Generic host process for win 32 services
Fermé
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
-
26 avril 2011 à 19:56
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011 - 29 avril 2011 à 19:06
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011 - 29 avril 2011 à 19:06
A voir également:
- Generic host process for win 32 services
- Fichier host - Guide
- 32 bits - Guide
- Poweriso 32 bit - Télécharger - Gravure
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Win setup from usb - Télécharger - Utilitaires
28 réponses
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
26 avril 2011 à 20:29
26 avril 2011 à 20:29
Hello,
Jette un oeil ici
Jette un oeil ici
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 09:34
27 avril 2011 à 09:34
Bonjour,
Merci c'est tellement lent que je n'ai pas pu faire de recherche. C'est fait en mode sans echec mais le pc est toujours aussi lent très lent je peux ouvrir une page ou deux qand ça bloque pas en quinze minutes!
Avez-vous une idée?
Merci c'est tellement lent que je n'ai pas pu faire de recherche. C'est fait en mode sans echec mais le pc est toujours aussi lent très lent je peux ouvrir une page ou deux qand ça bloque pas en quinze minutes!
Avez-vous une idée?
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 avril 2011 à 12:34
27 avril 2011 à 12:34
On va jeter un oeil sur ce pc :
Télécharge ZhpDiag de Nicolas Coolman .
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).
Une fois installé le programme s'ouvre automatiquement .
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .
Rend toi sur ce site : http://www.cijoint.fr/index.php
Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])
Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
Télécharge ZhpDiag de Nicolas Coolman .
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).
Une fois installé le programme s'ouvre automatiquement .
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .
Rend toi sur ce site : http://www.cijoint.fr/index.php
Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])
Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 16:31
27 avril 2011 à 16:31
ok merci je ferai ça en rentrant du boulot ce soir. Merci :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 20:38
27 avril 2011 à 20:38
Bonsoir,
J'ai fait le scan mais quand je joins le fichier ça ne marche pas ça je comprends pas!
Ya til un autre moyen que je vous communique le rapport?
Merci beaucoup
J'ai fait le scan mais quand je joins le fichier ça ne marche pas ça je comprends pas!
Ya til un autre moyen que je vous communique le rapport?
Merci beaucoup
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 20:42
27 avril 2011 à 20:42
ça me met sur une page internet et me dit "internet explorer ne répond pas"!
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 avril 2011 à 20:52
27 avril 2011 à 20:52
Ya til un autre moyen que je vous communique le rapport?
Envoi le en MP sur ma boite .
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 21:17
27 avril 2011 à 21:17
C'est galère!!! :) je peux pas tout mettre d'un coup!! je sais pas ça marche une fois sur dux ou j'en met trop peut etre?
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 21:27
27 avril 2011 à 21:27
Est ce que tu as tout?
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 21:39
27 avril 2011 à 21:39
C'est bien ça qu'il fallait envoyé?
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 avril 2011 à 21:46
27 avril 2011 à 21:46
J'essaie de recoller les morceaux (si il n'en manque pas un bout,je serais chanceux ..)
J'ai déja aperçu les premiers infections (taches planifiés) je zieute le reste ...
J'ai déja aperçu les premiers infections (taches planifiés) je zieute le reste ...
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 21:49
27 avril 2011 à 21:49
merci :) j'arrivais pas à envoyer en une fois!!!
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 avril 2011 à 21:56
27 avril 2011 à 21:56
Je pense qu'il manque des morceaux mais d'apres ce que j'ai pu voir ,tu es infecté par Ver qui se propage via le téléchargement P2P (Emule )
Télécharges ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre le sur le bureau.
Avant d'utiliser ComboFix :
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Télécharges ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre le sur le bureau.
Avant d'utiliser ComboFix :
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 22:02
27 avril 2011 à 22:02
C'est bizarre je ne me connectes jamais sur emule!
ok je vais le faire.
Désolé mais jai encore plein de chose à t'envoyer mais c trop long et je peux envoyer que par petit morceaux!
ok je vais le faire.
Désolé mais jai encore plein de chose à t'envoyer mais c trop long et je peux envoyer que par petit morceaux!
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 avril 2011 à 22:08
27 avril 2011 à 22:08
Laisse tomber ZhpDiag pour le moment .on va essayer de rétablir le mode normal et ensuite on retentera a l'aide de l'hébergeur Cijoint (ou un autre si il faut) .
Pour l'instant centre toi sur Combofix .
Pour l'instant centre toi sur Combofix .
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
27 avril 2011 à 23:05
27 avril 2011 à 23:05
ComboFix 11-04-27.01 - adnane 27/04/2011 22:29:31.5.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.534 [GMT 2:00]
Lancé depuis: c:\documents and settings\adnane\Bureau\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\adnane\Application Data\Ebag
c:\documents and settings\adnane\Application Data\Ebag\camo.exe
c:\documents and settings\adnane\Application Data\Guil
c:\documents and settings\adnane\Application Data\Guil\qaocq.uce
c:\documents and settings\All Users\Application Data\Y4Lb2wL4.exe
c:\windows\Tasks\At1.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-27 au 2011-04-27 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-27 17:59 . 2011-04-27 17:59 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-04-27 17:54 . 2011-04-27 18:40 -------- d-----w- c:\program files\ZHPDiag
2011-04-25 17:17 . 2011-04-25 17:17 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-04-25 12:43 . 2011-04-25 15:06 -------- d-----w- c:\documents and settings\adnane\Application Data\Ryenb
2011-04-25 12:43 . 2011-04-25 12:44 -------- d-----w- c:\documents and settings\adnane\Application Data\Ipriyt
2011-04-25 09:47 . 2011-04-25 11:38 0 ----a-w- c:\documents and settings\adnane\ntuser.tmp
2011-04-24 11:19 . 2011-04-24 11:19 -------- d-----w- c:\program files\BabylonToolbar
2011-04-23 20:12 . 2011-04-23 20:12 -------- d-----w- c:\documents and settings\adnane\Application Data\Malwarebytes
2011-04-23 20:12 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-23 20:12 . 2011-04-23 20:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-23 20:11 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-23 20:11 . 2011-04-23 20:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-23 19:54 . 2011-04-23 19:54 -------- d-----w- c:\documents and settings\adnane\Application Data\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54 -------- d-----w- c:\program files\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54 -------- d-----w- c:\documents and settings\adnane\Local Settings\Application Data\PackageAware
2011-04-23 18:24 . 2011-04-23 18:24 -------- d-----w- c:\program files\Trend Micro
2011-04-23 16:23 . 2011-04-23 21:22 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-04-23 16:23 . 2011-04-23 21:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-04-23 14:58 . 2010-09-06 09:26 189520 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-04-23 09:12 . 2011-04-23 09:12 -------- d-----r- c:\documents and settings\LocalService\Favoris
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-26 16:49 . 2007-09-13 09:07 90112 ----a-w- c:\windows\DUMP58de.tmp
2011-04-24 11:13 . 2007-09-13 09:07 98304 ----a-w- c:\windows\DUMP1311.tmp
2011-03-07 05:33 . 2005-09-16 06:35 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2005-09-16 06:23 434176 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2005-09-16 06:23 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-17 18:56 . 2005-09-16 06:23 832512 ----a-w- c:\windows\system32\wininet.dll
2011-02-17 18:56 . 2005-09-16 06:23 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 2005-09-16 06:23 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-02-17 18:56 . 2005-09-16 06:22 17408 ------w- c:\windows\system32\corpol.dll
2011-02-17 13:18 . 2005-09-16 06:23 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2005-09-16 06:23 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 2005-09-16 06:23 389120 ----a-w- c:\windows\system32\html.iec
2011-02-15 12:56 . 2005-09-16 06:22 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-09 13:54 . 2005-09-16 06:23 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2005-09-16 06:23 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 13:34 . 2005-09-16 06:23 978944 ----a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:34 . 2005-09-16 06:23 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-02 07:59 . 2005-09-16 06:34 2067456 ----a-w- c:\windows\system32\mstscax.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-04-24_15.36.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-27 20:23 . 2011-04-27 20:23 16384 c:\windows\temp\Perflib_Perfdata_1f8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 184320]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 118784]
"TFncKy"="TFncKy.exe" [BU]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"NDSTray.exe"="NDSTray.exe" [BU]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-13 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-10 185632]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"ChangeFilterMerit"="c:\program files\NewSoft\Presto! PVR\ChangeFilterMerit.exe" [2005-05-17 40960]
"Presto! PVR Monitor"="c:\program files\NewSoft\Presto! PVR\Monitor.exe" [2006-02-23 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/02/2010 23:06 108289]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [12/09/2009 22:15 217728]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [12/09/2009 22:16 11264]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [29/09/2007 12:57 31579]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03/11/2007 10:26 685816]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006Core.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2011-04-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006UA.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
DPF: {997C5A94-77F6-427D-A388-AC2B6ECF0F7C} - hxxp://mediaplus.grenoble-em.com/download/packages/_Installer/packageinstaller.ocx
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-4E3E0230F5B9F1D3 - c:\ishigo.exe\ishigo.exe.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-27 22:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HTS541080G9SA00 rev.MB4OC60R -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x872AE57B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-886594380-1610435846-741818131-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-04-27 22:56:06
ComboFix-quarantined-files.txt 2011-04-27 20:55
ComboFix2.txt 2011-04-25 11:54
ComboFix3.txt 2011-04-24 19:42
ComboFix4.txt 2011-04-24 15:45
.
Avant-CF: 24 720 084 992 octets libres
Après-CF: 24 740 265 984 octets libres
.
Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - FCD5FF28AD0EFB7074ACAA1E965EDE45
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.534 [GMT 2:00]
Lancé depuis: c:\documents and settings\adnane\Bureau\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\adnane\Application Data\Ebag
c:\documents and settings\adnane\Application Data\Ebag\camo.exe
c:\documents and settings\adnane\Application Data\Guil
c:\documents and settings\adnane\Application Data\Guil\qaocq.uce
c:\documents and settings\All Users\Application Data\Y4Lb2wL4.exe
c:\windows\Tasks\At1.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-27 au 2011-04-27 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-27 17:59 . 2011-04-27 17:59 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-04-27 17:54 . 2011-04-27 18:40 -------- d-----w- c:\program files\ZHPDiag
2011-04-25 17:17 . 2011-04-25 17:17 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-04-25 12:43 . 2011-04-25 15:06 -------- d-----w- c:\documents and settings\adnane\Application Data\Ryenb
2011-04-25 12:43 . 2011-04-25 12:44 -------- d-----w- c:\documents and settings\adnane\Application Data\Ipriyt
2011-04-25 09:47 . 2011-04-25 11:38 0 ----a-w- c:\documents and settings\adnane\ntuser.tmp
2011-04-24 11:19 . 2011-04-24 11:19 -------- d-----w- c:\program files\BabylonToolbar
2011-04-23 20:12 . 2011-04-23 20:12 -------- d-----w- c:\documents and settings\adnane\Application Data\Malwarebytes
2011-04-23 20:12 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-23 20:12 . 2011-04-23 20:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-23 20:11 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-23 20:11 . 2011-04-23 20:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-23 19:54 . 2011-04-23 19:54 -------- d-----w- c:\documents and settings\adnane\Application Data\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54 -------- d-----w- c:\program files\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54 -------- d-----w- c:\documents and settings\adnane\Local Settings\Application Data\PackageAware
2011-04-23 18:24 . 2011-04-23 18:24 -------- d-----w- c:\program files\Trend Micro
2011-04-23 16:23 . 2011-04-23 21:22 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-04-23 16:23 . 2011-04-23 21:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-04-23 14:58 . 2010-09-06 09:26 189520 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-04-23 09:12 . 2011-04-23 09:12 -------- d-----r- c:\documents and settings\LocalService\Favoris
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-26 16:49 . 2007-09-13 09:07 90112 ----a-w- c:\windows\DUMP58de.tmp
2011-04-24 11:13 . 2007-09-13 09:07 98304 ----a-w- c:\windows\DUMP1311.tmp
2011-03-07 05:33 . 2005-09-16 06:35 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2005-09-16 06:23 434176 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2005-09-16 06:23 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-17 18:56 . 2005-09-16 06:23 832512 ----a-w- c:\windows\system32\wininet.dll
2011-02-17 18:56 . 2005-09-16 06:23 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 2005-09-16 06:23 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-02-17 18:56 . 2005-09-16 06:22 17408 ------w- c:\windows\system32\corpol.dll
2011-02-17 13:18 . 2005-09-16 06:23 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2005-09-16 06:23 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 2005-09-16 06:23 389120 ----a-w- c:\windows\system32\html.iec
2011-02-15 12:56 . 2005-09-16 06:22 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-09 13:54 . 2005-09-16 06:23 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2005-09-16 06:23 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 13:34 . 2005-09-16 06:23 978944 ----a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:34 . 2005-09-16 06:23 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-02 07:59 . 2005-09-16 06:34 2067456 ----a-w- c:\windows\system32\mstscax.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-04-24_15.36.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-27 20:23 . 2011-04-27 20:23 16384 c:\windows\temp\Perflib_Perfdata_1f8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 184320]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 118784]
"TFncKy"="TFncKy.exe" [BU]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"NDSTray.exe"="NDSTray.exe" [BU]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-13 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-10 185632]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"ChangeFilterMerit"="c:\program files\NewSoft\Presto! PVR\ChangeFilterMerit.exe" [2005-05-17 40960]
"Presto! PVR Monitor"="c:\program files\NewSoft\Presto! PVR\Monitor.exe" [2006-02-23 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/02/2010 23:06 108289]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [12/09/2009 22:15 217728]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [12/09/2009 22:16 11264]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [29/09/2007 12:57 31579]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03/11/2007 10:26 685816]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006Core.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2011-04-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006UA.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
DPF: {997C5A94-77F6-427D-A388-AC2B6ECF0F7C} - hxxp://mediaplus.grenoble-em.com/download/packages/_Installer/packageinstaller.ocx
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-4E3E0230F5B9F1D3 - c:\ishigo.exe\ishigo.exe.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-27 22:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HTS541080G9SA00 rev.MB4OC60R -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x872AE57B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-886594380-1610435846-741818131-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-04-27 22:56:06
ComboFix-quarantined-files.txt 2011-04-27 20:55
ComboFix2.txt 2011-04-25 11:54
ComboFix3.txt 2011-04-24 19:42
ComboFix4.txt 2011-04-24 15:45
.
Avant-CF: 24 720 084 992 octets libres
Après-CF: 24 740 265 984 octets libres
.
Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - FCD5FF28AD0EFB7074ACAA1E965EDE45
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
28 avril 2011 à 12:37
28 avril 2011 à 12:37
Peux tu démarrer en mode normal maintenant ?
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
28 avril 2011 à 17:04
28 avril 2011 à 17:04
Bonjour,
je peux démarrer mais le pc est toujours aussi lent, très lent,très très lent.....
je peux démarrer mais le pc est toujours aussi lent, très lent,très très lent.....
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
28 avril 2011 à 17:24
28 avril 2011 à 17:24
Maintenant que tu es en mode normal ,relance ZhpDiag puis colle moi le rapport avec Cijoint comme décrit sur ce post
SAMOUSSE75
Messages postés
54
Date d'inscription
samedi 23 avril 2011
Statut
Membre
Dernière intervention
5 mai 2011
28 avril 2011 à 20:05
28 avril 2011 à 20:05
Bonsoir,
Voila j'ai refait Zhpdiag mais impossible de le poste avec ci-joint. Dès que je fais déposer le fichier j'ai la même chose qu'hier "internet ne répond pas"! Le fichier est peut etre trop lourd non? 116ko
Voila j'ai refait Zhpdiag mais impossible de le poste avec ci-joint. Dès que je fais déposer le fichier j'ai la même chose qu'hier "internet ne répond pas"! Le fichier est peut etre trop lourd non? 116ko