Sujet Précédent Sujet Suivant

Infections diverses: sality, pandex, accrack,

Résolu/Fermé
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 - 16 juin 2011 à 19:15
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 - 18 juil. 2011 à 11:11
Bonjour,

mon beau-père est arrivé de kinshasa avec un PC vérolé.
Il l'avait confié à son fils qui l'a bien arrangé: installation de cracks en tout genre, surcharge de logiciels professionnels (crackés bien sûr) . J'avais dénombré pas moins de 3 antivirus, 5 logiciels de traitement d'images, etc...mais pas pare-feu.

Bref, j'ai essayé de faire un petit nettoyage:
- j'ai effacé un max de logiciels inutiles
- j'ai fait le gros nettoyage de printemps avec CCleaner
- j'ai installé Comodo comme pare-feu
- j'ai conservé Avast bien que j'aurais souhaité le remplacer par antivir (j'aurais souhaité désinstallé proprement Avast, mais cela plante en mode sans échec)

J'ai fait le scan avec Avast , après et au démarrage:il a noté entre autres la présence de win32:sality
win32: trojan-gen
win32-spyware-gen
win32: malware:gen
win32:vitro
LPI: win32:Accrack
LPI: win32: Induc
Il y avait aussi un rookit pandex dans l'histoire.

Bref, du boulot en perspective.

Assez bizarrement, un scan rapide de l'ordi avec superantispyware n'a rien révélé d'autre.

Voici le log HI Jack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:46, on 16/06/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\befr.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DE8E7E3-644B-4BBA-8CEF-D64BFFD1D538}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{8000C532-1EE1-4ACF-B7D9-742ECD3DA457}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{4DE8E7E3-644B-4BBA-8CEF-D64BFFD1D538}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{4DE8E7E3-644B-4BBA-8CEF-D64BFFD1D538}: NameServer = 156.154.70.25,156.154.71.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

27 réponses

  • 1
  • 2
Réponse 1 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 juin 2011 à 19:24
bonjour,

sauvegarde tous tes documents importants (sauf les .exe, les .rar, .zip, .html, ...)
si tu les met sur clé usb, vaccine ta clé avec usbfix avant de la connecter au pc malade : http://www.teamxscript.org/usbfix.html

===============

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ XP: double clic
▶ ▶ Vista/7: clic droit, exécuter en tant qu''administrateur
▶ ▶ Vista/7 : l''UAC demande confirmation > valider par Oui
▶ clique 2 fois sur Ok
▶ clique sur Commencer le scan
▶ réponds Oui

==> L''analyse rapide démarre
(si un pop up s''ouvre, clique sur la croix pour le fermer)

A la fin du scan rapide, il se peut que l''on te demande de restaurer le fichier hosts > Oui

Ensuite:
touche F9
Onglet Actions
Coté Malwares: choisir Quarantaine pour Adwares, Dialers,... [TOUS]
Valider par Ok

▶ choisi analyse complète et clique sur le Play vert
▶ De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique <Oui> pour tout à l''invite "Désinfecter ?" lorsqu''un fichier est détecté, et ensuite clique "Désinfecter".

>> Si tu as un soucis (la mémoire ne peut pas être Read) clique deux fois sur ok et redémarre en mode sans échec, refais les mêmes manipulations

▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur l'' icône, adjacente aux fichiers détectés (plusieurs feuilles l''une sur l''autre). Si oui, alors clique dessus et ensuite clique sur l''icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l''objet indésirable>.
▶ Du menu principal de l''outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit
▶ Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse
0
Réponse 2 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
17 juin 2011 à 16:58
Bonjour, le scan rapide n'a rien révélé.

Par contre, le scan complet a révélé un virus qui a pu être éliminé
C:\DRIVERS POSTOOBE.NEC
VBS.Generic.278 Supprimé.

Quelle est la suite des opérations???

Merci pour votre aide

Zorinho
0
Réponse 3 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 juin 2011 à 17:00
Hello :)

Bah sality ça s'en va pas ainsi c'est pas normal ^^

Nous allons effectuer un diagnostic de ton PC:
Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe

▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »

▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
0
Réponse 4 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
17 juin 2011 à 17:33
L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est :

https://pjjoint.malekal.com/files.php?id=81351643e6131215
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 juin 2011 à 17:49
Eh ben ton système est vraiment bien infecté :p

télécharge ici : Load_SalityKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage

à la fin SalityKiller.txt se mettra sur ton bureau

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 6 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
17 juin 2011 à 20:53
et voici...

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201106/cijbjVoegP.txt

Encore merci pour ton aide

A+

Zor
0
Réponse 7 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 juin 2011 à 22:05
Suite :

▶ Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu''administrateur, l''installation se fera automatiquement
XP : double clic sur UsbFix

▶ Clique sur "Recherche"

▶ Laisse travailler l''outil

▶ A la fin, le rapport va s''afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

▶ Aide en images : Tutoriel "Recherche"
0
Réponse 8 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
17 juin 2011 à 22:34
Ok je lance le scan avec USB Fix.

A tout hasard, j'avais fait un scan avec MBAM : je n'ai ps entrepris d'actions contre ces malware.
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6881

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17/06/2011 22:27:37
mbam-log-2011-06-17 (22-27-31).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 236006
Temps écoulé: 49 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\program files\dynamic toolbar (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2 (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache (Adware.2020search) -> No action taken.
c:\program files\System32 (Backdoor.Bifrose) -> No action taken.

Fichier(s) infecté(s):
c:\documents and settings\mavungu andré césar\application data\thinstall\adobe flash player plugin\300000003400002i\dwwin.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\mavungu andré césar\application data\thinstall\adobe flash player plugin\40000035800002i\SWFText.exe (Trojan.IRCBot) -> No action taken.
c:\WINDOWS\system32\F06CDF\cnvpe.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\F06CDF\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\F06CDF\eAPI.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\F06CDF\HtmlView.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\F06CDF\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\F06CDF\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\F06CDF\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\documents and settings\tazebama.dll (Worm.Mabezat) -> No action taken.
c:\WINDOWS\system32\svchost.bat (Trojan.Agent) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\go.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\home.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\logo_pb.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\parent_off.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\parent_on.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\pbbefrv2tb0200.cfg (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\popup_off.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\popup_on.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\search.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\services.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin1.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin2.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin3.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin4.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin5.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\store.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\style.css (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\support.bmp (Adware.2020search) -> No action taken.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\ticker.xml (Adware.2020search) -> No action taken.
c:\program files\System32\database.exe (Backdoor.Bifrose) -> No action taken.
c:\program files\System32\WinInet.ocx (Backdoor.Bifrose) -> No action taken.
0
Réponse 9 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
17 juin 2011 à 22:57
Re-bonjour ,

voici le résultat de l'analyse avec USB Fix

############################## | UsbFix 7.048 | [Recherche]

Utilisateur: Mavungu André César (Administrateur) # MAVUNGU [ ]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 22:50:09 | 17/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Celeron(R) M CPU 410 @ 1.46GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: avast! Antivirus 5.0.83887205 [(!) Disabled | Updated]
Firewall: PC Tools Firewall Plus 4.0.0 [Enabled]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 894 Mo
C:\ (%systemdrive%) -> Disque fixe # 75 Go (20 Go libre(s) - 27%) [HDD] # NTFS

################## | Éléments infectieux |

Présent! C:\Program Files\system32
Présent! C:\WINDOWS\system32\autorun.inf
Présent! C:\Documents and Settings\Mavungu André César\Documents.lnk
Présent! C:\Documents and Settings\Mavungu André César\Music.lnk
Présent! C:\Documents and Settings\Mavungu André César\New Folder.lnk
Présent! C:\Documents and Settings\Mavungu André César\Passwords.lnk
Présent! C:\Documents and Settings\Mavungu André César\Pictures.lnk
Présent! C:\Documents and Settings\Mavungu André César\Video.lnk

################## | Mabezat |

Présent! C:\Documents and Settings\tazebama.dll
Présent! C:\Documents and Settings\Mavungu André César\Application Data\tazebama

################## | Registre |

Présent! HKCU\Software\Microsoft\Handle
Présent! HKCU\Software\ROUA3O12PW
Présent! HKCU\Software\TOY5KNQ8OC
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{13729883-6872-11de-a000-00163692b9ad}
Shell\AutoRun\Command = E:\mvxm.cmd
Shell\explore\Command = E:\mvxm.cmd
Shell\open\Command = E:\mvxm.cmd

HKCU\.\.\.\.\Explorer\MountPoints2\{347e19e8-59e9-11de-9fdb-00163692b9ad}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycler\svchost.exe
Shell\open\Command = .\Recycler\svchost.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{3636dd86-4315-11df-a15d-00163692b9ad}
Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{3657f0ad-6d42-11df-a1f7-00163692b9ad}
Shell\AutoRun\Command = I:\PMBP_Win.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{45a97563-d069-11df-a2db-00163692b9ad}
Shell\AutoRun\Command = D:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{72bfd1be-dfe3-11de-a0cc-00163692b9ad}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycler\svchost.exe
Shell\open\Command = .\Recycler\svchost.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{8564ee6a-d843-11df-a2e8-00163692b9ad}
Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{8564ee6b-d843-11df-a2e8-00163692b9ad}
Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{b225f86a-4f0d-11df-a17c-00163692b9ad}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL QkviIS.ExE

HKCU\.\.\.\.\Explorer\MountPoints2\{b6f5fad0-6eb3-11de-a012-00163692b9ad}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycler\svchost.exe
Shell\open\Command = G:\.\Recycler\svchost.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{baa83e19-0295-11df-a0f7-00163692b9ad}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycler\svchost.exe
Shell\open\Command = .\Recycler\svchost.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e2c5bebf-bc19-11df-a2aa-00163692b9ad}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{fdb117b8-9ee6-11df-a275-00163692b9ad}
Shell\AutoRun\Command = E:\LaunchU3.exe -a


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 10 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 juin 2011 à 23:44
Re,

1/ Fais "Supprimer la sélection" avec MBAM s'il est toujours ouvert.
2/ Fais l'option "Suppression" avec USBFix

Poste les 2 rapports
0
Réponse 11 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
18 juin 2011 à 00:06
############################## | UsbFix 7.048 | [Suppression]

Utilisateur: Mavungu André César (Administrateur) # MAVUNGU [ ]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 00:00:34 | 18/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Celeron(R) M CPU 410 @ 1.46GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: avast! Antivirus 5.0.83887205 [(!) Disabled | Updated]
Firewall: PC Tools Firewall Plus 4.0.0 [Enabled]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 894 Mo
C:\ (%systemdrive%) -> Disque fixe # 75 Go (20 Go libre(s) - 27%) [HDD] # NTFS

################## | Éléments infectieux |

Supprimé! C:\Program Files\system32
Supprimé! C:\WINDOWS\system32\autorun.inf
Supprimé! C:\Documents and Settings\Mavungu André César\Documents.lnk
Supprimé! C:\Documents and Settings\Mavungu André César\Music.lnk
Supprimé! C:\Documents and Settings\Mavungu André César\New Folder.lnk
Supprimé! C:\Documents and Settings\Mavungu André César\Passwords.lnk
Supprimé! C:\Documents and Settings\Mavungu André César\Pictures.lnk
Supprimé! C:\Documents and Settings\Mavungu André César\Video.lnk
Supprimé! C:\Recycler\S-1-5-21-1608663523-6152573268-482438069-3930
Supprimé! C:\Recycler\S-1-5-21-269876026-273257874-3051266923-1003
Supprimé! C:\Recycler\S-1-5-21-3749353813-3951167109-1461864602-1006
Supprimé! C:\Recycler\S-1-5-21-8599014388-5957655544-643594701-2702

################## | Mabezat |

Supprimé! C:\Documents and Settings\tazebama.dll
Supprimé! C:\Documents and Settings\Mavungu André César\Application Data\tazebama

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Handle
Supprimé! HKCU\Software\ROUA3O12PW
Supprimé! HKCU\Software\TOY5KNQ8OC
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{13729883-6872-11de-a000-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{347e19e8-59e9-11de-9fdb-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3657f0ad-6d42-11df-a1f7-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{45a97563-d069-11df-a2db-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72bfd1be-dfe3-11de-a0cc-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8564ee6a-d843-11df-a2e8-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b225f86a-4f0d-11df-a17c-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b6f5fad0-6eb3-11de-a012-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e2c5bebf-bc19-11df-a2aa-00163692b9ad}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fdb117b8-9ee6-11df-a275-00163692b9ad}

################## | Listing |

[07/07/2006 - 14:26:30 | D ] C:\APPS
[04/05/2010 - 19:22:27 | N | 40] C:\Auth.prof
[07/07/2006 - 14:10:25 | N | 215] C:\BOOT.BAK
[21/04/2007 - 22:59:59 | N | 296] C:\BOOT.INI
[05/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
[21/06/2010 - 10:04:25 | N | 189996] C:\bsmain_runtime.log
[07/07/2006 - 14:10:33 | D ] C:\cmdcons
[05/08/2004 - 14:00:00 | N | 263488] C:\cmldr
[17/06/2011 - 16:39:46 | D ] C:\Config.Msi
[07/07/2006 - 13:18:14 | D ] C:\DIVTOOLS
[18/06/2011 - 00:02:44 | D ] C:\Documents and Settings
[17/06/2011 - 05:33:02 | D ] C:\DRIVERS
[07/07/2006 - 13:39:06 | N | 6182] C:\DWNLOG.TXT
[14/06/2011 - 23:46:39 | N | 45] C:\error.log
[17/06/2011 - 17:25:32 | ASH | 937603072] C:\hiberfil.sys
[07/07/2006 - 14:12:11 | N | 0] C:\IO.SYS
[15/06/2011 - 23:28:59 | D ] C:\Lop SD
[15/06/2011 - 23:28:59 | N | 12969] C:\lopR.txt
[07/07/2006 - 13:39:06 | N | 6182] C:\MCDLOG.TXT
[06/09/2009 - 16:20:46 | N | 31] C:\mpegError.log
[07/07/2006 - 14:12:11 | N | 0] C:\MSDOS.SYS
[07/07/2006 - 14:23:01 | RHD ] C:\MSOCache
[05/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[22/04/2009 - 00:45:48 | N | 252240] C:\NTLDR
[17/06/2011 - 17:25:30 | ASH | 1406300160] C:\pagefile.sys
[25/04/2009 - 10:47:07 | N | 13030] C:\PDOXUSRS.NET
[17/06/2011 - 17:48:42 | N | 512] C:\PhysicalDisk0_MBR.bin
[18/07/2010 - 21:35:47 | D ] C:\Pictures
[07/05/2010 - 15:53:04 | D ] C:\PNP
[18/06/2011 - 00:01:18 | D ] C:\Program Files
[14/06/2011 - 12:47:26 | D ] C:\RavBin
[18/06/2011 - 00:01:19 | SHD ] C:\RECYCLER
[07/07/2006 - 14:21:25 | D ] C:\Redist
[23/09/2005 - 11:46:12 | N | 95] C:\SAUDIT.TXT
[23/04/2010 - 20:23:08 | D ] C:\SmartSound Software
[14/06/2010 - 17:48:23 | D ] C:\sys
[21/04/2007 - 22:59:14 | SHD ] C:\System Volume Information
[07/06/2011 - 05:43:18 | D ] C:\temp
[18/06/2011 - 00:02:44 | D ] C:\UsbFix
[18/06/2011 - 00:03:24 | A | 2109] C:\UsbFix.txt
[16/06/2011 - 19:36:38 | D ] C:\VritualRoot
[17/06/2011 - 23:33:51 | D ] C:\WINDOWS

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MAVUNGU.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
0
Réponse 12 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
18 juin 2011 à 00:42
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6883

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/06/2011 0:40:40
mbam-log-2011-06-18 (00-40-40).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 235031
Temps écoulé: 31 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 30

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\program files\dynamic toolbar (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2 (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache (Adware.2020search) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\mavungu andré césar\application data\thinstall\adobe flash player plugin\300000003400002i\dwwin.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\documents and settings\mavungu andré césar\application data\thinstall\adobe flash player plugin\40000035800002i\SWFText.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\F06CDF\cnvpe.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\F06CDF\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\F06CDF\eAPI.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\F06CDF\HtmlView.fne (HackTool.Patcher) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\F06CDF\internet.fne (HackTool.Patcher) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\F06CDF\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\F06CDF\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\svchost.bat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\go.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\home.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\logo_pb.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\parent_off.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\parent_on.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\pbbefrv2tb0200.cfg (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\popup_off.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\popup_on.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\search.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\services.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin1.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin2.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin3.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin4.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\skin5.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\store.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\style.css (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\support.bmp (Adware.2020search) -> Quarantined and deleted successfully.
c:\program files\dynamic toolbar\PBBEFRV2\Cache\ticker.xml (Adware.2020search) -> Quarantined and deleted successfully.
0
Réponse 13 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 01:59
Voilà maintenant on peut se marrer :p

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\

Si tu utilises AVG, IL FAUT IMPÉRATIVEMENT LE DÉSINSTALLER avant d''utiliser Combofix car il peut causer des dégâts en interaction avec l''outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n''est pas suffisante.
Télécharge le désinstalleur d''AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_______________________________________________________________

Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
▶ Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l''ordinateur si l''outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_______________________________________________________________

/!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
0
Réponse 14 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
18 juin 2011 à 11:14
Bonjour,

ce fut vraiment pénible, car je ne pouvais installer ComboFix en mode normal.
J'ai donc du passer en mode "sans échec", et après plusieurs tentatives, il semble qu'il a pu scanner l'ordi.

Depuis cette opération, Avast, que j'avais pourtant désactiver durant le scan combofix, ne s'ouvre plus. Je vais peut-être en profiter pour le désinstaller et le réinstaller, ou installer Antivir


Voici le rapport combo

ComboFix 11-06-17.04 - Mavungu André César 18/06/2011 10:16:38.2.1 - x86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.32.1036.18.894.690 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mavungu André César\Mes documents\Téléchargements\ZOR1.exe
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
FW: PC Tools Firewall Plus *Enabled* {ABBD5028-5A95-4B6D-996E-98D64AE88D52}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\windows\system32\drivers\eicon.txt
c:\windows\system32\Thumbs.db
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-18 au 2011-06-18 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-18 07:24 . 2011-06-18 08:12 -------- d-----w- C:\ComboFix
2011-06-17 20:35 . 2011-06-17 22:03 -------- d-----w- C:\UsbFix
2011-06-17 19:33 . 2011-06-17 19:33 -------- d-----w- c:\documents and settings\Mavungu André César\Application Data\Malwarebytes
2011-06-17 19:33 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-17 19:33 . 2011-06-17 19:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-06-17 19:33 . 2011-06-17 20:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-06-17 19:33 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-17 15:48 . 2011-06-18 05:48 0 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-17 15:06 . 2011-06-18 05:48 -------- d-----w- c:\program files\ZHPDiag
2011-06-16 19:41 . 2011-06-16 19:41 -------- d-----w- c:\documents and settings\Mavungu André César\DoctorWeb
2011-06-16 17:36 . 2011-06-16 17:36 -------- d-----w- C:\VritualRoot
2011-06-16 16:58 . 2011-06-16 16:58 -------- d-----w- c:\program files\Trend Micro
2011-06-16 16:01 . 2011-06-16 16:01 -------- d-----w- c:\program files\COMODO
2011-06-16 15:50 . 2011-06-17 19:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
2011-06-16 15:11 . 2011-04-21 13:37 105472 ------w- c:\windows\system32\dllcache\mup.sys
2011-06-16 15:04 . 2011-06-16 15:04 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-16 15:02 . 2011-06-16 15:02 -------- d-----w- c:\program files\Fichiers communs\Java
2011-06-16 15:01 . 2011-06-16 15:01 476904 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2011-06-16 15:01 . 2011-06-16 15:01 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-16 15:01 . 2011-06-16 15:01 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-15 21:22 . 2011-06-15 21:28 -------- d-----w- C:\Lop SD
2011-06-14 09:52 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-06-07 10:35 . 2011-06-07 10:35 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2011-06-07 10:35 . 2011-06-07 10:35 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
2011-06-07 03:43 . 2011-06-07 03:43 -------- d-----w- C:\temp
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-17 22:03 . 2011-06-17 22:03 139652 ----a-w- C:\UsbFix_Upload_Me_MAVUNGU.zip
2011-05-07 14:17 . 2011-05-07 14:17 97504 ----a-w- c:\windows\system32\drivers\inspect.sys
2011-05-02 18:36 . 2011-05-02 18:36 29400 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2011-05-02 18:36 . 2011-05-02 18:36 242472 ----a-w- c:\windows\system32\drivers\cmdGuard.sys
2011-05-02 18:36 . 2011-05-02 18:36 17416 ----a-w- c:\windows\system32\drivers\cmderd.sys
2011-05-02 18:36 . 2011-05-02 18:36 284744 ----a-w- c:\windows\system32\guard32.dll
2011-05-02 15:31 . 2004-08-16 16:06 692736 ------w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2004-08-16 15:40 456320 ------w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:06 . 2004-08-16 15:41 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:06 . 2004-08-16 15:40 43520 ------w- c:\windows\system32\licmgr10.dll
2011-04-25 16:06 . 2004-08-16 15:40 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-16 15:40 385024 ------w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-16 15:40 105472 ------w- c:\windows\system32\drivers\mup.sys
2005-07-08 12:18 . 2010-06-15 16:45 593920 ------w- c:\program files\JetAudio.FRC
2005-07-08 12:18 . 2010-06-15 16:45 143360 ------w- c:\program files\JXVidCnv.FRC
2005-07-05 10:49 . 2010-06-15 16:45 77824 ------w- c:\program files\JetTrim.FRC
2005-07-05 10:49 . 2010-06-15 16:45 45056 ------w- c:\program files\JetLyric.FRC
2005-07-05 10:49 . 2010-06-15 16:45 106496 ------w- c:\program files\JetRecorder.FRC
2005-07-05 10:49 . 2010-06-15 16:46 32768 ------w- c:\program files\JXVisual.FRC
2005-07-05 10:49 . 2010-06-15 16:45 49152 ------w- c:\program files\JXCddb.FRC
2005-07-05 10:49 . 2010-06-15 16:45 45056 ------w- c:\program files\JXLeoLDB.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JXTag.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JXCDMan.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JSWMAWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 36864 ------w- c:\program files\JetFlExt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 36864 ------w- c:\program files\JetCrash.FRC
2005-07-05 10:49 . 2010-06-15 16:45 462848 ------w- c:\program files\JetCast.FRC
2005-07-05 10:49 . 2010-06-15 16:45 151552 ------w- c:\program files\JetChat.FRC
2005-07-05 10:49 . 2010-06-15 16:45 40960 ------w- c:\program files\JFWMARd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFWMAWt7.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFWMAWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFWMANetWt9.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFWMANetWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFWavWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFWavRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 81920 ------w- c:\program files\JFRMPl.FRC
2005-07-05 10:49 . 2010-06-15 16:45 36864 ------w- c:\program files\JFVCDPl.FRC
2005-07-05 10:49 . 2010-06-15 16:45 36864 ------w- c:\program files\JFSpeexWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFWavOut.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFSpeexRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFRMWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFQTPl.FRC
2005-07-05 10:49 . 2010-06-15 16:45 36864 ------w- c:\program files\JFNetworkWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFOGGWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFOGGRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFOGGEnc.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFNetFP.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMPCWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMPCRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMP3Wt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMP3Rd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMP3ProWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMP3ProEnc.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMP3Enc.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMP3Dec.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMODRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFMIDRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFIMSRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 57344 ------w- c:\program files\JFDSPl.FRC
2005-07-05 10:49 . 2010-06-15 16:45 53248 ------w- c:\program files\JFDVDPl.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFFLACWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFFLACRd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFCDPl.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFAPEWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFAPERd.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFAMP3En.FRC
2005-07-05 10:49 . 2010-06-15 16:45 40960 ------w- c:\program files\JFACDWt.FRC
2005-07-05 10:49 . 2010-06-15 16:45 32768 ------w- c:\program files\JFACDRd.FRC
2011-04-14 16:47 . 2011-05-18 16:58 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-05-09 2552648]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-08 04:02 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2010-07-12 14:07 344064 ----a-w- c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DialFlirt]
c:\program files\DialFlirt\dialmsn.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EmailChecker]
2010-07-12 13:19 40960 ----a-w- c:\apps\EmailChecker\ech.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Icon]
2005-08-23 13:51 221184 ------w- c:\windows\system32\drivers\Icon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 ------w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-05-12 20:00 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04 2879488 ----a-w- c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmpcSys]
2005-11-17 07:51 975360 ------w- c:\apps\SMP\SMPSYS.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51 36864 ----a-w- c:\program files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STDSB]
2003-12-17 14:50 28672 ------w- c:\windows\system32\drivers\STDSB.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
c:\program files\SuperCopier2\SuperCopier2.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2010-07-12 15:18 766041 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2010-07-12 15:18 86105 ----a-w- c:\program files\Synaptics\SynTP\SynTPLpr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 16:28 155648 ----a-w- c:\program files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
2010-07-12 14:16 90112 ----a-w- c:\program files\Fichiers communs\Ulead Systems\AutoDetector\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdatePDRShortCut]
c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2004-10-22 09:53 53248 ------w- c:\windows\system32\VTTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
2005-01-11 05:33 143360 ------w- c:\windows\system32\VTTrayp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\PoivY.com\\PoivY\\PoivY.exe"=
"c:\\Program Files\\ActionVoip.com\\ActionVoip\\ActionVoip.exe"=
"c:\\Program Files\\CCleaner\\CCleaner.exe"=
"c:\\APPS\\Ulead Systems\\Ulead VideoStudio 8.0 SE DVD\\vstudio.exe"=
"c:\\WINDOWS\\system32\\Ati2evxx.exe"=
"c:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe"=
"c:\\WINDOWS\\system32\\logon.scr"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\APPS\\skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
.
S1 archlp;archlp;c:\windows\system32\drivers\archlp.sys --> c:\windows\system32\drivers\archlp.sys [?]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [12/01/2011 14:33 165584]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2/05/2011 20:36 242472]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2/05/2011 20:36 29400]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [23/06/2009 11:01 9968]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [23/06/2009 11:01 72944]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/01/2011 14:33 17744]
S2 MTC0007_STDSB;Scroll Bar Driver;c:\windows\system32\drivers\STDSB.sys [7/07/2006 14:01 11279]
S2 STDSB;STDSB;c:\windows\system32\drivers\STDSB.sys [7/07/2006 14:01 11279]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [17/06/2011 21:33 39984]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [23/06/2009 11:01 7408]
S4 Dvepdeupnuh;Dvepdeupnuh;c:\windows\system32\drivers\aic78u2.sys [16/08/2004 19:02 55168]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-18 c:\windows\Tasks\Extension de garantie.job
- c:\apps\SMP\PBCARNOT.EXE [2005-11-09 11:55]
.
2007-04-21 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-16 02:34]
.
2007-04-21 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-16 02:34]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 109.88.203.3 212.68.193.196
TCP: Interfaces\{4DE8E7E3-644B-4BBA-8CEF-D64BFFD1D538}: NameServer = 156.154.70.25,156.154.71.25
TCP: Interfaces\{8000C532-1EE1-4ACF-B7D9-742ECD3DA457}: NameServer = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\documents and settings\Mavungu André César\Application Data\Mozilla\Firefox\Profiles\k17yftz6.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-18 10:28
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
"ImagePath"="\"c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\02\00\00\00\10
[%\00«Ô'|\00\00\00\00\00\00\00\00\00\00\00\00(\00\00\00\00\00^\03pè\13\00pè\13\00\18î"
.
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(212)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(164)
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-06-18 10:33:36
ComboFix-quarantined-files.txt 2011-06-18 08:33
.
Avant-CF: 22.750.158.848 octets libres
Après-CF: 22.716.215.296 octets libres
.
- - End Of File - - 1FF21DF4EC6D7D43C640DEF9F0BBE4C9

Merci pour ton aide précieuse.
Bien à toi
Zor

NB: il y a aussi quelques symptomes qui étaient présents avant le traitement. Par ex, les pages web que je consulte sont "dépouillées" et toutes les icônes ne sont pas visibles.
Je souhaiterais élaguer cet ordinateur et ne conserver que les programmes essentiels de bureautique simple: windows office, parefeu comodo, antivirus, adobe reader, adobe flash player, un logiciel photo (photoshop cs), un logiciel de lecture de vidéos (VLC). Il y a tellement de programmes installés que je ne sais lesquels conserver.

Merci pour ton aide précieuse et ta patience

Zor
0
Réponse 15 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 13:17
ok mais on a encore du boulot avant ...

▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.
0
Réponse 16 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
18 juin 2011 à 14:48
Voilà, j'ai désinstallé Avast au profit de Antivir.

Je joins le résultat du scan avec Antivir

Le dépôt du fichier scan antivir1.txt a été réalisé avec succès !

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201106/cijFidnAGd.txt

Merci pour votre aide.
J'attends vos instructions.

Zor
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 14:49
et ça : https://forums.commentcamarche.net/forum/affich-22383588-infections-diverses-sality-pandex-accrack#15

?
0
Réponse 17 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
18 juin 2011 à 14:52
Le dépôt du fichier TDSSKiller1.txt a été réalisé avec succès !

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201106/cijrbpQ8Nl.txt
0
Réponse 18 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
18 juin 2011 à 14:55
En résumé, l'examen avec TDSSKiller n'a rien révélé!!!
0
Réponse 19 / 27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 15:12
Bizarre ...

Refais un ZHPDiag comme expliqué là : https://forums.commentcamarche.net/forum/affich-22383588-infections-diverses-sality-pandex-accrack#3
0
Réponse 20 / 27
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
18 juin 2011 à 15:26
Le dépôt du fichier ZHPDiag2.Txt a été réalisé avec succès !

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201106/cijPniVMJM.txt
0

Discussions similaires

Tous les paragraphes sont considérés comme des titres
FranckS -
romain -

3 réponses
Recherche des forums du site Supertoinette
Loulabella -
blackwolfi -

2 réponses
supertoinette t'es où ?
henrietta01 -
bendrop -

5 réponses
pubs supertoinette
whaler -
Pierr10 -

9 réponses
Problème mise en forme - Titres
madeleine2proust -
madeleine2proust -

6 réponses