Sujet Précédent Sujet Suivant

Plomber par des chevals de troie!

Résolu/Fermé
Dumè.C - 14 mai 2011 à 17:18
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 17 mai 2011 à 20:12
Bonjour,




Je viens a vous car j'ai plusieurs cheval de troie. ils semble être bloqué par l'antivirus mais mon pc rame énormément. Je viens de changer d'antivirus avant j'avais antivir.
J'ai fait un hijackthis
voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:07, on 14/05/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17096)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\acer\LOCALS~1\Temp\Yc6.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
c:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\acer\huoapay.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [R8388QA8U8] C:\DOCUME~1\acer\LOCALS~1\Temp\Ycx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hsekihumevixi] rundll32.exe "C:\WINDOWS\svrfet2.dll",Startup
O4 - HKCU\..\Run: [NtWqIVLZEWZU] C:\DOCUME~1\acer\LOCALS~1\Temp\Ydp.exe
O4 - HKCU\..\Run: [5GUTNY6MFK] C:\WINDOWS\Yfowac.exe
O4 - HKCU\..\Run: [huoapay] C:\Documents and Settings\acer\huoapay.exe /G
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: AMService - Unknown owner - C:\WINDOWS\TEMP\vlfl\setup.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

25 réponses

  • 1
  • 2
Réponse 1 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 mai 2011 à 17:21
bonjour

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

2
Réponse 2 / 25
Dumè.C
14 mai 2011 à 17:24
Comme vous l'avez compris j'ai besoin d'aide, je suis perdu avec toutes les m....s que j'ai !!!
ci joints rapport antivirus:
14/05/2011 17:04:00 Filtre HTTP fichier http://download.uniblue.com/aff/rb/myadwise/B1/speedupmypc.exe Win32/SpeedUpMyPC application potentiellement indésirable connexion arrêtée - mis en quarantaine ACER-E3B0141A93\acer
14/05/2011 16:52:56 Protection en temps réel du système de fichiers fichier C:\WINDOWS\Yfowab.exe Win32/TrojanDownloader.FakeAlert.BGV cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit pendant une tentative d'accès au fichier par l'application : C:\WINDOWS\Explorer.EXE.
14/05/2011 16:48:54 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\u.exe Win32/Olmarik.AMN cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit pendant une tentative d'accès au fichier par l'application : C:\WINDOWS\Explorer.EXE.
14/05/2011 16:39:50 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\loahag.exe une variante de Win32/Olmarik.AUO cheval de troie supprimé ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\acer\noaaco.exe.
14/05/2011 16:37:08 Analyseur au démarrage fichier C:\DOCUME~1\acer\LOCALS~1\Temp\Ycx.exe Win32/TrojanDownloader.FakeAlert.BGV cheval de troie nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine
14/05/2011 16:37:07 Analyseur au démarrage fichier C:\WINDOWS\Yfowac.exe Win32/TrojanDownloader.FakeAlert.BGV cheval de troie nettoyé par suppression - mis en quarantaine
14/05/2011 16:29:00 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\u.exe une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\acer\loahag.exe.
14/05/2011 16:29:00 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\acer\LOCALS~1\Temp\7E.tmp une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un fichier modifié par l'application : C:\Documents and Settings\acer\u.exe.
14/05/2011 16:11:57 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\juazuv.exe une variante de Win32/Olmarik.AUO cheval de troie supprimé ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\goaqu.exe.
14/05/2011 16:03:05 Protection en temps réel du système de fichiers fichier C:\WINDOWS\TEMP\99.tmp Win32/Olmarik.ACQ cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\spoolsv.exe.
14/05/2011 16:03:04 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\acer\LOCALS~1\Temp\91.tmp une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un fichier modifié par l'application : C:\Documents and Settings\ACER\u.exe.
14/05/2011 16:03:04 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\acer\LOCALS~1\Temp\9A.tmp une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un fichier modifié par l'application : C:\Documents and Settings\ACER\u.exe.
14/05/2011 16:03:04 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\u.exe une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\juazuv.exe.
14/05/2011 09:34:39 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\heajm.exe une variante de Win32/Olmarik.AUO cheval de troie supprimé ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\weedeiz.exe.
14/05/2011 09:34:14 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\acer\LOCALS~1\Temp\B4.tmp une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un fichier modifié par l'application : C:\Documents and Settings\ACER\u.exe.
14/05/2011 09:34:14 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\acer\LOCALS~1\Temp\D1.tmp une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un fichier modifié par l'application : C:\Documents and Settings\ACER\u.exe.
14/05/2011 09:34:14 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\u.exe une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\heajm.exe.
14/05/2011 09:34:14 Protection en temps réel du système de fichiers fichier C:\WINDOWS\TEMP\D0.tmp Win32/Olmarik.ACQ cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\SPOOLSV.EXE.
13/05/2011 19:04:42 Protection en temps réel du système de fichiers fichier C:\WINDOWS\TEMP\8F.tmp Win32/Olmarik.ACQ cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\SPOOLSV.EXE.
13/05/2011 19:03:43 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\l.exe une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\ceepuy.exe.
13/05/2011 19:03:43 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\acer\LOCALS~1\Temp\90.tmp une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un fichier modifié par l'application : C:\Documents and Settings\ACER\l.exe.
13/05/2011 19:03:43 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\acer\LOCALS~1\Temp\89.tmp une variante de Win32/Olmarik.AUO cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un fichier modifié par l'application : C:\Documents and Settings\ACER\l.exe.
13/05/2011 19:02:43 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\ceepuy.exe une variante de Win32/Olmarik.AUO cheval de troie supprimé ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\deioju.exe.
13/05/2011 15:58:01 Analyseur au démarrage fichier C:\DOCUME~1\acer\LOCALS~1\Temp\Ydp.exe une variante de Win32/Kryptik.NRN cheval de troie nettoyé par suppression - mis en quarantaine
13/05/2011 15:53:53 Analyseur au démarrage fichier c:\windows\system32\sshnas21.dll une variante de Win32/Kryptik.NRZ cheval de troie nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine
13/05/2011 15:51:32 Analyseur au démarrage fichier C:\DOCUME~1\acer\LOCALS~1\Temp\Ydt.exe une variante de Win32/Kryptik.NRN cheval de troie nettoyé par suppression - mis en quarantaine
13/05/2011 15:50:51 Analyseur au démarrage fichier C:\DOCUME~1\acer\LOCALS~1\Temp\Ycx.exe une variante de Win32/Kryptik.NPE cheval de troie nettoyé par suppression - mis en quarantaine
13/05/2011 15:45:32 Analyseur au démarrage fichier C:\WINDOWS\system32\sshnas21.dll une variante de Win32/Kryptik.NRZ cheval de troie nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine
13/05/2011 15:45:20 Protection en temps réel du système de fichiers fichier C:\WINDOWS\Yfowac.exe Win32/TrojanDownloader.FakeAlert.BGV cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit pendant une tentative d'exécution du fichier par l'application : C:\WINDOWS\Yfowac.exe.

J'ai essayé de faire du ménage en changant d'Anti virus, mais il les bloquent mais ne les enlèvent pas.
Merci d'ance beaucoup à qui voudra bien m'aider!!!
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 mai 2011 à 17:25
https://forums.commentcamarche.net/forum/affich-22098269-plomber-par-des-chevals-de-troie#1
0
Dumè.C
14 mai 2011 à 17:56
Merci moment de grace de prendre un peu de temps pour mon ca. Le lien du rapport est le suivant: http://pjjoint.malekal.com/files.php?id=7e6716263581214
Et encore merci
0
Réponse 3 / 25
Toxic78 Messages postés 257 Date d'inscription vendredi 22 avril 2011 Statut Membre Dernière intervention 1 juin 2011 33
14 mai 2011 à 17:26
Meme sous Hijackthis on arrive à voir beaucoup d'infection.
0
Réponse 4 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 mai 2011 à 18:03
ok

plusieurs nuisibles...

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
Dumè.C
14 mai 2011 à 18:38
Et oui j'ai eu un soucis, une fois terminé l'ordi s'est auto rallumé ce qui fait que je n'est pu copier le message. J'ai refait l'opération et il resté un objet suspect et j'ai eu ce rapport là:C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine

Mais quand l'ordi c'est rallumé les mêmes messages anormaux de l'antivirus c'est allumé :
14/05/2011 18:24:29 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\v.exe Win32/TrojanDownloader.FakeAlert.BBT cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\vaorim.exe.
14/05/2011 18:24:29 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\u.exe Win32/Olmarik.AMN cheval de troie nettoyé par suppression - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\vaorim.exe.
14/05/2011 18:24:28 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\acer\vaorim.exe menaces multiples supprimé (après le prochain redémarrage) - mis en quarantaine ACER-E3B0141A93\acer Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Documents and Settings\ACER\huoapay.exe.
Au démarrage RUNDLL c'est encore afficher et microsoft office c'est relancer et demande le CD d'installation car il lui manquerait des infos.
Merci encore j'attends votre avis
0
Réponse 6 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 mai 2011 à 18:43
as tu le rapport du premier passage de tdsskiller ?


0
Réponse 7 / 25
Dumè.C
14 mai 2011 à 18:57
non justement mais il n'y avait pas de cheval de troie mais un rootkit
0
Réponse 8 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 mai 2011 à 19:04
mais un rootkit

c'était ce que j'attendais...on continue ainsi

1)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} Clé orpheline
O4 - HKCU\..\Run: [R8388QA8U8] . (...) -- C:\DOCUME~1\acer\LOCALS~1\Temp\Ycx.exe
O4 - HKCU\..\Run: [NtWqIVLZEWZU] C:\DOCUME~1\acer\LOCALS~1\Temp\Ydp.exe (.not file.)
O4 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\..\Run: [R8388QA8U8] . (...) -- C:\DOCUME~1\acer\LOCALS~1\Temp\Ycx.exe
O4 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\..\Run: [NtWqIVLZEWZU] C:\DOCUME~1\acer\LOCALS~1\Temp\Ydp.exe (.not file.)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[HKCU\Software\5GUTNY6MFK]
[HKCU\Software\EoRezo]
[HKCU\Software\ItsLabel]
[HKCU\Software\NtWqIVLZEWZU]
[HKCU\Software\R8388QA8U8]
[HKCU\Software\fcn]
[HKLM\Software\EoRezo]
O43 - CFD: 19/11/2006 - 13:27:10 - [0] ----D- C:\Program Files\DaemonTools_WhenUSave_Installer
O43 - CFD: 30/07/2008 - 22:16:04 - [22610] ----D- C:\Documents and Settings\acer\Application Data\EoRezo
O43 - CFD: 31/07/2008 - 11:45:12 - [216472] ----D- C:\Documents and Settings\acer\Application Data\ItsLabel
O44 - LFC:[MD5.B9998829582082E565872A67D69C13A7] - 13/05/2011 - 18:03:38 ---A- . (.Simon Tatham - Codec Setup.) -- C:\WINDOWS\System32\sshnas21.dll [196608]
O64 - Services: CurCS - C:\WINDOWS\TEMP\vlfl\setup.exe (.not file.) - AMService (AMService) .(...) - LEGACY_AMSERVICE
O69 - SBI: SearchScopes [HKCU] {B9503EDD-101D-4170-AFB3-9209EBE482F8} - (lo.st) - http://lo.st3336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&site=&x/...
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKCR\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}]
[HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}]
[HKCR\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a}]
[HKLM\Software\Classes\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a}]
[HKCR\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}]
[HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}]
[HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]
[HKCU\Software\eorezo]
[HKLM\Software\eorezo]
C:\Documents and Settings\acer\Application Data\EoRezo
C:\Documents and Settings\acer\Application Data\ItsLabel
SS - | Auto 21/06/2005 0 | (AMService) . (...) - C:\WINDOWS\TEMP\vlfl\setup.exe
[MD5.F8382AA67F64AC399113D1C6D3DD22B6] - (...) -- C:\DOCUME~1\acer\LOCALS~1\Temp\Yc6.exe [148992]
[MD5.3CE79BFE098FFA4C2A6F1E9859913FF6] - (...) -- C:\Documents and Settings\acer\huoapay.exe [274432]
R1 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = yahoo! search
O4 - HKCU\..\Run: [huoapay] . (...) -- C:\Documents and Settings\acer\huoapay.exe
O4 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\..\Run: [huoapay] . (...) -- C:\Documents and Settings\acer\huoapay.exe
O44 - LFC:[MD5.536489CD81EBA7AA8A48D4773FBD6C7F] - 10/05/2011 - 21:39:48 ---A- . (...) -- C:\WINDOWS\System32\xxjndrpp.dll [720384]


Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

* Une fois l'outil ZHPFix ouvert ,

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse



le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

_________________

2)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

__________

3)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

0
Réponse 9 / 25
Dumè.C
14 mai 2011 à 19:25
Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-14-05-2011-19-16-43.txt
Run by acer at 14/05/2011 19:16:43
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
C:\DOCUME~1\acer\LOCALS~1\Temp\Yc6.exe [148992] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} Clé orpheline => Clé supprimée avec succès
HKCU\Software\5GUTNY6MFK => Clé supprimée avec succès
HKCU\Software\EoRezo => Clé supprimée avec succès
HKCU\Software\ItsLabel => Clé supprimée avec succès
HKCU\Software\NtWqIVLZEWZU => Clé supprimée avec succès
HKCU\Software\R8388QA8U8 => Clé supprimée avec succès
HKCU\Software\fcn => Clé supprimée avec succès
HKLM\Software\EoRezo => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\TEMP\vlfl\setup.exe (.not file.) - AMService (AMService) .(...) - LEGACY_AMSERVICE => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {B9503EDD-101D-4170-AFB3-9209EBE482F8} - (lo.st) - http://lo.st3336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&site=&x/... => Clé supprimée avec succès
HKCR\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3} => Clé supprimée avec succès
HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3} => Clé absente
HKCR\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a} => Clé supprimée avec succès
HKLM\Software\Classes\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a} => Clé absente
HKCR\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F} => Clé supprimée avec succès
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F} => Clé absente
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS => Clé supprimée avec succès
SS - | Auto 21/06/2005 0 | (AMService) . (...) - C:\WINDOWS\TEMP\vlfl\setup.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [R8388QA8U8] . (...) -- C:\DOCUME~1\acer\LOCALS~1\Temp\Ycx.exe => Valeur absente
O4 - HKCU\..\Run: [NtWqIVLZEWZU] C:\DOCUME~1\acer\LOCALS~1\Temp\Ydp.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\..\Run: [R8388QA8U8] . (...) -- C:\DOCUME~1\acer\LOCALS~1\Temp\Ycx.exe => Valeur absente
O4 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\..\Run: [NtWqIVLZEWZU] C:\DOCUME~1\acer\LOCALS~1\Temp\Ydp.exe (.not file.) => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O4 - HKCU\..\Run: [huoapay] . (...) -- C:\Documents and Settings\acer\huoapay.exe => Valeur absente
O4 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\..\Run: [huoapay] . (...) -- C:\Documents and Settings\acer\huoapay.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
R1 - HKUS\S-1-5-21-3837367955-2598043001-2306919307-1006\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = yahoo! search => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\DaemonTools_WhenUSave_Installer => Supprimé et mis en quarantaine
C:\Documents and Settings\acer\Application Data\EoRezo => Supprimé et mis en quarantaine
C:\Documents and Settings\acer\Application Data\ItsLabel => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\docume~1\acer\locals~1\temp\ycx.exe => Fichier absent
c:\docume~1\acer\locals~1\temp\ydp.exe => Fichier absent
c:\windows\tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job => Supprimé et mis en quarantaine
c:\windows\system32\sshnas21.dll => Supprimé et mis en quarantaine
c:\documents and settings\acer\application data\eorezo => Fichier absent
c:\documents and settings\acer\application data\itslabel => Fichier absent
c:\windows\temp\vlfl\setup.exe => Fichier absent
c:\documents and settings\acer\huoapay.exe => Fichier absent
c:\windows\system32\xxjndrpp.dll => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
18 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
3 : Dossier(s)
9 : Fichier(s)


End of the scan
0
Réponse 10 / 25
Dumè.C
14 mai 2011 à 19:50
2ème rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:26:23 le 14/05/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
acer@ACER-E3B0141A93 ( )

============== ACTION(S) ==============


Dossier supprimé: C:\WINDOWS\$XNTUninstall643$

(!) -- Fichiers temporaires supprimés.
0
Réponse 11 / 25
Dumè.C
14 mai 2011 à 20:15
3/Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6579

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14/05/2011 20:02:36
mbam-log-2011-05-14 (20-02-36).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 154824
Temps écoulé: 4 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
c:\documents and settings\acer\sekil.exe (Heuristics.Shuriken) -> 1380 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6FD31ED6-7C94-4bbc-8E95-F927F4D3A949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sekil (Heuristics.Shuriken) -> Value: sekil -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5GUTNY6MFK (Trojan.FakeAlert.SA) -> Value: 5GUTNY6MFK -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\acer\sekil.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tftp.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\acer\local settings\Temp\Yc0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\acer\local settings\Temp\Yc1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\acer\local settings\Temp\Yc2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\acer\local settings\Temp\Yc7.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\acer\local settings\Temp\Yc8.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\acer\local settings\Temp\Yc9.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\acer\local settings\Temp\Yda.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\riqx\setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\photo album.zip (Backdoor.Bot) -> Quarantined and deleted successfully.
0
Réponse 12 / 25
Dumè.C
14 mai 2011 à 20:20
Au redémarrage (et oui l'ordi s'est éteint!!) l'affichage RUNDLL s'est de nouveau afficher mais l'autre fenêtre.
Merci encore. Que dois je faire maintenant, pareil sur mon autre ordi ou il faut continué?
Merci aussi pour votre ponctualité!
0
Réponse 13 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 mai 2011 à 20:33
on continue sur celui ci

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
0
Réponse 14 / 25
Dumè.C
14 mai 2011 à 21:38
Voilà: http://pjjoint.malekal.com/files.php?id=04c20a428f8145
0
Réponse 15 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
15 mai 2011 à 04:21
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs que tu renommes DUME.exe avant de l'enregistrer sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

(clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer )

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 16 / 25
Dumè
15 mai 2011 à 12:24
rapport scan de combofix:
ComboFix 11-05-14.01 - acer 15/05/2011 11:27:34.2.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.201 [GMT 2:00]
Lancé depuis: c:\documents and settings\acer\Bureau\DUME.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\acer\Application Data\Adobe\plugs
c:\documents and settings\acer\Application Data\Adobe\shed
c:\documents and settings\acer\Application Data\Adobe\shed\thr1.chm
c:\documents and settings\acer\Application Data\Local
c:\documents and settings\acer\Application Data\Local\Temp\DDM\Settings\1.ddi
c:\documents and settings\acer\Application Data\Local\Temp\DDM\Settings\154320051281473_20074.mp4.ddr
c:\documents and settings\acer\Application Data\Local\Temp\DDM\Settings\settings.ddi
c:\documents and settings\acer\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\154320051281473_20074.mp4
c:\documents and settings\acer\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\1566346319613_31332.mp4.ddp
c:\documents and settings\acer\tFqAboh4a1vmN9www3.exe
c:\tdsskiller\tdsskiller.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-15 au 2011-05-15 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-14 17:49 . 2011-05-14 17:49 -------- d-----w- c:\documents and settings\acer\Application Data\Malwarebytes
2011-05-14 17:49 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-14 17:49 . 2011-05-14 17:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-14 17:49 . 2011-05-14 17:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-14 17:49 . 2010-11-29 15:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-14 17:26 . 2011-05-14 17:26 -------- d-----w- c:\program files\Ad-Remover
2011-05-14 16:27 . 2011-05-14 16:27 -------- d-----w- C:\TDSSKiller_Quarantine
2011-05-14 16:18 . 2011-05-14 16:18 -------- d-----w- C:\tdsskiller
2011-05-14 15:43 . 2011-05-14 15:43 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-14 15:31 . 2011-05-14 15:31 -------- d-----w- c:\program files\ZHPDiag
2011-05-14 14:25 . 2011-05-14 14:25 -------- d-----w- C:\FOUND.000
2011-05-13 13:45 . 2011-05-13 13:45 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2011-05-13 13:44 . 2011-05-13 13:44 -------- d-----w- c:\documents and settings\acer\Local Settings\Application Data\ESET
2011-05-13 12:50 . 2011-05-13 12:50 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2011-05-13 08:37 . 2011-05-13 08:37 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-12 15:56 . 2011-05-12 15:56 -------- d-----w- c:\program files\ESET
2011-05-12 15:31 . 2011-05-12 15:31 -------- d-----w- C:\spoolerlogs
2011-05-12 11:47 . 2011-05-12 11:47 -------- d-----w- c:\documents and settings\acer\Application Data\QuickScan
2011-04-30 11:45 . 2011-04-14 16:47 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-04-30 11:45 . 2011-04-14 16:47 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-04-30 11:45 . 2011-04-14 16:47 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-04-30 11:45 . 2011-04-14 16:47 465880 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-04-30 11:45 . 2011-04-14 16:47 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-04-30 11:45 . 2011-04-14 16:47 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-04-30 11:45 . 2010-01-01 08:00 1974616 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-04-30 11:45 . 2010-01-01 08:00 1892184 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 18:29 . 2011-03-07 18:29 45056 ----a-w- c:\windows\NCUNINST.EXE
2011-03-07 05:33 . 2005-06-23 21:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 1979-12-31 22:00 434176 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 1979-12-31 22:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-17 18:56 . 1979-12-31 22:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-02-17 18:56 . 1979-12-31 22:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 1979-12-31 22:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-02-17 18:56 . 1979-12-31 22:00 17408 ----a-w- c:\windows\system32\corpol.dll
2011-02-17 13:18 . 1979-12-31 22:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 1979-12-31 22:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 1979-12-31 22:00 389120 ----a-w- c:\windows\system32\html.iec
2011-02-15 12:56 . 1979-12-31 22:00 290432 ----a-w- c:\windows\system32\atmfd.dll
2006-09-05 17:14 . 2006-09-05 17:13 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2006-08-15 09:51 . 2006-08-15 09:51 966656 ----a-w- c:\program files\psa30se_fr_fr.exe
2011-04-14 16:47 . 2011-04-30 11:45 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"StatusClient"="c:\program files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="c:\program files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2011-01-12 2219184]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AspireService]
2005-06-21 13:39 110592 ----a-w- c:\program files\acer\Acer eMode Management\AspireService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:34 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2006-09-14 19:09 157592 ----a-w- c:\program files\DAEMON Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivX Download Manager]
2010-12-08 20:15 63360 ----a-w- c:\program files\DivX\DivX Plus Web Player\DDMService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 21:10 1230704 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]
2007-02-25 23:01 437160 ----a-w- c:\progra~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\e-TF1]
2007-07-24 10:16 345600 ----a-w- c:\program files\TF1Vision\TF1vision.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX3800 Series]
2005-02-08 04:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIACE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2004-08-05 03:00 208952 ----a-w- c:\windows\ime\imjp8_1\imjpmig.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
2005-06-21 13:28 425984 ----a-w- c:\program files\acer\Acer eConsole\MediaSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
2004-08-05 03:00 59392 ----a-w- c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
2005-05-11 16:15 45056 ----a-w- c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-10-16 10:05 13851752 ----a-w- c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-10-16 10:05 110696 ----a-w- c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
2004-10-07 15:53 131072 ----a-w- c:\program files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2010-08-25 22:12 1753192 ----a-w- c:\program files\NVIDIA Corporation\nView\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]
2008-11-20 16:15 107248 ----a-w- c:\program files\Orange HSS\SessionManager\SessionManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-05 03:00 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-05 03:00 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-07-14 23:07 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Microsoft Games\\Midtown Madness 2\\MIDTOWN2.ICD"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Games\\Motocross Madness 2\\MCM2.ICD"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Fichiers communs\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"=
"c:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Documents and Settings\\ACER\\Bureau\\logiciel&setup\\utorrent-1.7-rc5.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
.
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [01/01/1980 16640]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/11/2006 13:20 611064]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [21/12/2010 15:04 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21/12/2010 13:47 94872]
R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [13/06/2007 13:48 226936]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [12/01/2011 16:41 810144]
R3 DFE528TX;D-Link DFE-528TX PCI Adapter;c:\windows\system32\drivers\DLKRTL.SYS [25/01/2010 20:38 45568]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [10/09/2006 11:25 63555]
S3 CE-5330Usb;CE-5330 Digital Camera on USB;c:\windows\system32\drivers\CoachUsb.sys [18/12/2006 18:31 46944]
S3 CE-5330Vc;CE-5330 Video Capture;c:\windows\system32\drivers\CoachVc.sys [18/12/2006 18:31 44256]
S3 DMSKSSRh;DMSKSSRh;\??\c:\docume~1\acer\LOCALS~1\Temp\DMSKSSRh.sys --> c:\docume~1\acer\LOCALS~1\Temp\DMSKSSRh.sys [?]
S3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [10/09/2006 11:25 114616]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/06/2008 15:24 576680]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
@
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-12 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2007-05-07 13:31]
.
2011-05-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\acer\Application Data\Mozilla\Firefox\Profiles\3pc8ix9m.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Hsekihumevixi - c:\windows\svrfet2.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-15 11:36
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(848)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2596)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\NewTech Infosystems\NTI Photo Suite\NTI PhotoMaker\share\pihook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\acer\Acer eConsole\MediaServerService.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2011-05-15 11:39:57 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-15 09:39
ComboFix2.txt 2008-08-15 12:15
.
Avant-CF: 83 340 132 352 octets libres
Après-CF: 83 508 461 568 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
Current=6 Default=6 Failed=1 LastKnownGood=3 Sets=1,2,3,4,5,6
- - End Of File - - A16CBBE110DD5318269D57AF6AAD89D3
0
Réponse 17 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
15 mai 2011 à 16:00
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::

Driver::
DMSKSSRh

File::
c:\docume~1\acer\LOCALS~1\Temp\DMSKSSRh.sys



* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
0
Réponse 18 / 25
Dumè
15 mai 2011 à 17:24
post du scan:
ComboFix 11-05-14.01 - acer 15/05/2011 16:54:52.4.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.188 [GMT 2:00]
Lancé depuis: c:\documents and settings\acer\Bureau\DUME.exe
Commutateurs utilisés :: c:\documents and settings\acer\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
FILE ::
"c:\docume~1\acer\LOCALS~1\Temp\DMSKSSRh.sys"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_DMSKSSRH
-------\Service_DMSKSSRh
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-15 au 2011-05-15 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-14 17:49 . 2011-05-14 17:49 -------- d-----w- c:\documents and settings\acer\Application Data\Malwarebytes
2011-05-14 17:49 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-14 17:49 . 2011-05-14 17:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-14 17:49 . 2011-05-14 17:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-14 17:49 . 2010-11-29 15:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-14 17:26 . 2011-05-14 17:26 -------- d-----w- c:\program files\Ad-Remover
2011-05-14 16:27 . 2011-05-14 16:27 -------- d-----w- C:\TDSSKiller_Quarantine
2011-05-14 16:18 . 2011-05-14 16:18 -------- d-----w- C:\tdsskiller
2011-05-14 15:43 . 2011-05-14 15:43 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-14 15:31 . 2011-05-14 15:31 -------- d-----w- c:\program files\ZHPDiag
2011-05-14 14:25 . 2011-05-14 14:25 -------- d-----w- C:\FOUND.000
2011-05-13 13:45 . 2011-05-13 13:45 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2011-05-13 13:44 . 2011-05-13 13:44 -------- d-----w- c:\documents and settings\acer\Local Settings\Application Data\ESET
2011-05-13 12:50 . 2011-05-13 12:50 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2011-05-13 08:37 . 2011-05-13 08:37 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-12 15:56 . 2011-05-12 15:56 -------- d-----w- c:\program files\ESET
2011-05-12 15:31 . 2011-05-12 15:31 -------- d-----w- C:\spoolerlogs
2011-05-12 11:47 . 2011-05-12 11:47 -------- d-----w- c:\documents and settings\acer\Application Data\QuickScan
2011-04-30 11:45 . 2011-04-14 16:47 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-04-30 11:45 . 2011-04-14 16:47 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-04-30 11:45 . 2011-04-14 16:47 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-04-30 11:45 . 2011-04-14 16:47 465880 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-04-30 11:45 . 2011-04-14 16:47 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-04-30 11:45 . 2011-04-14 16:47 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-04-30 11:45 . 2010-01-01 08:00 1974616 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-04-30 11:45 . 2010-01-01 08:00 1892184 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 18:29 . 2011-03-07 18:29 45056 ----a-w- c:\windows\NCUNINST.EXE
2011-03-07 05:33 . 2005-06-23 21:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 1979-12-31 22:00 434176 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 1979-12-31 22:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-17 18:56 . 1979-12-31 22:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-02-17 18:56 . 1979-12-31 22:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 1979-12-31 22:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-02-17 18:56 . 1979-12-31 22:00 17408 ----a-w- c:\windows\system32\corpol.dll
2011-02-17 13:18 . 1979-12-31 22:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 1979-12-31 22:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 1979-12-31 22:00 389120 ----a-w- c:\windows\system32\html.iec
2011-02-15 12:56 . 1979-12-31 22:00 290432 ----a-w- c:\windows\system32\atmfd.dll
2006-09-05 17:14 . 2006-09-05 17:13 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2006-08-15 09:51 . 2006-08-15 09:51 966656 ----a-w- c:\program files\psa30se_fr_fr.exe
2011-04-14 16:47 . 2011-04-30 11:45 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-15_09.36.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-05-15 15:02 . 2011-05-15 15:02 16384 c:\windows\temp\Perflib_Perfdata_360.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"StatusClient"="c:\program files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="c:\program files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2011-01-12 2219184]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AspireService]
2005-06-21 13:39 110592 ----a-w- c:\program files\acer\Acer eMode Management\AspireService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:34 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2006-09-14 19:09 157592 ----a-w- c:\program files\DAEMON Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivX Download Manager]
2010-12-08 20:15 63360 ----a-w- c:\program files\DivX\DivX Plus Web Player\DDMService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 21:10 1230704 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]
2007-02-25 23:01 437160 ----a-w- c:\progra~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\e-TF1]
2007-07-24 10:16 345600 ----a-w- c:\program files\TF1Vision\TF1vision.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX3800 Series]
2005-02-08 04:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIACE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2004-08-05 03:00 208952 ----a-w- c:\windows\ime\imjp8_1\imjpmig.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
2005-06-21 13:28 425984 ----a-w- c:\program files\acer\Acer eConsole\MediaSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
2004-08-05 03:00 59392 ----a-w- c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
2005-05-11 16:15 45056 ----a-w- c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-10-16 10:05 13851752 ----a-w- c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-10-16 10:05 110696 ----a-w- c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
2004-10-07 15:53 131072 ----a-w- c:\program files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2010-08-25 22:12 1753192 ----a-w- c:\program files\NVIDIA Corporation\nView\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]
2008-11-20 16:15 107248 ----a-w- c:\program files\Orange HSS\SessionManager\SessionManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-05 03:00 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-05 03:00 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-07-14 23:07 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Microsoft Games\\Midtown Madness 2\\MIDTOWN2.ICD"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Games\\Motocross Madness 2\\MCM2.ICD"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Fichiers communs\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"=
"c:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Documents and Settings\\ACER\\Bureau\\logiciel&setup\\utorrent-1.7-rc5.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
.
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [01/01/1980 16640]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/11/2006 13:20 611064]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [21/12/2010 15:04 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21/12/2010 13:47 94872]
R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [13/06/2007 13:48 226936]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [12/01/2011 16:41 810144]
R3 DFE528TX;D-Link DFE-528TX PCI Adapter;c:\windows\system32\drivers\DLKRTL.SYS [25/01/2010 20:38 45568]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [10/09/2006 11:25 63555]
S3 CE-5330Usb;CE-5330 Digital Camera on USB;c:\windows\system32\drivers\CoachUsb.sys [18/12/2006 18:31 46944]
S3 CE-5330Vc;CE-5330 Video Capture;c:\windows\system32\drivers\CoachVc.sys [18/12/2006 18:31 44256]
S3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [10/09/2006 11:25 114616]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/06/2008 15:24 576680]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
@
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-12 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2007-05-07 13:31]
.
2011-05-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\acer\Application Data\Mozilla\Firefox\Profiles\3pc8ix9m.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-15 17:03
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(848)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3308)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\NewTech Infosystems\NTI Photo Suite\NTI PhotoMaker\share\pihook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\acer\Acer eConsole\MediaServerService.exe
c:\program files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2011-05-15 17:06:23 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-15 15:06
ComboFix2.txt 2011-05-15 14:44
ComboFix3.txt 2011-05-15 09:39
ComboFix4.txt 2008-08-15 12:15
.
Avant-CF: 83 368 542 208 octets libres
Après-CF: 83 342 524 416 octets libres
.
Current=6 Default=6 Failed=1 LastKnownGood=3 Sets=1,2,3,4,5,6
- - End Of File - - E29127900141A17E4A585ED235CE0A40
0
Réponse 19 / 25
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
15 mai 2011 à 17:27
ok

au redemarrage as tu toujours ceci https://forums.commentcamarche.net/forum/affich-22098269-plomber-par-des-chevals-de-troie#14 ?

si oui quel est le msg exact stp ?
0
Réponse 20 / 25
Dumè.C
Modifié par Dumè.C le 15/05/2011 à 17:41
Super! trop fort! plus de message! On a fini de nettoyé ma machine? si oui je ne voudrais pas abusé, mais j'ai un autre ordi où l'on échange des fichiers par clef USB, risque t'il d'être infecté? si Oui pouvez vous m'aidez en partie (je reprend le sujet ...)
Encore merci de nous aider. Vous êtes trop TOP!
0
Dumè.C
15 mai 2011 à 17:43
Aussi faut-il désinstaller les logiciels que l'on téléchargé?
0

Discussions similaires

L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses
Cheval de Troie et ordi bloqué!!!
Bouillouck -
Speed-Air -

3 réponses
J'ai recu un message cheval de troie
am -
DeNisCoOl -

1 réponse