[ Alerte rouge ] Un monstre dans mon pc ! :(
Résolu/Fermé
A voir également:
- [ Alerte rouge ] Un monstre dans mon pc ! :(
- Benchmark pc - Guide
- Ecran noir pc - Guide
- Mon pc rame que faire - Guide
- Reinitialiser pc - Guide
- Télécharger musique gratuitement sur pc - Télécharger - Conversion & Extraction
45 réponses
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
13 juin 2011 à 12:51
13 juin 2011 à 12:51
combofix a du t'installer la console de récupération normalement :)
tu ne vois pas l'écran comme dans le lien malekal ?
tu ne vois pas l'écran comme dans le lien malekal ?
Le seul écran que j'ai c'est les deux options quand je fais F8 :/
Et sans lecteur CD je peux pas boot sur xp.
Et sans lecteur CD je peux pas boot sur xp.
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
13 juin 2011 à 13:00
13 juin 2011 à 13:00
Y'a que ça à faire :
- Effacer les données de restauration et revenir au menu démarrage système
Après avoir accepté cette option, tu auras normalement d'autres modes de démarrage, décris les moi.
- Effacer les données de restauration et revenir au menu démarrage système
Après avoir accepté cette option, tu auras normalement d'autres modes de démarrage, décris les moi.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il y avait trois options mais pas eu le temps de les lire car il s'est rallumé là !
Ouf!!
Merci, j'ai cru que c'était fini ... :)
Bon du coup je vais faire le scan préconisé : Malawerbytes.
Je te remercie beaucoup :)
Ouf!!
Merci, j'ai cru que c'était fini ... :)
Bon du coup je vais faire le scan préconisé : Malawerbytes.
Je te remercie beaucoup :)
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
13 juin 2011 à 13:06
13 juin 2011 à 13:06
oh ben zut, moi qui croyait qu'on aurait eu plus de mal :o)
Scan que je ne peux toujours pas lancé... Mais il n'écrit plus dans la console le message : programme trop grand pour tenir en mémoire.
Même en le renommant...
Ahh l'informatique et ses mystères ...
Même en le renommant...
Ahh l'informatique et ses mystères ...
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
13 juin 2011 à 13:16
13 juin 2011 à 13:16
attends j'ai vu des trucs sur combofix, je reviens vers toi dans quelques instant :o)
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
13 juin 2011 à 13:34
13 juin 2011 à 13:34
Me revoilà :o)
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll:: Folder:: c:\windows\TEMP\snig driver:: AMService Registry:: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4722:TCP"=- Reboot::
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
Re,
Non c'est le scan de Malwarebytes qui ne marche pas, je ne peux pas l'installer et Marmar66 avait déjà bien avancé dans mes virus. Ca bloque tout pour le trojan du coup...
ComboFix j'ai fais ce qu'il m'a demandé. Mais merci en tout cas :)
Non c'est le scan de Malwarebytes qui ne marche pas, je ne peux pas l'installer et Marmar66 avait déjà bien avancé dans mes virus. Ca bloque tout pour le trojan du coup...
ComboFix j'ai fais ce qu'il m'a demandé. Mais merci en tout cas :)
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
13 juin 2011 à 18:06
13 juin 2011 à 18:06
Rapport combofix suite au script ?
Voici le rapport comboFix :
ComboFix 11-06-13.01 - celine piat 13/06/2011 19:29:21.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.605 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\tdsskiller\tdsskiller.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Service_AMService
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-13 au 2011-06-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-11 10:56 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-13 17:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 BGRaSvc;BGRaSvc;"c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe" --> c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe [?]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky PURE\ie_banner_deny.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-13 19:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-06-13 19:56:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-13 17:46
ComboFix2.txt 2011-06-12 22:21
.
Avant-CF: 29 893 951 488 octets libres
Après-CF: 29 915 828 224 octets libres
.
- - End Of File - - C7FD073ECBDDE1BDA8C0EE97897854E4
ComboFix 11-06-13.01 - celine piat 13/06/2011 19:29:21.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.605 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\tdsskiller\tdsskiller.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Service_AMService
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-13 au 2011-06-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-11 10:56 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-13 17:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 BGRaSvc;BGRaSvc;"c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe" --> c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe [?]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky PURE\ie_banner_deny.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-13 19:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-06-13 19:56:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-13 17:46
ComboFix2.txt 2011-06-12 22:21
.
Avant-CF: 29 893 951 488 octets libres
Après-CF: 29 915 828 224 octets libres
.
- - End Of File - - C7FD073ECBDDE1BDA8C0EE97897854E4
ZhpDiag charge jusqu'à 88% mais après il me dit : erreur 5...
Il marchait l'autre jour, pourquoi tant de haine ;-;
Il marchait l'autre jour, pourquoi tant de haine ;-;
Ah ! après maintes tentatives, ZHPDiag a chargé jusqu'à 100%.
Du coup voici l'adresse du rapport : http://pjjoint.malekal.com/files.php?id=1521505e5311615
Merci pour votre aide encore.
Du coup voici l'adresse du rapport : http://pjjoint.malekal.com/files.php?id=1521505e5311615
Merci pour votre aide encore.
Re,
Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur le bouton GO
Copie/Colle le rapport à l'écran dans ton prochain message.
@+
Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[HKLM\Software\Jwdywucc]
[HKLM\Software\BrowserChoice]
O23 - Service: (BGRaSvc) - Clé orpheline
O64 - Services: CurCS - (.not file.) - 21c27a88 (21c27a88) .(...) - LEGACY_21C27A88
O64 - Services: CurCS - (.not file.) - 37210089 (37210089) .(...) - LEGACY_37210089
FirewallRAZ
EmptyTemp
EmptyFlash
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur le bouton GO
Copie/Colle le rapport à l'écran dans ton prochain message.
@+
Rapport de ZHPFix 1.12.3306 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-06-2011-22-28-32.txt
Run by celine piat at 13/06/2011 22:28:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
SUPPRIME HKLM\Software\Jwdywucc
SUPPRIME HKLM\Software\BrowserChoice
SUPPRIME Service: BGRaSvc
SUPPRIME Service Legacy: LEGACY_21C27A88
SUPPRIME Service Legacy: LEGACY_37210089
========== Valeur(s) du Registre ==========
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
Aucune valeur présente dans la clé d'exception du registreFirewallRaz :
========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 70
SUPPRIME Flash Cookies: 189
========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 2
SUPPRIME Flash Cookies: 125
========== Récapitulatif ==========
7 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-13-06-2011-22-28-32.txt
Run by celine piat at 13/06/2011 22:28:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
SUPPRIME HKLM\Software\Jwdywucc
SUPPRIME HKLM\Software\BrowserChoice
SUPPRIME Service: BGRaSvc
SUPPRIME Service Legacy: LEGACY_21C27A88
SUPPRIME Service Legacy: LEGACY_37210089
========== Valeur(s) du Registre ==========
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
Aucune valeur présente dans la clé d'exception du registreFirewallRaz :
========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 70
SUPPRIME Flash Cookies: 189
========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 2
SUPPRIME Flash Cookies: 125
========== Récapitulatif ==========
7 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
End of the scan
Re,
1/
Cette procédure n'a pas été effectué avec succès. stp de la refaire comme juju a déja expliqué avec tutoriel!
On attend le rapport de combofix suite validation du CFScript!
@+
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Membre, Contributeur
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
1/
Cette procédure n'a pas été effectué avec succès. stp de la refaire comme juju a déja expliqué avec tutoriel!
On attend le rapport de combofix suite validation du CFScript!
@+
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Membre, Contributeur
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Bonjour,
Tu parles du ComboFix en glissant le dossier texte renommé CFScript ?
Je réessaye alors, il me semblait avoir bien suivi la procédure pourtant !
A de suite ;)
Tu parles du ComboFix en glissant le dossier texte renommé CFScript ?
Je réessaye alors, il me semblait avoir bien suivi la procédure pourtant !
A de suite ;)
Re :)
Je suis en train de le refaire, mais à chaque fois il me demande la mise à jour, dois-je l'accepter ?
Je repost le nouveau scan dès que c'est terminé.
Je suis en train de le refaire, mais à chaque fois il me demande la mise à jour, dois-je l'accepter ?
Je repost le nouveau scan dès que c'est terminé.
Nouveau scan alors avec ComboFix :
ComboFix 11-06-13.06 - celine piat 14/06/2011 20:08:06.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.636 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-14 au 2011-06-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-13 20:28 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-14 18:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-14 20:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3564)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-06-14 20:22:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-14 18:22
ComboFix2.txt 2011-06-13 17:56
ComboFix3.txt 2011-06-12 22:21
.
Avant-CF: 29 884 850 176 octets libres
Après-CF: 29 875 863 552 octets libres
.
- - End Of File - - 1F0CAB021A9538D9E9BD31C86FDC50DB
ComboFix 11-06-13.06 - celine piat 14/06/2011 20:08:06.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.636 [GMT 2:00]
Lancé depuis: c:\documents and settings\celine piat\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\celine piat\Bureau\CFScript
AV: Kaspersky PURE *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-14 au 2011-06-14 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-12 22:34 . 2011-06-13 17:37 -------- d-----w- C:\tdsskiller
2011-06-11 10:56 . 2011-06-11 10:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-11 10:53 . 2011-06-11 10:53 -------- d-----w- c:\documents and settings\Administrateur
2011-06-10 20:29 . 2011-06-13 20:28 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 18:38 . 2011-06-10 18:38 -------- d-----w- C:\VundoFix Backups
2011-05-19 17:22 . 2011-05-19 17:22 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-18 13:33 . 2011-06-10 17:42 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-05-18 13:33 . 2011-05-18 13:54 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-05-18 13:32 . 2009-12-14 10:44 39352 ----a-w- c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2011-05-18 13:32 . 2009-12-14 10:44 88632 ----a-w- c:\windows\system32\drivers\CSCrySec.sys
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Fichiers communs\InfoWatch
2011-05-18 13:30 . 2011-06-14 18:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-05-18 13:30 . 2011-05-18 13:30 -------- d-----w- c:\program files\Kaspersky Lab
2011-05-18 13:27 . 2011-05-18 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 20:05 129624 ----a-w- c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-02-13 102400]
"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2010-10-01 348760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [18/05/2011 15:32 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]
R1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [18/05/2011 15:32 39352]
R2 CSObjectsSrv;Service de gestion du système CryproStorage;c:\program files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21/12/2009 17:34 743992]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [10/06/2008 11:53 159744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10/06/2008 12:26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28/05/2008 08:29 572416]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [11/07/2008 10:34 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [11/07/2008 10:34 51968]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2010 15:08 135664]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 13:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://orange.fr
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-14 20:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3564)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\PSIService.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-06-14 20:22:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-14 18:22
ComboFix2.txt 2011-06-13 17:56
ComboFix3.txt 2011-06-12 22:21
.
Avant-CF: 29 884 850 176 octets libres
Après-CF: 29 875 863 552 octets libres
.
- - End Of File - - 1F0CAB021A9538D9E9BD31C86FDC50DB
Oh, tu as fait un scan avec combofix ?
On ne veut pas un scan!
Est ce que tu as fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
Comme expliqué ICI ?
On ne veut pas un scan!
Est ce que tu as fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
Comme expliqué ICI ?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
14 juin 2011 à 21:31
14 juin 2011 à 21:31
non, elle a utilisé le commutateur :)
combofix est parfois discret °)
combofix est parfois discret °)
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
14 juin 2011 à 22:25
14 juin 2011 à 22:25
c est bien ce que je dis tu as utilisé le commutateur :)