/dos Alureon.a Résolu/Fermé

Question

Bonjour, 

Alors mon problème est le suivant , depuis quelques jours mon pc (portable) ramais excessivement j'ai donc chercher a faire une analyse via microsoft security essential et je m'aperçois de la présence de cette chose ignoble :d
dans l'historique je vois donc le nom Trojan:dos/alureon.a niveau d'alerte grave mais il n'arrive ni a le mettre en quarantaine ni a le supprimer.
J'ai de suite fait une recherche dessus et ça a l'air assez méchant donc je préfère demandé conseil .
de plus je souhaitais savoir comment le localisé  merci d'avance

rose.
Configuration: Windows XP / Firefox 3.0.19

moment de grace · Answer

bonjour

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau 

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe 

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip), 
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

Rose · Answer

Alors le rapport le voilou : 

C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
\HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
\HardDisk0 - ok

Merci c'était très rapide :)

moment de grace · Answer

ok

apres redemarrage
Télécharge ZHPDiag ( de Nicolas coolman ).   
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html   

  
(outil de diagnostic)  

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )  
   
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )   

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.   

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.   

Rend toi sur http://pjjoint.malekal.com/  

Clique sur "Parcourir "   

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau   

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

Rose · Answer

Au moment de sauvegardé je reçois le message suivant : impossible de trouver mes documents....vérifier le chemin d'accès , puis 
C/document  and settings/geo/bureau n'est pas accessible.accès refusé.
ca m'ouvre quand même une fenêtre "enregistré sous" mais je ne peux choisir aucune destination acces refusé.

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs que tu renommes ROSE.exe avant de l'enregistrer sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets  internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Rose · Answer

petit soucis  pour stopper  microsoft security essentials je ne sais pas du tout comment procéder.

Rose · Answer

désolé je crois que ça doit être bon je finis la procédure pour combofix  et je viens au rapport :)

Rose · Answer

je n'arrive pas a poster le rapport je lis en rouge le message Titre du message non renseigné

moment de grace · Answer

inscris toi sur CCM et ca passera

Rosa95 · Answer

ComboFix 11-05-19.01 - Geo 20/05/2011  19:41:39.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.41.1036.18.1013.419 [GMT 2:00]
Lancé depuis: c:\documents and settings\Geo\Bureau\geo.exe
AV: Lavasoft Ad-Watch Live! Antivirus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Geo\Application Data\AD28D22BD10C40CE4EB2B824809367AB
c:\documents and settings\Geo\Application Data\AD28D22BD10C40CE4EB2B824809367AB\enemies-names.txt
c:\documents and settings\Geo\Application Data\AD28D22BD10C40CE4EB2B824809367AB\local.ini
c:\documents and settings\Geo\Application Data\Adobe\plugs
c:\documents and settings\Geo\Application Data\Adobe\shed
c:\documents and settings\Geo\Local Settings\Application Data\DoubleD
c:\documents and settings\Geo\Local Settings\Application Data\gfibbadb.dat
c:\documents and settings\Geo\Local Settings\Application Data\gfibbadb_nav.dat
c:\documents and settings\Geo\Local Settings\Application Data\gfibbadb_navps.dat
c:\documents and settings\Geo\WINDOWS
c:\documents and settings\NetworkService\Local Settings\Application Data\uximert.dll
c:	dsskiller	dsskiller.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BOONTY_GAMES
-------\Legacy_SSHNAS
-------\Service_Boonty Games
-------\Service_SSHNAS
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-20 au 2011-05-20  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-20 16:21 . 2011-05-20 16:22	--------	d-----w-	c:\program files\ZHPDiag
2011-05-20 16:13 . 2011-05-20 16:13	--------	d-----w-	C:\TDSSKiller_Quarantine
2011-05-20 16:11 . 2011-05-20 17:53	--------	d-----w-	C:	dsskiller
2011-05-20 15:25 . 2011-05-20 15:25	47073	----a-w-	c:\program files\Mozilla Firefox\0.3968822037076293.exe
2011-05-18 17:14 . 2011-05-18 17:14	28752	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{B51B2630-0B26-4DDE-B056-8B8F9599E140}\MpKsle58baa93.sys
2011-05-17 15:01 . 2011-05-17 11:59	16432	----a-w-	c:\windows\system32\lsdelete.exe
2011-05-17 13:36 . 2011-05-17 13:37	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2011-05-17 11:54 . 2011-04-29 10:12	64512	----a-w-	c:\windows\system32\drivers\Lbd.sys
2011-05-16 23:29 . 2011-05-16 23:35	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-16 11:04 . 2011-04-11 07:04	7071056	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{B51B2630-0B26-4DDE-B056-8B8F9599E140}\mpengine.dll
2011-05-01 14:59 . 2011-05-01 14:59	--------	d-----w-	c:\program files\Nouveau dossier
2011-05-01 14:56 . 1996-11-05 14:13	299008	----a-w-	c:\windows\uninst.exe
2011-04-24 23:40 . 2011-04-24 23:40	--------	d-----w-	c:\documents and settings\Geo\Application Data\MumboJumbo
2011-04-24 23:40 . 2011-04-24 23:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\MumboJumbo
2011-04-23 22:19 . 2011-04-23 22:19	--------	d-----w-	C:\found.000
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-19 23:16 . 2008-05-28 13:57	26624	----a-w-	c:\windows\system32\userinit.exe
2011-05-17 12:00 . 2009-10-31 21:33	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-04-11 07:04 . 2010-06-23 17:02	7071056	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-04-01 22:13 . 2010-09-20 19:01	131584	----a-w-	c:\windows\system32\SpoonUninstall.exe
2011-03-07 05:33 . 2008-05-28 05:17	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2008-05-28 13:57	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2008-05-28 13:57	1858048	----a-w-	c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]
.
[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-05-29 1085440]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-07 149280]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-09-15 1094224]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2010-03-23 618496]
"3180 Scan2PC"="c:\windows\Twain_32\Samsung\CLX3180\Scan2pc.exe" [2010-05-10 1989120]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10e.exe" [2010-01-27 256280]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\Orange\IEWInternet\Connectivity\ConnectivityManager.exe"=
"c:\WINDOWS\system32\fxsclnt.exe"=
"c:\Program Files\NetMeeting\Conf.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\WINDOWS\twain_32\Samsung\ScanMgr.exe"=
"c:\WINDOWS\twain_32\Samsung\CLX3180\Scan2Pc.exe"=
"c:\WINDOWS\twain_32\Samsung\CLX3180\Sscan2io.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"1902:TCP"= 1902:TCP:@xpsp2res.dll,-22009
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [17/05/2011 13:54 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21/04/2010 18:07 691696]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R2 Samsung Network Fax Server;Samsung Network Fax Server;c:\windows\system32\spool\drivers\w32x86\3\NetFaxServer.exe [29/08/2010 17:11 165888]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\driverst2860.sys [28/05/2008 08:29 572416]
S2 AMService;AMService;c:\windows\TEMP	ikk\setup.exe run --> c:\windows\TEMP	ikk\setup.exe run [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [22/09/2010 21:49 135664]
S2 ruvdukxf;Synaptics TouchPad Monitor;c:\windows\System32\svchost.exe -k netsvcs [28/05/2008 15:57 14336]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [22/09/2010 21:49 135664]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [29/04/2011 12:11 2151128]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [29/04/2011 12:11 15232]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ruvdukxf
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-20 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-29 09:11]
.
2011-05-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-22 19:49]
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-22 19:49]
.
2011-05-20 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.orange.fr
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
FF - ProfilePath - c:\documents and settings\Geo\Application Data\Mozilla\Firefox\Profiles\axz9r0di.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\documents and settings\All Users\Application Data\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DAEMON Tools Toolbar: DTToolbar@toolbarnet.com - %profile%\extensions\DTToolbar@toolbarnet.com
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - user.js: general.useragent.extra.ludi - LUDI2
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{57D25FB1-C48B-CAF8-036E-E266FC65F2A0} - c:\windows\system32\ikzefrfi.dll
HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKCU-Run-Pkopagedeyox - c:\windows\cscapon.dll
HKCU-Run-sokdrt700.exe - c:\documents and settings\Geo\Application Data\AD28D22BD10C40CE4EB2B824809367AB\sokdrt700.exe
HKLM-Run-updtr.exe - c:\windows\system32\updtr.exe
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
AddRemove-Dungeon Keeper II - c:\program files\Bullfrog\Dungeon Keeper 2\Uninst.isu
AddRemove-HijackThis - c:\docume~1\Geo\LOCALS~1\Temp\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-20 20:01
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3384)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-05-20  20:07:48 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-05-20 18:07
.
Avant-CF: 114 770 587 648 octets libres
Après-CF: 115 164 602 368 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 555EA864B83ED500CFC0DF34880A31A7

Rosa95 · Answer

Je vais mangé un bout  je repasse d'ici peu si jamais il reste des étape a suivre 
merci infiniment en tout cas c'est super sympa de prendre du temps pour m'aider
je m'en serais jamais sortie toute seule.

gen-hackman · Answer

c'est marrant un rootkit planqué dans le pad du portable ^^

ruvdukxf;Synaptics TouchPad Monitor;c:\windows\System32\svchost.exe -k netsvcs

Rosa95 · Answer

Petite questions au sujet d'antivirus , j'utilise microsoft security essentials et ad-aware ,cela peut-il poser problème?

gen-hackman · Answer

tu vois ou tu fais glisser ton doigt sur le pad du pc pour faire bouger la souris ? ben y'a un rootkit planqué dessous ^^

tape pas trop fort ^^

Rosa95 · Answer

je viens d'allé m'instruire sur wiki , ça fait peur , j'espère que je viendrais a bout de  ce parasite ^^

gen-hackman · Answer

je vais t'aider à continuer

mais tout d'abord j'ai besoin d'un de tes virus pour l'étudier

mets toi sur ce fichier :

c:\program files\Mozilla Firefox\0.3968822037076293.exe      

clic droit , envoyer vers , dossiers compresses puis fais le parvenir via cijoint.fr en donnant le lien recu

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: c:\program files\Mozilla Firefox\0.3968822037076293.exe Folder:: c:\windows\TEMP ikk Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"=- "LanguageShortcut"=- "ControlCenter3"=- "SunJavaUpdateSched"=- "3180 Scan2PC"=- "Adobe Reader Speed Launcher"=- [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"=- "1902:TCP"=- Driver:: AMService ruvdukxf NetSvc:: ruvdukxf MBR:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Rosa95 · Answer

J'en suis a l'étape du glisser/déposer  j'ai pas saisi la nuance :)
le fichier combofix c'est  le log.txt?(rapport combofix) ou tu parle du combofix.exe?

Rosa95 · Answer

voila le rapport 
j'ai saisi la nuance du glisser/déposé :p

ComboFix 11-05-19.01 - Geo 20/05/2011  22:25:15.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.41.1036.18.1013.355 [GMT 2:00]
Lancé depuis: c:\documents and settings\Geo\Bureau\geo.exe
Commutateurs utilisés :: c:\documents and settings\Geo\Bureau\CFScript.txt
AV: Lavasoft Ad-Watch Live! Antivirus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
FILE ::
"c:\program files\Mozilla Firefox\0.3968822037076293.exe"
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Mozilla Firefox\0.3968822037076293.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Legacy_RUVDUKXF
-------\Service_AMService
-------\Service_ruvdukxf
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-20 au 2011-05-20  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-20 18:49 . 2011-05-20 18:49	28752	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{673AC0F0-D32B-4810-ACBC-D445245C67B0}\MpKslbfbd0841.sys
2011-05-20 18:47 . 2011-05-09 11:46	6962000	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{673AC0F0-D32B-4810-ACBC-D445245C67B0}\mpengine.dll
2011-05-20 18:25 . 2011-05-20 18:25	--------	d-----w-	c:\windows\Temp14199D91-7CE8-7134-0486-A0865750E6DB-Signatures
2011-05-20 18:24 . 2011-05-20 18:31	--------	d-----w-	c:\program files\Microsoft Security Client
2011-05-20 16:21 . 2011-05-20 16:22	--------	d-----w-	c:\program files\ZHPDiag
2011-05-20 16:13 . 2011-05-20 16:13	--------	d-----w-	C:\TDSSKiller_Quarantine
2011-05-20 16:11 . 2011-05-20 17:53	--------	d-----w-	C:	dsskiller
2011-05-17 15:01 . 2011-05-17 11:59	16432	----a-w-	c:\windows\system32\lsdelete.exe
2011-05-17 13:36 . 2011-05-17 13:37	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2011-05-17 11:54 . 2011-04-29 10:12	64512	----a-w-	c:\windows\system32\drivers\Lbd.sys
2011-05-16 23:29 . 2011-05-16 23:35	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-01 14:59 . 2011-05-01 14:59	--------	d-----w-	c:\program files\Nouveau dossier
2011-05-01 14:56 . 1996-11-05 14:13	299008	----a-w-	c:\windows\uninst.exe
2011-04-24 23:40 . 2011-04-24 23:40	--------	d-----w-	c:\documents and settings\Geo\Application Data\MumboJumbo
2011-04-24 23:40 . 2011-04-24 23:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\MumboJumbo
2011-04-23 22:19 . 2011-04-23 22:19	--------	d-----w-	C:\found.000
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-19 23:16 . 2008-05-28 13:57	26624	----a-w-	c:\windows\system32\userinit.exe
2011-05-17 12:00 . 2009-10-31 21:33	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-04-01 22:13 . 2010-09-20 19:01	131584	----a-w-	c:\windows\system32\SpoonUninstall.exe
2011-03-07 05:33 . 2008-05-28 05:17	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2008-05-28 13:57	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2008-05-28 13:57	1858048	----a-w-	c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-05-20_18.01.54   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-05-20 20:33 . 2011-05-20 20:33	16384              c:\windows	emp\Perflib_Perfdata_720.dat
+ 2011-05-20 18:30 . 2011-05-20 18:30	47616              c:\windows\Installer\16528e.msi
+ 2011-05-20 18:25 . 2011-05-20 18:25	27648              c:\windows\Installer\165267.msi
+ 2009-12-02 13:23 . 2010-10-24 19:25	165264              c:\windows\system32\drivers\MpFilter.sys
+ 2011-05-20 18:28 . 2011-05-20 18:28	786432              c:\windows\Installer\165285.msi
+ 2011-05-20 18:25 . 2011-05-20 18:25	479744              c:\windows\Installer\165247.msi
+ 2011-05-20 18:24 . 2011-05-20 18:24	301056              c:\windows\Installer\165241.msi
+ 2011-05-20 18:25 . 2011-04-11 07:04	7071056              c:\windows\Temp14199D91-7CE8-7134-0486-A0865750E6DB-Signatures\mpengine.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]
.
[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-05-29 1085440]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2010-03-23 618496]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10e.exe" [2010-01-27 256280]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\Orange\IEWInternet\Connectivity\ConnectivityManager.exe"=
"c:\WINDOWS\system32\fxsclnt.exe"=
"c:\Program Files\NetMeeting\Conf.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\WINDOWS\twain_32\Samsung\ScanMgr.exe"=
"c:\WINDOWS\twain_32\Samsung\CLX3180\Scan2Pc.exe"=
"c:\WINDOWS\twain_32\Samsung\CLX3180\Sscan2io.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [17/05/2011 13:54 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21/04/2010 18:07 691696]
R1 MpKslbfbd0841;MpKslbfbd0841;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{673AC0F0-D32B-4810-ACBC-D445245C67B0}\MpKslbfbd0841.sys [20/05/2011 20:49 28752]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R2 Samsung Network Fax Server;Samsung Network Fax Server;c:\windows\system32\spool\drivers\w32x86\3\NetFaxServer.exe [29/08/2010 17:11 165888]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [22/09/2010 21:49 135664]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [22/09/2010 21:49 135664]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [29/04/2011 12:11 2151128]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [29/04/2011 12:11 15232]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\driverst2860.sys [28/05/2008 08:29 572416]
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-20 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-29 09:11]
.
2011-05-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-22 19:49]
.
2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-22 19:49]
.
2011-05-20 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 10:26]
.
2011-05-20 c:\windows\Tasks\MpIdleTask.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 10:26]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.orange.fr
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
FF - ProfilePath - c:\documents and settings\Geo\Application Data\Mozilla\Firefox\Profiles\axz9r0di.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\documents and settings\All Users\Application Data\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DAEMON Tools Toolbar: DTToolbar@toolbarnet.com - %profile%\extensions\DTToolbar@toolbarnet.com
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - user.js: general.useragent.extra.ludi - LUDI2
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-20 22:34
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(4068)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Client\Antimalware\MsMpEng.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-05-20  22:38:05 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-05-20 20:38
ComboFix2.txt  2011-05-20 18:07
.
Avant-CF: 114 816 770 048 octets libres
Après-CF: 114 817 478 656 octets libres
.
- - End Of File - - 79032CC674ACBB609760D545EA92B966

rosa95 · Answer

J'ai refais un scan avec microsoft security essentials un avec ad-aware y a plus de danger d'après eux.
Au passage j'ai regardé ton profil je voulais savoir si ceux que tu utilise sont efficaces,gratuit,et pas trop compliqué à paramétré.
Merci encore pour ton aide le pc fonctionne nettement mieux hormis un petit détail qui découle surement de l'infection au démarrage de windows  je recois le message suivant

rundll
Erreurde chargement de c:/windows/csopon.dll
Le module spécifié est introuvable
je vais faire une analyse plus complète dans la nuit .

gen-hackman · Answer

desinstalle ad-aware

=====================================

refais zhpdiag et envoie-le via cijoint après avoir tout coché au tournevis

rosa95 · Answer

Ad-aware est désinstallé , j'ai tenté de faire l'analyse ZHPDiag avec toutes options cochées ,  a 65% ca s'arrete et me dit un message d'erreur : accès refusé
Avec les options standard de coché l'analyse se fait normalement.

rosa95 · Answer

de meme lorsque je souhaite enregistré le rapport j'obtiens des messages d'erreur du aux chemins d'acces de mes documents  et accès refusé également

gen-hackman · Answer

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

rosa95 · Answer

Ca s'est lancé nickel du premier coup :)
 
http://www.cijoint.fr/cjlink.php?file=cj201105/cijR0Fij2W.txt

gen-hackman · Answer

selectionne ce texte sans les lignes :
___________________________________________________
processes::
NetFaxServer.exe 

folder::
C:\Documents and Settings\All Users\Application Data\Trymedia    
C:\07f3a1d84c26cc08bd8f1196a0e82cdf      
C:\1788045b4caf6450192ee2f372c6c7da      
C:\3c7bea0117f4114e5aebd5de29      
C:\4c2f2a6efd6e540a5a86dd28ff      
C:\9494dbc79f224f29a453c3e4ca     
C:\c8dd422632f5458bc7                     
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

rosa95 · Answer

je coupe microsoft security essentials avant ou ce n'est pas nécéssaire?

rosa95 · Answer

j'ai coupé par précaution

et voila le script.txt

http://www.cijoint.fr/cjlink.php?file=cj201105/cijrQRZYiV.txt

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

rosa95 · Answer

Voila pour le rapport de malwarebytes'


http://www.cijoint.fr/cjlink.php?file=cj201105/cijJ7FP1jr.txt

C'est cool 4 chaloperie en moin :)

moment de grace · Answer

hello

tu peux vider la quarantaine

et peux retenter zhp stp

rosa95 · Answer

Bonjour j'ai vidé la quarantaine et pour ce qui est de zHPDiag toujours la même erreur a 66%: accès refusé
(lorsque toutes les options sont cochées)

rosa95 · Answer

Alors ça doit être celle la : 

---\ Liste des fichiers non signés (O65)
O65 - LUF: (.Pas de propriétaire - .) () - c:\windows\system32\pcampr5.sys

rosa95 · Answer

j'ai enregistré les résultat du scan de ZHPDiag avec les options par default dans un fichier bloc note car lorsque je souhaites faire une sauvegarde ca me dit acces refusé


http://www.cijoint.fr/cjlink.php?file=cj201105/cijqTCozax.txt

et les résultat du scan qui bloque à 6% en me disant acces refusé:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijeFySZdd.txt

moment de grace · Answer

Télécharge OTL de OLDTimer 

http://oldtimer.geekstogo.com/OTL.scr


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

 Coche les 2 cases Lop et Purity 

 Coche la case devant tous les utilisateurs 

 règle age du fichier sur "60 jours" 

 dans la moitié gauche , mets tout sur "tous" 

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport 

Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

rosa95 · Answer

Voila pour l'OTL

http://pjjoint.malekal.com/files.php?id=fd051860f311135

et voici l'extra

http://pjjoint.malekal.com/files.php?id=e335313b0b7810

moment de grace · Answer

as tu encore des soucis ?

______

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\WINDOWS\System32\dllcache\userinit.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.(l'url de la page des résultats)

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

rosa95 · Answer

voila pour le lien 

http://www.virustotal.com/...

Je redémarre l'ordi et je te dis si il me reste des soucis.

rosa95 · Answer

le problème suivant que j'avais cité sur la première page est résolu 

rundll
Erreurde chargement de c:/windows/csopon.dll
Le module spécifié est introuvable 

dois-je réessayer de faire le ZHPDiag?

moment de grace · Answer

non pour zhp oublie

en revanche peux tu t'inscrire sur ccm et refaire la manip virus total, le lien n'est poas actif

Rosa95 · Answer

http://www.virustotal.com/file-scan/reanalysis.html?id=22362cab11561d7bbae99bff4a8811fa33920b48f2027e736e1bdccb9b617cbd-1306010870

moment de grace · Answer

Alors on termine

1)

mettre à jour  internet explorer  (même si tu ne l'utilises pas)
https://support.microsoft.com/fr-fr/allproducts

.........................

2)

Mettre à jour la Console Java ? : 
https://www.java.com/fr/download/uninstalltool.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 


.............


3)
IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)

Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz

*	Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
*	Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
*	Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
*	* Rends toi dans l'onglet "Autres options"
*	Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
*	Les points de restauration système seront purgés sauf le dernier créé.

Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................

4)
pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode

http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix


choisis SUPPRESSION 

poste son rapport
.............................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
https://addons.mozilla.org/fr/firefox/addon/adblock-plus/


............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................

Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

.........................

utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

Rosa95 · Answer

Rapport javara :

https://pjjoint.malekal.com/files.php?id=ac11608e2111115

rapport Delfixsuppr :

https://pjjoint.malekal.com/files.php?id=f8eea0d9b313715

j'ai bien suivi la procédure

je suppose qu'une fois les anciennes version java effacées je réinstalle la plus récente.

Il me reste à défragmenter à l'aide de l'utilitaire et à potasser un peu les liens que tu m'as fournie.

Un grand merci a vous tous , vous assurez ;)

Rosa95 · Answer

Sinon je ne suis pas sur d'avoir un pare-feu ^^

gen-hackman · Answer

celui de windows te suffit ^^

Rosa95 · Answer

Ok ça marche , merci encore à vous  vous avez été formidable , et  ce fut très pédagogique j'ai appris plein de choses ;)

gen-hackman · Answer

c'est cool !! ^^

moment de grace · Answer

c'est tout bon

sauf soucis

=> résolu

bonne continuation...

/dos Alureon.a

48 réponses

Discussions similaires

Newsletters