Trojan-BNK.Win32.keylogger.gen

Réponse 21 / 47

nirmine

le virus est tjrs là !!
en plus, je n'arrive pas à ouvrir les .exe

Réponse 22 / 47

nirmine

Le fichier dll32.exe est introuvable :((((((((((((((((

Réponse 23 / 47

nirmine

Bonjour,

Avez-vous une idée ?

Le virus est tjrs la

Merci

Réponse 24 / 47

nirmine

En fait, je n'arrive pas a accéder à internet depuis le poste contaminé !!
savez-vous pourquoi ?

Réponse 25 / 47

nirmine

Je vous joint les différents rapports :

ZHPDiag.txt http://www.cijoint.fr/cjlink.php?file=cj201106/cijRormvrX.txt

ZHPFixReport.txt http://www.cijoint.fr/cjlink.php?file=cj201106/cijRI1IbvV.txt

ZHPFixReport1.txt http://www.cijoint.fr/cjlink.php?file=cj201106/cijioXyrCb.txt

Ad-Report-CLEAN[3].txt http://www.cijoint.fr/cjlink.php?file=cj201106/cijB7YbkKv.txt

Je suis en train de rescanner malarwabyte, mais comme je n'ai pas internet sur le poste il n'est pas à jour.

Je vous l'envoie dés qu'il finira (il y a un élément déféctueux)

Ce que je trouve bizarre est que je n'ai plus connexion à interent mais peut être tout est lié puisque les .exe impossible de les ouvrir et le rundll32.exe est introuvable malgré qu'il est dans le systéme

Réponse 26 / 47

Utilisateur anonyme

bonjour

attend les instruction de maxou45 au lieu de paniquer ;)

cordialement

Réponse 27 / 47

nirmine

:), je n'ai plus la patience :)) :(((((((((
Maxouuuuuuuuuuuuuuuuuuu45, vous êtes où ??? :)))
mais je vous remercie de vos réponses et votre aide

Je vous joints les différents rapports de malarwabyte :

***************************

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6705

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/06/2011 10:41:08
mbam-log-2011-06-20 (10-41-08).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 215819
Temps écoulé: 1 heure(s), 5 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Documents and Settings\Nadia nekhlaoui\Local Settings\Application Data\ycs.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\nadia nekhlaoui\local settings\application data\lgx.exe (Trojan.ExeShell.Gen) -> Quarantined and deleted successfully.

*******************************************

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6705

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

19/06/2011 19:25:15
mbam-log-2011-06-19 (19-25-15).txt

Scan type: Quick scan
Objects scanned: 154874
Time elapsed: 3 minute(s), 26 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Nadia nekhlaoui\Local Settings\Application Data\ycs.exe" -a "") Good: (iexplore.exe) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

************************************

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6894

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

19/06/2011 16:40:03
mbam-log-2011-06-19 (16-40-03).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 220452
Time elapsed: 25 minute(s), 15 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\system volume information\_restore{a21932bc-6dda-42a7-ace0-57b149ca8d0a}\RP357\A0094256.dll (Adware.Agent) -> Quarantined and deleted successfully.

***********************************************

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6823

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

18/06/2011 12:31:48
mbam-log-2011-06-18 (12-31-48).txt

Scan type: Quick scan
Objects scanned: 157869
Time elapsed: 21 minute(s), 51 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 4
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Nadia nekhlaoui\Local Settings\Application Data\ycs.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

*******************************

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6894

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

19/06/2011 16:12:40
mbam-log-2011-06-19 (16-12-40).txt

Scan type: Quick scan
Objects scanned: 158700
Time elapsed: 6 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 8
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\YontooIEClient.Layers.1 (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\YontooIEClient.Layers (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} (Adware.Agent) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Nadia nekhlaoui\Local Settings\Application Data\ycs.exe" -a "") Good: (iexplore.exe) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\program files\PageRage\yontooieclient.dll (Adware.Agent) -> Quarantined and deleted successfully.

**********************************

Merci

Réponse 28 / 47

nirmine

Alors, j'ai résolu le pb des .exe, et rundll32.exe est ok

mais toujours pas connexion internet... Trace des virux sont peut être toutjours là...

Utilisateur anonyme

ta lu mes message ?

nirmine

celui-là :

*******************
bonjour

attend les instruction de maxou45 au lieu de paniquer ;)

cordialement
*************************************

oui :)

Utilisateur anonyme

ok , alors ne panique pas et attend ces instruction ; les helpers ont une vis privée tu sais

il ne sont pas des boniches

cordilalement

nirmine

Ce n'est pas de tout mon attention
Déjà, vous êtes une aide précieux pour nous que vous soyez là et je vous remercie à chaque fois, dans mon chaque mail !!
Mes mails ont pour but d'informer ce que je fait sur mon pc, c'est tout !!

Merci

Utilisateur anonyme

d'accord mais soit moins .... hyper active ^^
on arrête les message la car on est en train d'occuper un topic de désinfection et non un topic de discution

je te souhaite une agréable désinfection en compagnie de maxou45

cordialement

ps pour maxou45 : bientôt niveau intermédiaire ^^

Réponse 29 / 47

maxou45 Messages postés 252 Date d'inscription Statut Membre Dernière intervention 29

Desolé, je suis au Taff en ce moment, alors pas beaucoup de temps
C'est quoi tous ces rapports MBAM ?
je ne t'en avais pas demandé, j'allais y venir
je comprends mieux maintenant pourquoi des fichiers n'etaient pas presents lors de mes scripts, tu les avais supprimés auparavant.
Suis EXACTEMENT mes instructions.

Pour retablir tes associations exe:
a partir d'un autre PC
Aller sur ce site :https://www.winhelponline.com/blog/file-asso-fixes-for-windows-7/
Télécharger le fichier compressé qui contient le correctif de l'extension EXE (cliquer sur EXE)
Extraire son contenu sur lune clé par exemple.

revenir sur ton pc
Exécuter le fichier Exefix_Vista.reg en faisant double clic dessus.
Choisir Oui > OK.

Réponse 30 / 47

nirmine

Bonjour Maxou,
J'ai résolu les fichier .exe !! c'est bon
et trouver le fichier rundll32.exe

Ce qui est bizarre, je n'ai plus accès à internet et je pense qu'il y a encore des traces du virus !!

Est-e que j'applique quand même vos instructions ?

merci

Réponse 31 / 47

nirmine

Ok, c'est fait !!

Réponse 32 / 47

maxou45 Messages postés 252 Date d'inscription Statut Membre Dernière intervention 29

Refait un diagnostique ZHP

* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* /!\ Utilisateurs de Windows Vista et Windows 7 >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

PS: Je suis au taff jusqu'a tard ce soir.
Si quelqu'un veut t'aider plus rapidement, c'est OK
_______________

Formation Qualification Helper

Réponse 33 / 47

nirmine

Ci-joint le fichier :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijs7246bU.txt

Je n'ai tjrs pas interent, et j'ai remarqué l'erreur suivant (en jpg, peut-ête java déconne ) :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijJPfCSqA.jpg

Merci

Réponse 34 / 47

maxou45 Messages postés 252 Date d'inscription Statut Membre Dernière intervention 29

????????????????
ca ne va pas du tout , j'ai l'impression que tu te moques de moi....
Il y a des infections maintenant que tu n'avais pas au depart ...


O4 - HKUS\S-1-5-21-3720989741-4258901348-757173393-1005\..\Run: [178709220] C:\Documents and Settings\Nadia nekhlaoui\Local Settings\Application Data\ycs.exe (.not file.)    => Infection Rogue
[HKCU\Software\OfferBox]    => Infection PUP (PUP.OfferBox)

et toutes celles que nous avions virer, sont a nouveau là ... en multiples
qu'as tu fait ?
tu as telechargé des fichiers ....?

Réponse 35 / 47

nirmine

Je ne moque pas de toi, ni de personne,

J'ai téléchargé RogueKiller, je l'ai trouvé sur internet (c'est pas bien ??)

J'ai réussi à avoir la connexion sur internet aprés que j'ai lancé le diagnostic
et relancer le malarwabyte (que j'ai mis à jour)

et voila le fichier :

Par contre, je n'arrive pas à mettre à jour le windows :( et toujours probléme de Java

Après une mise à jour de malarwabyte, voila le fichier log

Qu'est ce que vous pensiez ?
************************
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6901

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/06/2011 14:25:48
mbam-log-2011-06-20 (14-25-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 220714
Temps écoulé: 1 heure(s), 8 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\nadia nekhlaoui\local settings\Temp\jar_cache6004132307122981682.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\nadia nekhlaoui\local settings\Temp\jar_cache8426344655199962778.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\program files\ZHPDiag\quarantine\ycs.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a21932bc-6dda-42a7-ace0-57b149ca8d0a}\RP357\A0094738.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a21932bc-6dda-42a7-ace0-57b149ca8d0a}\RP358\A0094846.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
**************************************

Réponse 36 / 47

maxou45 Messages postés 252 Date d'inscription Statut Membre Dernière intervention 29

On va passer a plus fort....
mais respect ce que je te donne comme consignes

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.

/!\ Désactive tous tes logiciels de protection /!\

/!\ Si tu utilises l'antivirus AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix
La simple désactivation du guard n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits) /!\

* Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Avant d'utiliser ComboFix :

* ferme les fenêtres de tous les programmes en cours.

* Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

* Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

* Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Réponse 37 / 47

nirmine

La mise à jour automatique du windows est OK !!

Reste le soucis de java :

Ci-dessous le log de ComboFix :

******************************
ComboFix 11-06-19.0r1 - Nadia nekhlaoui 20/06/2011 15:35:46.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.533 [GMT 2:00]
Lancé depuis: c:\documents and settings\Nadia nekhlaoui\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\Tarma Installer
c:\documents and settings\Nadia nekhlaoui\Application Data\OfferBox
c:\documents and settings\Nadia nekhlaoui\Application Data\OfferBox\config.xml
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-20 au 2011-06-20 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-19 21:54 . 2001-03-18 18:37 5708 -c--a-w- c:\windows\system32\k9371937.DLL
2011-06-19 21:45 . 2011-06-19 21:45 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Mozilla
2011-06-19 15:37 . 2011-06-19 15:37 -------- dc----w- c:\program files\Ad-Remover
2011-06-19 13:59 . 2011-06-19 16:04 -------- dc----w- c:\program files\PC Tools Security
2011-06-19 13:53 . 2011-06-19 13:53 711728 -c--a-w- c:\windows\is-1RI54.exe
2011-06-19 13:42 . 2011-06-19 20:08 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-06-19 12:51 . 2011-06-19 16:02 -------- dc----w- c:\documents and settings\All Users\Application Data\PC Tools
2011-06-19 11:01 . 2011-06-19 11:01 -------- dc----w- C:\VundoFix Backups
2011-06-19 10:56 . 2011-06-19 10:56 512 -c--a-w- C:\PhysicalDisk0_MBR.bin
2011-06-19 10:54 . 2011-06-20 10:17 -------- dc----w- c:\program files\ZHPDiag
2011-06-19 09:09 . 2011-06-20 13:04 -------- dc----w- C:\logiciels
2011-06-18 10:03 . 2011-06-19 09:40 -------- dc----w- c:\documents and settings\Administrateur
2011-06-16 18:25 . 2011-06-16 18:25 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Iceni
2011-06-16 18:25 . 2010-01-15 04:47 897024 -c--a-w- c:\windows\system32\SaveTo.dll
2011-06-16 18:24 . 2010-06-20 23:10 28672 -c--a-w- c:\windows\system32\Spool\prtprocs\w32x86\ActPrint.dll
2011-06-16 18:24 . 2011-01-03 01:29 976896 -c--a-w- c:\windows\system32\PrintDisp.exe
2011-06-16 18:24 . 2009-10-28 17:59 65536 -c--a-w- c:\windows\system32\PrintCtrl.exe
2011-06-16 18:24 . 2008-01-18 21:36 1391616 -c--a-w- c:\windows\system32\ActPDF.dll
2011-06-16 18:24 . 2010-01-20 01:40 2535424 -c--a-w- c:\windows\system32\CPDF.dll
2011-06-16 18:24 . 2009-02-02 20:43 691200 -c--a-w- c:\windows\system32\PrintLog.exe
2011-06-16 18:24 . 2007-09-10 08:32 524288 -c--a-w- c:\windows\system32\PrtPass.exe
2011-06-16 18:24 . 2010-07-15 08:15 375296 -c--a-w- c:\windows\system32\SetPrinter.exe
2011-06-16 18:24 . 2010-09-12 03:35 1171456 -c--a-w- c:\windows\system32\PrtClient.exe
2011-06-16 18:24 . 2009-10-01 03:31 740864 -c--a-w- c:\windows\system32\PrtTools.exe
2011-06-16 18:24 . 2010-06-09 08:52 827904 -c--a-w- c:\windows\system32\SetupDrv.exe
2011-06-16 18:24 . 2001-09-05 17:00 1700352 -c--a-w- c:\windows\system32\gdiplus.dll
2011-06-16 18:23 . 2011-06-16 18:23 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\Iceni
2011-06-16 18:23 . 2011-06-16 18:23 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\Aspell
2011-06-14 19:07 . 2011-06-14 19:07 -------- dc----w- c:\program files\ALA
2011-06-09 20:27 . 2011-06-09 20:27 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\BabylonToolbar
2011-06-09 20:20 . 2011-06-09 20:21 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\IDMComp
2011-06-09 14:07 . 2011-06-09 14:07 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Deployment
2011-06-02 19:10 . 2011-06-02 19:10 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Evernote
2011-06-02 19:09 . 2011-06-16 17:13 -------- dc----w- c:\program files\Evernote
2011-06-02 11:53 . 2011-06-19 14:12 -------- dc----w- c:\program files\PageRage
2011-05-29 11:20 . 2011-06-20 11:10 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\go
2011-05-29 11:20 . 2011-06-20 13:44 -------- dc----w- c:\documents and settings\All Users\Application Data\Easybits GO
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2009-11-07 21:24 39984 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2009-11-07 21:24 22712 -c--a-w- c:\windows\system32\drivers\mbam.sys
2011-05-02 15:31 . 2008-10-28 16:42 692736 -c--a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2008-10-28 22:19 456320 -c--a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:06 . 2008-10-28 22:19 916480 -c--a-w- c:\windows\system32\wininet.dll
2011-04-25 16:06 . 2008-10-28 22:19 43520 -c--a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:06 . 2008-10-28 22:19 1469440 -c--a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2008-10-28 22:19 385024 -c--a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2008-10-28 22:19 105472 -c--a-w- c:\windows\system32\drivers\mup.sys
2011-04-14 16:47 . 2011-06-19 20:57 142296 -c--a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-12-10 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-15 148888]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-07 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"SUPBackGround"="c:\program files\Samsung\Samsung Update Plus\SUPBackGround.exe" [2010-04-20 300912]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"PrintDisp"="c:\windows\system32\PrintDisp.exe" [2011-01-03 976896]
.
c:\documents and settings\Nadia nekhlaoui\Menu D'marrer\Programmes\D'marrage\
Canon IJ Status Monitor Canon MP620 series Printer.lnk - c:\windows\system32\rundll32.exe [2008-10-29 33792]
EvernoteClipper.lnk - c:\program files\Evernote\Evernote\EvernoteClipper.exe [2011-6-15 974848]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-1 568176]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/08/2009 20:04 108289]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [28/10/2008 18:48 4300]
R2 Printer Control;Printer Control;c:\windows\system32\PrintCtrl.exe [16/06/2011 20:24 65536]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [10/12/2010 14:29 92008]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [28/10/2008 18:52 238464]
S2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 36864]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [30/10/2006 15:29 19840]
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-20 c:\windows\Tasks\User_Feed_Synchronization-{9B13E573-4D89-4744-8012-DB458947001B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
2011-06-20 c:\windows\Tasks\User_Feed_Synchronization-{B8A5E401-8B25-4FD7-A8D1-191E4CF19F39}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: Add to Evernote 4.0 - c:\program files\Evernote\Evernote\EvernoteIE.dll/204
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://c:\program files\Evernote\Evernote\EvernoteIE.dll/204
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\documents and settings\Nadia nekhlaoui\Application Data\Mozilla\Firefox\Profiles\57lxof82.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Rainlendar2 - c:\program files\Rainlendar2\Rainlendar2.exe
HKCU-Run-Cld2000.exe - c:\program files\Calendrier\Cld2000.exe
HKCU-Run-AA14B53BA7B487A3C21FC07C12EAD484B94DDFDC._service_run - c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-20 15:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
Heure de fin: 2011-06-20 15:50:26
ComboFix-quarantined-files.txt 2011-06-20 13:50
.
Avant-CF: 36 785 557 504 octets libres
Après-CF: 36 901 027 840 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 7B0EBEE24F937CBAD2561529433821D3
*****************************************

Réponse 38 / 47

maxou45 Messages postés 252 Date d'inscription Statut Membre Dernière intervention 29

DECONNECTE TON PC D'INTERNET

DESACTIVE LA PROTECTION ANTIVIRUS DURANT LA PROCEDURE

* Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

 

Folder:: 
c:\documents and settings\Nadia nekhlaoui\Application Data\OfferBox    
c:\documents and settings\Nadia nekhlaoui\Application Data\BabylonToolbar  

Quit::

* Enregistre ce fichier sous le nom CFScript.txt (Attention de bien respecter cette orthographe)

* Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

* Combofix se lance, laisse toi guider..

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
________________________
Formation Qualification Helper

Réponse 39 / 47

nirmine

Voila le fichier :

*************

ComboFix 11-06-19.0r1 - Nadia nekhlaoui 20/06/2011 18:53:26.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.548 [GMT 2:00]
Lancé depuis: c:\documents and settings\Nadia nekhlaoui\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Nadia nekhlaoui\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Nadia nekhlaoui\Application Data\BabylonToolbar
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-20 au 2011-06-20 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-20 14:14 . 2011-06-20 14:13 472808 -c--a-w- c:\windows\system32\deployJava1.dll
2011-06-19 21:54 . 2001-03-18 18:37 5708 -c--a-w- c:\windows\system32\k9371937.DLL
2011-06-19 21:45 . 2011-06-19 21:45 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Mozilla
2011-06-19 15:37 . 2011-06-19 15:37 -------- dc----w- c:\program files\Ad-Remover
2011-06-19 13:59 . 2011-06-19 16:04 -------- dc----w- c:\program files\PC Tools Security
2011-06-19 13:53 . 2011-06-19 13:53 711728 -c--a-w- c:\windows\is-1RI54.exe
2011-06-19 13:42 . 2011-06-19 20:08 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-06-19 12:51 . 2011-06-19 16:02 -------- dc----w- c:\documents and settings\All Users\Application Data\PC Tools
2011-06-19 11:01 . 2011-06-19 11:01 -------- dc----w- C:\VundoFix Backups
2011-06-19 10:56 . 2011-06-19 10:56 512 -c--a-w- C:\PhysicalDisk0_MBR.bin
2011-06-19 10:54 . 2011-06-20 10:17 -------- dc----w- c:\program files\ZHPDiag
2011-06-19 09:09 . 2011-06-20 13:04 -------- dc----w- C:\logiciels
2011-06-18 10:03 . 2011-06-19 09:40 -------- dc----w- c:\documents and settings\Administrateur
2011-06-16 18:25 . 2011-06-16 18:25 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Iceni
2011-06-16 18:25 . 2010-01-15 04:47 897024 -c--a-w- c:\windows\system32\SaveTo.dll
2011-06-16 18:24 . 2010-06-20 23:10 28672 -c--a-w- c:\windows\system32\Spool\prtprocs\w32x86\ActPrint.dll
2011-06-16 18:24 . 2011-01-03 01:29 976896 -c--a-w- c:\windows\system32\PrintDisp.exe
2011-06-16 18:24 . 2009-10-28 17:59 65536 -c--a-w- c:\windows\system32\PrintCtrl.exe
2011-06-16 18:24 . 2008-01-18 21:36 1391616 -c--a-w- c:\windows\system32\ActPDF.dll
2011-06-16 18:24 . 2010-01-20 01:40 2535424 -c--a-w- c:\windows\system32\CPDF.dll
2011-06-16 18:24 . 2009-02-02 20:43 691200 -c--a-w- c:\windows\system32\PrintLog.exe
2011-06-16 18:24 . 2007-09-10 08:32 524288 -c--a-w- c:\windows\system32\PrtPass.exe
2011-06-16 18:24 . 2010-07-15 08:15 375296 -c--a-w- c:\windows\system32\SetPrinter.exe
2011-06-16 18:24 . 2010-09-12 03:35 1171456 -c--a-w- c:\windows\system32\PrtClient.exe
2011-06-16 18:24 . 2009-10-01 03:31 740864 -c--a-w- c:\windows\system32\PrtTools.exe
2011-06-16 18:24 . 2010-06-09 08:52 827904 -c--a-w- c:\windows\system32\SetupDrv.exe
2011-06-16 18:24 . 2001-09-05 17:00 1700352 -c--a-w- c:\windows\system32\gdiplus.dll
2011-06-16 18:23 . 2011-06-16 18:23 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\Iceni
2011-06-16 18:23 . 2011-06-16 18:23 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\Aspell
2011-06-14 19:07 . 2011-06-14 19:07 -------- dc----w- c:\program files\ALA
2011-06-09 20:20 . 2011-06-09 20:21 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\IDMComp
2011-06-09 14:07 . 2011-06-09 14:07 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Deployment
2011-06-02 19:10 . 2011-06-02 19:10 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Local Settings\Application Data\Evernote
2011-06-02 19:09 . 2011-06-16 17:13 -------- dc----w- c:\program files\Evernote
2011-06-02 11:53 . 2011-06-19 14:12 -------- dc----w- c:\program files\PageRage
2011-05-29 11:20 . 2011-06-20 14:05 -------- dc----w- c:\documents and settings\Nadia nekhlaoui\Application Data\go
2011-05-29 11:20 . 2011-06-20 16:56 -------- dc----w- c:\documents and settings\All Users\Application Data\Easybits GO
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-20 14:13 . 2009-09-15 17:23 73728 -c--a-w- c:\windows\system32\javacpl.cpl
2011-05-29 07:11 . 2009-11-07 21:24 39984 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2009-11-07 21:24 22712 -c--a-w- c:\windows\system32\drivers\mbam.sys
2011-05-02 15:31 . 2008-10-28 16:42 692736 -c--a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2008-10-28 22:19 456320 -c--a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:06 . 2008-10-28 22:19 916480 -c--a-w- c:\windows\system32\wininet.dll
2011-04-25 16:06 . 2008-10-28 22:19 43520 -c--a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:06 . 2008-10-28 22:19 1469440 -c--a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2008-10-28 22:19 385024 -c--a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2008-10-28 22:19 105472 -c--a-w- c:\windows\system32\drivers\mup.sys
2011-04-14 16:47 . 2011-06-19 20:57 142296 -c--a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-06-20_13.46.15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-06-20 14:14 . 2011-06-20 14:14 16384 c:\windows\Temp\Perflib_Perfdata_d84.dat
+ 2011-06-20 14:14 . 2011-06-20 14:13 157472 c:\windows\system32\javaws.exe
+ 2011-06-20 14:14 . 2011-06-20 14:13 145184 c:\windows\system32\javaw.exe
+ 2011-06-20 14:14 . 2011-06-20 14:13 145184 c:\windows\system32\java.exe
+ 2011-06-20 14:14 . 2011-06-20 14:14 180224 c:\windows\Installer\102be7.msi
+ 2011-06-20 14:13 . 2011-06-20 14:13 675840 c:\windows\Installer\102be1.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-12-10 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-07 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"SUPBackGround"="c:\program files\Samsung\Samsung Update Plus\SUPBackGround.exe" [2010-04-20 300912]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"PrintDisp"="c:\windows\system32\PrintDisp.exe" [2011-01-03 976896]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
c:\documents and settings\Nadia nekhlaoui\Menu D'marrer\Programmes\D'marrage\
Canon IJ Status Monitor Canon MP620 series Printer.lnk - c:\windows\system32\rundll32.exe [2008-10-29 33792]
EvernoteClipper.lnk - c:\program files\Evernote\Evernote\EvernoteClipper.exe [2011-6-15 974848]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-1 568176]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/08/2009 20:04 108289]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [28/10/2008 18:48 4300]
R2 Printer Control;Printer Control;c:\windows\system32\PrintCtrl.exe [16/06/2011 20:24 65536]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [10/12/2010 14:29 92008]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [28/10/2008 18:52 238464]
S2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 36864]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [30/10/2006 15:29 19840]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WUAUSERV
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-20 c:\windows\Tasks\User_Feed_Synchronization-{9B13E573-4D89-4744-8012-DB458947001B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
2011-06-20 c:\windows\Tasks\User_Feed_Synchronization-{B8A5E401-8B25-4FD7-A8D1-191E4CF19F39}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: Add to Evernote 4.0 - c:\program files\Evernote\Evernote\EvernoteIE.dll/204
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://c:\program files\Evernote\Evernote\EvernoteIE.dll/204
FF - ProfilePath - c:\documents and settings\Nadia nekhlaoui\Application Data\Mozilla\Firefox\Profiles\57lxof82.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-20 19:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1744)
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
Heure de fin: 2011-06-20 19:08:12
ComboFix-quarantined-files.txt 2011-06-20 17:08
ComboFix2.txt 2011-06-20 13:50
.
Avant-CF: 37 170 995 200 octets libres
Après-CF: 37 192 343 552 octets libres
.
- - End Of File - - 959A6FD3B150ED8FC876020CA6DE9EBA

Réponse 40 / 47

maxou45 Messages postés 252 Date d'inscription Statut Membre Dernière intervention 29

La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout
Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles.
Nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.

Mise a jour de ton système
Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant
* Ta version de Java n'est pas à jour
Clique sur ce lien : https://www.java.com/fr/download/uninstalltool.jsp
Clique sur le bouton rouge Vérifier la version de Java
Patiente quelques instants durant la détection
Un message indiquera qu'il existe une nouvelle version de Java et proposera le téléchargement
Télécharge cette nouvelle version

* Ta version de Adobe n'est pas a jour
va le telecharger ici https://supportdownloads.adobe.com/thankyou.jsp?ftpID=5135&fileID=4771

Optimisation du PC avec CCLEANER
* Suppression des fichiers inutiles
Télécharge https://www.clubic.com/telecharger-fiche14492-ccleaner.html
Installe le, puis lance le.
Va dans l'onglet "Options" puis " Avancé "
Décoche " Effacer uniquement les fichiers[...] ".
Cliques sur l'onglet " Nettoyeur "
Cliques sur Analyser .
A la fin de l'analyse, clique sur Nettoyer
Rends toi à l'onglet " Registre " puis cliques sur Chercher les erreurs]
Cliques ensuite sur Corriger les erreurs séléctionnées.
Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression )
Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
Redémarre ton PC.

Supprimer les points de restauration antérieurs à la désinfection : OneClick2RestorePoint
Télécharge http://www.multifa7.be/Laddy/OneClick2RP.exe de Laddy sur ton Bureau
Conserve-le tout au long de la désinfection et de l'optimisation.
Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
Entre la description suivante : apres desinfection
Clic sur le bouton Créer, puis sur le bouton OK.
Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système
Relance OneClick2RP
Clic sur le bouton "Purger",
l'outil de nettoyage de windows va s'ouvrir
Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
Rends toi dans l'onglet "Autres options"

Dans la zone restauration système, clic sur le bouton nettoyer
puis sur le bouton Supprimer.
Les points de restauration système seront purgés sauf le dernier créé.

Suppression des outils utilisés pour la désinfection
lance ZHPFix en double cliquant sur l'icone située sur ton bureau
Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Dans la fenêtre de ZHPFix, cliquer sur le "A" rouge
Cliquer sur "Nettoyer"

Fermer toutes les fenêtres

Redémarrer le PC

Liens utiles
Ces liens sont en rapport direct avec la sécurité de ton PC: Prends le temps de les lire pour comprendre pourquoi tu as été infecté.
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=15761&start=
https://www.malekal.com/proteger-pc-virus-pirates/
https://forum.malekal.com/viewtopic.php?t=12405&start=
https://forum.malekal.com/viewtopic.php?t=6173&start=

Trojan-BNK.Win32.keylogger.gen

47 réponses

Votre réponse

Discussions similaires