[ Alerte rouge ] Un monstre dans mon pc ! :(
Résolu
Fa
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je suis infectée par un trojan qui semble coriace, son doux petit nom est trojan.Win32.BHO.bnjb.
Il paraît à première vue inoffensif mais il est plus redoutable que je ne le pensais !
VundoFix n'a rien detecté, seul Kapersky (version d'évaluation) m'offre le plaisir de m'annonçer sa venu.
Une bataille s'est engagée, pour l'instant il gagne... je suis toujours obligé de redemarrer le pc... Mais ma vengeance commence. Or, néophyte dans ce domaine, je fais appel à votre savoir et vos lumières...
En vous remerciant d'avance et ....
Que la force soit avec nous !!
Je suis infectée par un trojan qui semble coriace, son doux petit nom est trojan.Win32.BHO.bnjb.
Il paraît à première vue inoffensif mais il est plus redoutable que je ne le pensais !
VundoFix n'a rien detecté, seul Kapersky (version d'évaluation) m'offre le plaisir de m'annonçer sa venu.
Une bataille s'est engagée, pour l'instant il gagne... je suis toujours obligé de redemarrer le pc... Mais ma vengeance commence. Or, néophyte dans ce domaine, je fais appel à votre savoir et vos lumières...
En vous remerciant d'avance et ....
Que la force soit avec nous !!
A voir également:
- [ Alerte rouge ] Un monstre dans mon pc ! :(
- Réinitialiser un pc - Guide
- Mon pc est lent - Guide
- Test performance pc - Guide
- Plus de son sur mon pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
45 réponses
combofix a du t'installer la console de récupération normalement :)
tu ne vois pas l'écran comme dans le lien malekal ?
tu ne vois pas l'écran comme dans le lien malekal ?
Le seul écran que j'ai c'est les deux options quand je fais F8 :/
Et sans lecteur CD je peux pas boot sur xp.
Et sans lecteur CD je peux pas boot sur xp.
Y'a que ça à faire :
- Effacer les données de restauration et revenir au menu démarrage système
Après avoir accepté cette option, tu auras normalement d'autres modes de démarrage, décris les moi.
- Effacer les données de restauration et revenir au menu démarrage système
Après avoir accepté cette option, tu auras normalement d'autres modes de démarrage, décris les moi.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il y avait trois options mais pas eu le temps de les lire car il s'est rallumé là !
Ouf!!
Merci, j'ai cru que c'était fini ... :)
Bon du coup je vais faire le scan préconisé : Malawerbytes.
Je te remercie beaucoup :)
Ouf!!
Merci, j'ai cru que c'était fini ... :)
Bon du coup je vais faire le scan préconisé : Malawerbytes.
Je te remercie beaucoup :)
Scan que je ne peux toujours pas lancé... Mais il n'écrit plus dans la console le message : programme trop grand pour tenir en mémoire.
Même en le renommant...
Ahh l'informatique et ses mystères ...
Même en le renommant...
Ahh l'informatique et ses mystères ...
Me revoilà :o)
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll:: Folder:: c:\windows\TEMP\snig driver:: AMService Registry:: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4722:TCP"=- Reboot::
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
Re,
Non c'est le scan de Malwarebytes qui ne marche pas, je ne peux pas l'installer et Marmar66 avait déjà bien avancé dans mes virus. Ca bloque tout pour le trojan du coup...
ComboFix j'ai fais ce qu'il m'a demandé. Mais merci en tout cas :)
Non c'est le scan de Malwarebytes qui ne marche pas, je ne peux pas l'installer et Marmar66 avait déjà bien avancé dans mes virus. Ca bloque tout pour le trojan du coup...
ComboFix j'ai fais ce qu'il m'a demandé. Mais merci en tout cas :)
Voici le rapport comboFix :
ComboFix 11-06-13.01 - celine piat 13/06/2011 19:29:21.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.605 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\tdsskiller\tdsskiller.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Service_AMService
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-13 au 2011-06-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-11 10:56 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-13 17:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 BGRaSvc;BGRaSvc;"c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe" --> c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe [?]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky PURE\ie_banner_deny.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-13 19:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-06-13 19:56:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-13 17:46
ComboFix2.txt 2011-06-12 22:21
.
Avant-CF: 29 893 951 488 octets libres
Après-CF: 29 915 828 224 octets libres
.
- - End Of File - - C7FD073ECBDDE1BDA8C0EE97897854E4
ComboFix 11-06-13.01 - celine piat 13/06/2011 19:29:21.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.605 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\tdsskiller\tdsskiller.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Service_AMService
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-13 au 2011-06-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-11 10:56 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-13 17:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 BGRaSvc;BGRaSvc;"c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe" --> c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe [?]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky PURE\ie_banner_deny.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-13 19:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-06-13 19:56:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-13 17:46
ComboFix2.txt 2011-06-12 22:21
.
Avant-CF: 29 893 951 488 octets libres
Après-CF: 29 915 828 224 octets libres
.
- - End Of File - - C7FD073ECBDDE1BDA8C0EE97897854E4
ZhpDiag charge jusqu'à 88% mais après il me dit : erreur 5...
Il marchait l'autre jour, pourquoi tant de haine ;-;
Il marchait l'autre jour, pourquoi tant de haine ;-;
Ah ! après maintes tentatives, ZHPDiag a chargé jusqu'à 100%.
Du coup voici l'adresse du rapport : http://pjjoint.malekal.com/files.php?id=1521505e5311615
Merci pour votre aide encore.
Du coup voici l'adresse du rapport : http://pjjoint.malekal.com/files.php?id=1521505e5311615
Merci pour votre aide encore.
Re,
Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur le bouton GO
Copie/Colle le rapport à l'écran dans ton prochain message.
@+
Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[HKLM\Software\Jwdywucc]
[HKLM\Software\BrowserChoice]
O23 - Service: (BGRaSvc) - Clé orpheline
O64 - Services: CurCS - (.not file.) - 21c27a88 (21c27a88) .(...) - LEGACY_21C27A88
O64 - Services: CurCS - (.not file.) - 37210089 (37210089) .(...) - LEGACY_37210089
FirewallRAZ
EmptyTemp
EmptyFlash
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur le bouton GO
Copie/Colle le rapport à l'écran dans ton prochain message.
@+
Rapport de ZHPFix 1.12.3306 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-06-2011-22-28-32.txt
Run by celine piat at 13/06/2011 22:28:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
SUPPRIME HKLM\Software\Jwdywucc
SUPPRIME HKLM\Software\BrowserChoice
SUPPRIME Service: BGRaSvc
SUPPRIME Service Legacy: LEGACY_21C27A88
SUPPRIME Service Legacy: LEGACY_37210089
========== Valeur(s) du Registre ==========
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
Aucune valeur présente dans la clé d'exception du registreFirewallRaz :
========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 70
SUPPRIME Flash Cookies: 189
========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 2
SUPPRIME Flash Cookies: 125
========== Récapitulatif ==========
7 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-13-06-2011-22-28-32.txt
Run by celine piat at 13/06/2011 22:28:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
SUPPRIME HKLM\Software\Jwdywucc
SUPPRIME HKLM\Software\BrowserChoice
SUPPRIME Service: BGRaSvc
SUPPRIME Service Legacy: LEGACY_21C27A88
SUPPRIME Service Legacy: LEGACY_37210089
========== Valeur(s) du Registre ==========
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
Aucune valeur présente dans la clé d'exception du registreFirewallRaz :
========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 70
SUPPRIME Flash Cookies: 189
========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 2
SUPPRIME Flash Cookies: 125
========== Récapitulatif ==========
7 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
End of the scan
Re,
1/
Cette procédure n'a pas été effectué avec succès. stp de la refaire comme juju a déja expliqué avec tutoriel!
On attend le rapport de combofix suite validation du CFScript!
@+
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Membre, Contributeur
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
1/
Cette procédure n'a pas été effectué avec succès. stp de la refaire comme juju a déja expliqué avec tutoriel!
On attend le rapport de combofix suite validation du CFScript!
@+
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Membre, Contributeur
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Bonjour,
Tu parles du ComboFix en glissant le dossier texte renommé CFScript ?
Je réessaye alors, il me semblait avoir bien suivi la procédure pourtant !
A de suite ;)
Tu parles du ComboFix en glissant le dossier texte renommé CFScript ?
Je réessaye alors, il me semblait avoir bien suivi la procédure pourtant !
A de suite ;)
Re :)
Je suis en train de le refaire, mais à chaque fois il me demande la mise à jour, dois-je l'accepter ?
Je repost le nouveau scan dès que c'est terminé.
Je suis en train de le refaire, mais à chaque fois il me demande la mise à jour, dois-je l'accepter ?
Je repost le nouveau scan dès que c'est terminé.
Nouveau scan alors avec ComboFix :
ComboFix 11-06-13.06 - celine piat 14/06/2011 20:08:06.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.636 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-14 au 2011-06-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-13 20:28 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-14 18:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-14 20:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3564)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-06-14 20:22:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-14 18:22
ComboFix2.txt 2011-06-13 17:56
ComboFix3.txt 2011-06-12 22:21
.
Avant-CF: 29 884 850 176 octets libres
Après-CF: 29 875 863 552 octets libres
.
- - End Of File - - 1F0CAB021A9538D9E9BD31C86FDC50DB
ComboFix 11-06-13.06 - celine piat 14/06/2011 20:08:06.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.636 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-14 au 2011-06-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-13 20:28 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-14 18:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-14 20:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3564)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-06-14 20:22:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-14 18:22
ComboFix2.txt 2011-06-13 17:56
ComboFix3.txt 2011-06-12 22:21
.
Avant-CF: 29 884 850 176 octets libres
Après-CF: 29 875 863 552 octets libres
.
- - End Of File - - 1F0CAB021A9538D9E9BD31C86FDC50DB
Oh, tu as fait un scan avec combofix ?
On ne veut pas un scan!
Est ce que tu as fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
Comme expliqué ICI ?
On ne veut pas un scan!
Est ce que tu as fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
Comme expliqué ICI ?