai pu installer usbfix

############################## | UsbFix 7.043 | [Suppression]

Utilisateur: Pc7899 (Administrateur) # PC789-AC1A120FD [ ]
Mis à jour le 12/04/2011 par TeamXscript
Lancé à 16:11:09 | 18/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Pentium(R) Dual-Core CPU E5400 @ 2.70GHz
CPU 2: Pentium(R) Dual-Core CPU E5400 @ 2.70GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.58 [Enabled | Updated]
RAM -> 1014 Mo 
C:\ (%systemdrive%) -> Disque fixe # 78 Go (71 Go libre(s) - 91%) [] # NTFS
D:\ -> Disque fixe # 78 Go (78 Go libre(s) - 100%) [] # NTFS
E:\ -> Disque fixe # 77 Go (77 Go libre(s) - 100%) [] # NTFS
F:\ -> CD-ROM
G:\ -> Disque amovible # 2 Go (1 Go libre(s) - 60%) [TOSHIBA] # FAT

################## | Éléments infectieux |


Supprimé! D:\Recycler\S-1-5-21-1292428093-2111687655-839522115-1003
Supprimé! E:\Recycler\S-1-5-21-1292428093-2111687655-839522115-1003
Supprimé! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665
Non supprimé ! G:\autorun.inf

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[13/04/2011 - 14:04:52 | N | 2684] 	C:\Ad-Report-CLEAN[1].txt
[13/04/2011 - 14:04:15 | N | 2488] 	C:\Ad-Report-SCAN[1].txt
[13/05/2002 - 11:06:42 | N | 0] 	C:\AUTOEXEC.BAT
[13/05/2002 - 11:03:07 | N | 212] 	C:\Boot.bak
[18/04/2011 - 15:58:46 | N | 328] 	C:\boot.ini
[07/09/2002 - 02:00:00 | N | 4952] 	C:\Bootfont.bin
[18/04/2011 - 15:58:46 | D ] 	C:\cmdcons
[03/08/2004 - 23:00:08 | N | 263488] 	C:\cmldr
[18/04/2011 - 16:01:56 | N | 11810] 	C:\ComboFix.txt
[13/05/2002 - 11:06:42 | N | 0] 	C:\CONFIG.SYS
[13/05/2002 - 11:09:47 | D ] 	C:\Documents and Settings
[13/05/2002 - 11:11:24 | D ] 	C:\Intel
[13/05/2002 - 11:06:42 | N | 0] 	C:\IO.SYS
[13/05/2002 - 11:06:42 | N | 0] 	C:\MSDOS.SYS
[27/03/2011 - 12:31:28 | RD ] 	C:\MSOCache
[04/08/2004 - 04:38:34 | N | 47564] 	C:\NTDETECT.COM
[04/08/2004 - 04:59:44 | N | 251712] 	C:
tldr
[18/04/2011 - 14:03:19 | ASH | 1598029824] 	C:\pagefile.sys
[13/04/2011 - 14:03:52 | D ] 	C:\Program Files
[18/04/2011 - 16:01:58 | D ] 	C:\Qoobox
[18/04/2011 - 16:11:16 | SHD ] 	C:\RECYCLER
[28/03/2011 - 11:57:01 | SHD ] 	C:\System Volume Information
[18/04/2011 - 16:11:16 | D ] 	C:\UsbFix
[18/04/2011 - 16:11:17 | A | 1257] 	C:\UsbFix.txt
[18/04/2011 - 16:01:57 | D ] 	C:\WINDOWS
[14/04/2011 - 17:40:22 | D ] 	C:\_OTL
[18/04/2011 - 14:15:10 | D ] 	D:\AMS POWER
[18/04/2011 - 15:16:13 | D ] 	D:\PARTAGE
[18/04/2011 - 16:11:16 | SHD ] 	D:\RECYCLER
[11/04/2011 - 14:09:31 | SHD ] 	D:\System Volume Information
[18/04/2011 - 16:11:16 | SHD ] 	E:\RECYCLER
[27/03/2011 - 12:37:26 | SHD ] 	E:\System Volume Information
[25/03/2011 - 18:39:06 | D ] 	G:\Idriss
[10/02/2011 - 09:56:02 | D ] 	G:\Documents word
[28/03/2011 - 09:54:22 | RSHD ] 	G:\RECYCLER
[28/03/2011 - 10:51:10 | D ] 	G:\AMS POWER
[29/03/2011 - 12:27:10 | D ] 	G:\situation des contrat AMS POWER
[29/03/2011 - 20:43:12 | D ] 	G:\Music
[04/08/2004 - 06:54:30 | N | 59326] 	G:\autorun.inf
[02/04/2011 - 23:02:48 | D ] 	G:\film streaming Le Manoir hanté et les 999 fantômes_files
[02/04/2011 - 23:02:48 | N | 76056] 	G:\film streaming Le Manoir hanté et les 999 fantômes.htm
[03/04/2011 - 20:55:30 | N | 11760] 	G:\???????.docx
[03/04/2011 - 22:42:14 | N | 6759587] 	G:\Md1wAaOdsRTIkPnP0gSbs6Hw_D3zPi3xY9DOxzeycJwYD0vaLDImHUWdHahCHoC_RoBZyrC5-srwl2x4Upgap-bSmgL_k9X-cpNa1Vv3s6aahUm6r3_W53E0M1sEm_agxZH43vjLa59iJIbGhmRHBc1KpFFrPoF8J1ZTN3VjRBKKUuHPM_gwp_-TwOkjWRJT.mp3
[03/04/2011 - 22:51:54 | N | 12727916] 	G:\4tUJmmHfC_la4-Ug2MO3Bde5h6i5D4wy0efy5Z6VdBSQX8G8keCUwV4W5bcXNCsa6tZV_n5c-0eSpK69om4ftA==.mp3
[09/04/2011 - 22:35:40 | N | 13951] 	G:\avenant billingue.docx
[16/04/2011 - 20:47:12 | N | 3706880] 	G:\201101241754390786.mp3
[16/04/2011 - 20:55:08 | N | 2354876] 	G:\d7dc02165429014b79ce9a6456889747.mp3

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC789-AC1A120FD.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

juju666 · Answer

salut refais ça : https://forums.commentcamarche.net/forum/affich-21820830-worm-et-w32#8

titi0803 · Answer

Bonjour 
voici le rapport
http://pjjoint.malekal.com/files.php?id=1eef0d74d71465

juju666 · Answer

Hello,

Tu as encore des soucis ?

titi0803 · Answer

D'ici la fin de journée je pourrais te donner une réponse car je ne me suis pas connecter pendant 2 jours .

 En cas de no problem merci beaucoup pour ton aide .

Ciao

Worm et w32

15 réponses

Votre réponse

Discussions similaires

Newsletters