Win32-zbot-g
Résolu/Fermé
A voir également:
- Win32-zbot-g
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Logitech g hub ne se lance pas - Forum Logiciels
- Win32 pup gen ✓ - Forum Linux / Unix
- G-talk - Télécharger - Messagerie
56 réponses
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
13 oct. 2011 à 14:52
13 oct. 2011 à 14:52
ah ok !! lol !! moi qui me demandait comment vous aviez pu voir ça !!
le voici :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijHpztzR1.txt
le voici :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijHpztzR1.txt
Utilisateur anonyme
11 oct. 2011 à 23:58
11 oct. 2011 à 23:58
salut
telecharge cet outil , lance - le , clique sur "Lancer le nettoyage"
il va telecharger la derniere version puis lancer le scan
poste le rapport qui apparaitra en fin de scan sur le bureau
http://dl.dropbox.com/u/21363431/ZB_K.exe
telecharge cet outil , lance - le , clique sur "Lancer le nettoyage"
il va telecharger la derniere version puis lancer le scan
poste le rapport qui apparaitra en fin de scan sur le bureau
http://dl.dropbox.com/u/21363431/ZB_K.exe
Merci de m'aider les gars c'est sympa !!
j'ai commencer par lire le second mail voici le rapport :
http://pjjoint.malekal.com/files.php?id=q5f8n15h10v11p11h12z11s6w11k15e15q13u12p15r12s13q9y10g9
Dois-je faire ce que Guillaume m'indique maintenant ?
j'ai commencer par lire le second mail voici le rapport :
http://pjjoint.malekal.com/files.php?id=q5f8n15h10v11p11h12z11s6w11k15e15q13u12p15r12s13q9y10g9
Dois-je faire ce que Guillaume m'indique maintenant ?
Utilisateur anonyme
12 oct. 2011 à 00:13
12 oct. 2011 à 00:13
▶ Télécharge ici : USBFIX sur ton bureau
branche tous tes periphériques USB sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
branche tous tes periphériques USB sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
12 oct. 2011 à 07:56
12 oct. 2011 à 07:56
hello
inscris-toi sur comment ca marche et ca fonctionnera :)
inscris-toi sur comment ca marche et ca fonctionnera :)
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 09:52
12 oct. 2011 à 09:52
effectivement !
Merci
Merci
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 09:51
12 oct. 2011 à 09:51
############################## | UsbFix V 7.062 | [Suppression]
Utilisateur: Tony Bazin (Administrateur) # SAMSUNG
Mis à jour le 11/10/2011 par El Desaparecido
Lancé à 00:27:28 | 12/10/2011
Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com
PC: SAMSUNG ELECTRONICS CO., LTD. (NC10 ) (X86-based PC) # Notebook
CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz (1595)
RAM -> [ Total : 1014 | Free : 249 ]
BIOS: Phoenix SecureCore(tm) NB Version 09CA.M004.20090619.RHU
BOOT: Normal boot
OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 7.0.5730.13
SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]
A:\ -> Disque amovible # 1 Mo (0 Mo libre(s) - 3%) [] # FAT
C:\ (%systemdrive%) -> Disque fixe # 71 Go (43 Go libre(s) - 61%) [] # NTFS
D:\ -> Disque fixe # 72 Go (69 Go libre(s) - 95%) [] # NTFS
E:\ -> Disque amovible # 7 Go (5 Go libre(s) - 69%) [] # FAT32
F:\ -> Disque fixe # 466 Go (447 Go libre(s) - 96%) [Elements] # NTFS
G:\ -> Disque amovible # 4 Go (2 Go libre(s) - 63%) [] # FAT32
################## | Processus Actif |
C:\WINDOWS\System32\smss.exe (472)
C:\WINDOWS\system32\csrss.exe (664)
C:\WINDOWS\system32\winlogon.exe (732)
C:\WINDOWS\system32\services.exe (780)
C:\WINDOWS\system32\lsass.exe (792)
C:\WINDOWS\system32\svchost.exe (968)
C:\WINDOWS\system32\svchost.exe (1012)
C:\WINDOWS\System32\svchost.exe (1076)
C:\WINDOWS\system32\svchost.exe (1184)
C:\WINDOWS\system32\svchost.exe (1228)
C:\WINDOWS\system32\spoolsv.exe (1396)
C:\WINDOWS\system32\svchost.exe (1464)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1504)
C:\Program Files\AVG\AVG10\avgwdsvc.exe (1548)
C:\Program Files\Bonjour\mDNSResponder.exe (1568)
C:\WINDOWS\System32\svchost.exe (1616)
C:\Program Files\Java\jre6\bin\jqs.exe (2008)
C:\WINDOWS\Explorer.EXE (168)
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe (920)
C:\WINDOWS\system32\svchost.exe (1520)
C:\WINDOWS\system32\wdfmgr.exe (1584)
C:\Program Files\AVG\AVG10\avgtray.exe (3056)
C:\WINDOWS\system32\ctfmon.exe (3612)
C:\Program Files\Messenger\msmsgs.exe (3636)
C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe (2508)
C:\WINDOWS\system32\wscntfy.exe (3516)
C:\WINDOWS\System32\alg.exe (3840)
C:\Program Files\Mozilla Firefox\firefox.exe (636)
C:\Program Files\Mozilla Firefox\plugin-container.exe (2976)
C:\Program Files\AVG\AVG10\avgui.exe (2840)
C:\UsbFix\Go.exe (232)
C:\WINDOWS\system32\wbem\wmiprvse.exe (3584)
################## | Processus Stoppés |
Stoppé! C:\WINDOWS\system32\spoolsv.exe (1396)
Stoppé! C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1504)
Stoppé! C:\Program Files\AVG\AVG10\avgwdsvc.exe (1548)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (1568)
Stoppé! C:\Program Files\Java\jre6\bin\jqs.exe (2008)
Stoppé! C:\WINDOWS\Explorer.EXE (168)
Stoppé! C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe (920)
Stoppé! C:\WINDOWS\system32\wdfmgr.exe (1584)
Stoppé! C:\Program Files\AVG\AVG10\avgtray.exe (3056)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (3612)
Stoppé! C:\Program Files\Messenger\msmsgs.exe (3636)
Stoppé! C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe (2508)
Stoppé! C:\WINDOWS\system32\wscntfy.exe (3516)
Stoppé! C:\WINDOWS\System32\alg.exe (3840)
Stoppé! C:\Program Files\Mozilla Firefox\firefox.exe (636)
Stoppé! C:\Program Files\Mozilla Firefox\plugin-container.exe (2976)
Stoppé! C:\Program Files\AVG\AVG10\avgui.exe (2840)
################## | Éléments infectieux |
Supprimé! A:\New Folder.lnk
Supprimé! A:\Passwords.lnk
Supprimé! A:\Documents.lnk
Supprimé! A:\Pictures.lnk
Supprimé! A:\Music.lnk
Supprimé! A:\Video.lnk
Supprimé! C:\Recycler\S-1-5-21-2993286999-286281884-1603429676-1008
Supprimé! C:\Recycler\S-1-5-21-3198384803-3493226173-858221405-1003
Supprimé! C:\Recycler\S-1-5-21-432645818-3305566731-427098237-1003
Supprimé! C:\Recycler\S-1-5-21-507921405-879983540-1606980848-1003
Supprimé! D:\Recycler\S-1-5-21-2993286999-286281884-1603429676-1008
Supprimé! D:\Recycler\S-1-5-21-2993286999-286281884-1603429676-500
Supprimé! F:\Recycler\S-1-5-21-1229272821-725345543-839522115-500
Supprimé! F:\Recycler\S-1-5-21-2993286999-286281884-1603429676-1008
Supprimé! A:\Administrateur.exe
Supprimé! F:\autorun.inf
(!) Fichiers temporaires supprimés.
################## | Registre |
################## | Mountpoints2 |
################## | Listing |
[12/05/2009 - 20:49:20 | D ] A:\.Trashes
[12/05/2009 - 20:49:20 | N | 4096] A:\._.Trashes
[12/05/2009 - 20:49:34 | N | 4] A:\.DS_Store
[04/03/2008 - 14:42:00 | N | 368072] A:\LOCK User Manual v1.00 (mode 4).pdf
[20/10/2008 - 14:43:24 | N | 1040384] A:\LOCKV226.EXE
[26/02/2010 - 15:19:48 | N | 0] A:\nhrij.exe
[26/02/2010 - 15:19:48 | N | 0] A:\nhrij.scr
[15/08/2010 - 13:27:48 | D ] A:\PVR
[02/07/2011 - 10:34:42 | D ] C:\$AVG
[23/12/2008 - 11:58:49 | N | 0] C:\AUTOEXEC.BAT
[25/06/2011 - 22:58:38 | D ] C:\Avenger
[04/05/2011 - 11:27:52 | N | 216] C:\boot.ini
[14/04/2008 - 14:00:00 | N | 4952] C:\Bootfont.bin
[23/12/2008 - 11:58:49 | N | 0] C:\CONFIG.SYS
[02/11/2010 - 23:04:05 | D ] C:\Documents and Settings
[11/10/2011 - 21:51:04 | ASH | 1063702528] C:\hiberfil.sys
[23/12/2008 - 11:58:49 | N | 0] C:\IO.SYS
[11/10/2011 - 20:05:05 | D ] C:\Kill'em
[27/06/2008 - 18:00:04 | N | 8682] C:\MessengerStyleSheet.xsl
[23/12/2008 - 11:58:49 | N | 0] C:\MSDOS.SYS
[14/04/2008 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | N | 252240] C:\ntldr
[11/10/2011 - 21:51:03 | ASH | 1598029824] C:\pagefile.sys
[11/10/2011 - 17:22:13 | D ] C:\Program Files
[12/10/2011 - 00:29:01 | SHD ] C:\RECYCLER
[23/12/2008 - 12:10:32 | N | 173] C:\Setup.log
[02/11/2010 - 23:03:46 | SHD ] C:\System Volume Information
[12/10/2011 - 00:29:01 | D ] C:\UsbFix
[12/10/2011 - 00:29:01 | A | 4710] C:\UsbFix.txt
[11/10/2011 - 19:37:35 | D ] C:\WINDOWS
[21/04/2011 - 08:53:26 | D ] D:\6750266fdb3d574e82e847ee2f0f9a80
[31/03/2011 - 21:17:32 | D ] D:\autorun.inf
[15/11/2010 - 21:14:58 | D ] D:\db78179bf6cc667b8f8630a7
[12/10/2011 - 00:29:01 | SHD ] D:\RECYCLER
[05/11/2010 - 04:10:07 | D ] D:\SamsungRecovery
[26/06/2011 - 00:39:15 | SHD ] D:\System Volume Information
[25/09/2011 - 18:02:08 | N | 729452544] E:\Dear Frankie.avi
[15/12/2009 - 14:37:18 | N | 732516352] E:\Incognito FR.avi
[23/05/2011 - 23:14:44 | N | 733835264] E:\The.Mechanic.2011.FRENCH.DVDRiP_Smoker.avi
[27/09/2011 - 17:46:34 | D ] E:\PVR
[30/03/2010 - 03:45:31 | D ] F:\autorun
[09/10/2011 - 00:11:24 | D ] F:\Divix
[30/05/2011 - 15:36:39 | D ] F:\Football Manager 2011
[08/10/2011 - 23:32:09 | D ] F:\Musik
[08/08/2011 - 14:02:27 | D ] F:\pictures
[12/10/2011 - 00:29:01 | SHD ] F:\RECYCLER
[20/02/2011 - 20:25:43 | SHD ] F:\System Volume Information
[08/08/2011 - 13:59:35 | D ] F:\Temporaire
[14/04/2010 - 23:04:06 | N | 1472086016] G:\Treize Jours VOSTFR.avi
[01/01/2000 - 00:01:02 | D ] G:\PVR
################## | Vaccin |
A:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SAMSUNG.zip
http://eldesaparecido.com/support.php
Merci de votre contribution.
################## | E.O.F |
Utilisateur: Tony Bazin (Administrateur) # SAMSUNG
Mis à jour le 11/10/2011 par El Desaparecido
Lancé à 00:27:28 | 12/10/2011
Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com
PC: SAMSUNG ELECTRONICS CO., LTD. (NC10 ) (X86-based PC) # Notebook
CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz (1595)
RAM -> [ Total : 1014 | Free : 249 ]
BIOS: Phoenix SecureCore(tm) NB Version 09CA.M004.20090619.RHU
BOOT: Normal boot
OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 7.0.5730.13
SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]
A:\ -> Disque amovible # 1 Mo (0 Mo libre(s) - 3%) [] # FAT
C:\ (%systemdrive%) -> Disque fixe # 71 Go (43 Go libre(s) - 61%) [] # NTFS
D:\ -> Disque fixe # 72 Go (69 Go libre(s) - 95%) [] # NTFS
E:\ -> Disque amovible # 7 Go (5 Go libre(s) - 69%) [] # FAT32
F:\ -> Disque fixe # 466 Go (447 Go libre(s) - 96%) [Elements] # NTFS
G:\ -> Disque amovible # 4 Go (2 Go libre(s) - 63%) [] # FAT32
################## | Processus Actif |
C:\WINDOWS\System32\smss.exe (472)
C:\WINDOWS\system32\csrss.exe (664)
C:\WINDOWS\system32\winlogon.exe (732)
C:\WINDOWS\system32\services.exe (780)
C:\WINDOWS\system32\lsass.exe (792)
C:\WINDOWS\system32\svchost.exe (968)
C:\WINDOWS\system32\svchost.exe (1012)
C:\WINDOWS\System32\svchost.exe (1076)
C:\WINDOWS\system32\svchost.exe (1184)
C:\WINDOWS\system32\svchost.exe (1228)
C:\WINDOWS\system32\spoolsv.exe (1396)
C:\WINDOWS\system32\svchost.exe (1464)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1504)
C:\Program Files\AVG\AVG10\avgwdsvc.exe (1548)
C:\Program Files\Bonjour\mDNSResponder.exe (1568)
C:\WINDOWS\System32\svchost.exe (1616)
C:\Program Files\Java\jre6\bin\jqs.exe (2008)
C:\WINDOWS\Explorer.EXE (168)
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe (920)
C:\WINDOWS\system32\svchost.exe (1520)
C:\WINDOWS\system32\wdfmgr.exe (1584)
C:\Program Files\AVG\AVG10\avgtray.exe (3056)
C:\WINDOWS\system32\ctfmon.exe (3612)
C:\Program Files\Messenger\msmsgs.exe (3636)
C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe (2508)
C:\WINDOWS\system32\wscntfy.exe (3516)
C:\WINDOWS\System32\alg.exe (3840)
C:\Program Files\Mozilla Firefox\firefox.exe (636)
C:\Program Files\Mozilla Firefox\plugin-container.exe (2976)
C:\Program Files\AVG\AVG10\avgui.exe (2840)
C:\UsbFix\Go.exe (232)
C:\WINDOWS\system32\wbem\wmiprvse.exe (3584)
################## | Processus Stoppés |
Stoppé! C:\WINDOWS\system32\spoolsv.exe (1396)
Stoppé! C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1504)
Stoppé! C:\Program Files\AVG\AVG10\avgwdsvc.exe (1548)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (1568)
Stoppé! C:\Program Files\Java\jre6\bin\jqs.exe (2008)
Stoppé! C:\WINDOWS\Explorer.EXE (168)
Stoppé! C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe (920)
Stoppé! C:\WINDOWS\system32\wdfmgr.exe (1584)
Stoppé! C:\Program Files\AVG\AVG10\avgtray.exe (3056)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (3612)
Stoppé! C:\Program Files\Messenger\msmsgs.exe (3636)
Stoppé! C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe (2508)
Stoppé! C:\WINDOWS\system32\wscntfy.exe (3516)
Stoppé! C:\WINDOWS\System32\alg.exe (3840)
Stoppé! C:\Program Files\Mozilla Firefox\firefox.exe (636)
Stoppé! C:\Program Files\Mozilla Firefox\plugin-container.exe (2976)
Stoppé! C:\Program Files\AVG\AVG10\avgui.exe (2840)
################## | Éléments infectieux |
Supprimé! A:\New Folder.lnk
Supprimé! A:\Passwords.lnk
Supprimé! A:\Documents.lnk
Supprimé! A:\Pictures.lnk
Supprimé! A:\Music.lnk
Supprimé! A:\Video.lnk
Supprimé! C:\Recycler\S-1-5-21-2993286999-286281884-1603429676-1008
Supprimé! C:\Recycler\S-1-5-21-3198384803-3493226173-858221405-1003
Supprimé! C:\Recycler\S-1-5-21-432645818-3305566731-427098237-1003
Supprimé! C:\Recycler\S-1-5-21-507921405-879983540-1606980848-1003
Supprimé! D:\Recycler\S-1-5-21-2993286999-286281884-1603429676-1008
Supprimé! D:\Recycler\S-1-5-21-2993286999-286281884-1603429676-500
Supprimé! F:\Recycler\S-1-5-21-1229272821-725345543-839522115-500
Supprimé! F:\Recycler\S-1-5-21-2993286999-286281884-1603429676-1008
Supprimé! A:\Administrateur.exe
Supprimé! F:\autorun.inf
(!) Fichiers temporaires supprimés.
################## | Registre |
################## | Mountpoints2 |
################## | Listing |
[12/05/2009 - 20:49:20 | D ] A:\.Trashes
[12/05/2009 - 20:49:20 | N | 4096] A:\._.Trashes
[12/05/2009 - 20:49:34 | N | 4] A:\.DS_Store
[04/03/2008 - 14:42:00 | N | 368072] A:\LOCK User Manual v1.00 (mode 4).pdf
[20/10/2008 - 14:43:24 | N | 1040384] A:\LOCKV226.EXE
[26/02/2010 - 15:19:48 | N | 0] A:\nhrij.exe
[26/02/2010 - 15:19:48 | N | 0] A:\nhrij.scr
[15/08/2010 - 13:27:48 | D ] A:\PVR
[02/07/2011 - 10:34:42 | D ] C:\$AVG
[23/12/2008 - 11:58:49 | N | 0] C:\AUTOEXEC.BAT
[25/06/2011 - 22:58:38 | D ] C:\Avenger
[04/05/2011 - 11:27:52 | N | 216] C:\boot.ini
[14/04/2008 - 14:00:00 | N | 4952] C:\Bootfont.bin
[23/12/2008 - 11:58:49 | N | 0] C:\CONFIG.SYS
[02/11/2010 - 23:04:05 | D ] C:\Documents and Settings
[11/10/2011 - 21:51:04 | ASH | 1063702528] C:\hiberfil.sys
[23/12/2008 - 11:58:49 | N | 0] C:\IO.SYS
[11/10/2011 - 20:05:05 | D ] C:\Kill'em
[27/06/2008 - 18:00:04 | N | 8682] C:\MessengerStyleSheet.xsl
[23/12/2008 - 11:58:49 | N | 0] C:\MSDOS.SYS
[14/04/2008 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | N | 252240] C:\ntldr
[11/10/2011 - 21:51:03 | ASH | 1598029824] C:\pagefile.sys
[11/10/2011 - 17:22:13 | D ] C:\Program Files
[12/10/2011 - 00:29:01 | SHD ] C:\RECYCLER
[23/12/2008 - 12:10:32 | N | 173] C:\Setup.log
[02/11/2010 - 23:03:46 | SHD ] C:\System Volume Information
[12/10/2011 - 00:29:01 | D ] C:\UsbFix
[12/10/2011 - 00:29:01 | A | 4710] C:\UsbFix.txt
[11/10/2011 - 19:37:35 | D ] C:\WINDOWS
[21/04/2011 - 08:53:26 | D ] D:\6750266fdb3d574e82e847ee2f0f9a80
[31/03/2011 - 21:17:32 | D ] D:\autorun.inf
[15/11/2010 - 21:14:58 | D ] D:\db78179bf6cc667b8f8630a7
[12/10/2011 - 00:29:01 | SHD ] D:\RECYCLER
[05/11/2010 - 04:10:07 | D ] D:\SamsungRecovery
[26/06/2011 - 00:39:15 | SHD ] D:\System Volume Information
[25/09/2011 - 18:02:08 | N | 729452544] E:\Dear Frankie.avi
[15/12/2009 - 14:37:18 | N | 732516352] E:\Incognito FR.avi
[23/05/2011 - 23:14:44 | N | 733835264] E:\The.Mechanic.2011.FRENCH.DVDRiP_Smoker.avi
[27/09/2011 - 17:46:34 | D ] E:\PVR
[30/03/2010 - 03:45:31 | D ] F:\autorun
[09/10/2011 - 00:11:24 | D ] F:\Divix
[30/05/2011 - 15:36:39 | D ] F:\Football Manager 2011
[08/10/2011 - 23:32:09 | D ] F:\Musik
[08/08/2011 - 14:02:27 | D ] F:\pictures
[12/10/2011 - 00:29:01 | SHD ] F:\RECYCLER
[20/02/2011 - 20:25:43 | SHD ] F:\System Volume Information
[08/08/2011 - 13:59:35 | D ] F:\Temporaire
[14/04/2010 - 23:04:06 | N | 1472086016] G:\Treize Jours VOSTFR.avi
[01/01/2000 - 00:01:02 | D ] G:\PVR
################## | Vaccin |
A:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SAMSUNG.zip
http://eldesaparecido.com/support.php
Merci de votre contribution.
################## | E.O.F |
Utilisateur anonyme
12 oct. 2011 à 09:56
12 oct. 2011 à 09:56
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
si le lien ne fonctionne pas :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
si le lien ne fonctionne pas :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 10:26
12 oct. 2011 à 10:26
J'ai essayé plusieurs fois vos indications mais il fini toujours par ce message d'erreur :
Autolt Error
Line 7502 (File "C\Documents and Settings\Tony Bazin\Mes documents\Téléchargement\Pre_Scan.com.pif") :
Error: Subscript used with non-Array variable.
Autolt Error
Line 7502 (File "C\Documents and Settings\Tony Bazin\Mes documents\Téléchargement\Pre_Scan.com.pif") :
Error: Subscript used with non-Array variable.
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 12/10/2011 à 10:32
Modifié par g3n-h@ckm@n le 12/10/2011 à 10:32
regarde si tu n'as pas un bout de rapport dans C:\
--
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
--
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 12:13
12 oct. 2011 à 12:13
Non sans mal mais le voici :
Dois-je réinstaller AVG ou un autre antivirus ?
Rapport ComboFix :
ComboFix 11-10-11.05 - Tony Bazin 12/10/2011 11:49:03.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.658 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tony Bazin\Bureau\tony.exe.exe
AV: AVG Anti-Virus Free Edition 2011 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Local Settings\Application Data\acuolsuh.log
c:\documents and settings\LocalService\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\LocalService\Local Settings\Application Data\csrucacx.log
c:\documents and settings\LocalService\Local Settings\Application Data\flpmnllc.log
c:\documents and settings\LocalService\Local Settings\Application Data\mussfidx.log
c:\documents and settings\LocalService\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\LocalService\Local Settings\Application Data\scfctqhy.log
c:\documents and settings\Tony Bazin\Application Data\FREEzeFrog
c:\documents and settings\Tony Bazin\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\csrucacx.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\flpmnllc.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\mussfidx.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu\ybrwktml.exe
c:\documents and settings\Tony Bazin\Local Settings\Application Data\scfctqhy.log
c:\program files\FREEzeFrog
c:\program files\Internet Explorer\IEXPLOREmgr.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_Micorsoft Windows Service
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-12 au 2011-10-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-12 08:04 . 2011-10-12 08:04 -------- d--h--w- c:\windows\PIF
2011-10-12 07:59 . 2011-10-12 07:59 -------- d-----w- c:\windows\system32\LogFiles
2011-10-11 22:26 . 2011-10-11 22:33 -------- d-----w- C:\UsbFix
2011-10-11 19:02 . 2011-10-12 09:55 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
2011-10-11 18:03 . 2011-10-12 08:21 -------- d-----w- C:\Kill'em
2011-10-11 15:22 . 2011-10-11 15:22 -------- d-----w- c:\program files\CCleaner
2011-10-11 14:36 . 2011-10-12 09:55 -------- d-----w- c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu
2011-10-09 20:55 . 2011-10-09 20:55 924632 ------w- c:\program files\Mozilla Firefox\firefox.exe
2011-10-09 20:55 . 2011-10-09 20:55 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-10-09 20:55 . 2011-10-09 20:55 269272 ------w- c:\program files\Mozilla Firefox\freebl3.dll
2011-10-09 20:55 . 2011-10-09 20:55 478168 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-10-09 20:55 . 2011-10-09 20:55 719832 ------w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-10-09 20:55 . 2011-10-09 20:55 15832 ------w- c:\program files\Mozilla Firefox\mozalloc.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 22:32 . 2011-10-11 22:32 11306 ----a-w- C:\UsbFix_Upload_Me_SAMSUNG.zip
2011-08-31 15:00 . 2011-06-12 07:38 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-15 13:29 . 2008-12-23 17:36 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-09 20:55 . 2011-04-14 12:22 134104 ------w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 545174]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 504218]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe"
.
[COLOR=RED] Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec. /COLOR
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
.
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [23/12/2008 12:02 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 160265]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [23/12/2008 12:06 238464]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 hspabus;SAMSUNG HSPA USB Composite Device driver (WDM);c:\windows\system32\drivers\hspabus.sys [23/12/2008 12:07 91776]
S3 hspamdfl;SAMSUNG HSPA Modem Filter;c:\windows\system32\drivers\hspamdfl.sys [23/12/2008 12:07 14976]
S3 hspamdm;SAMSUNG HSPA Modem Drivers;c:\windows\system32\drivers\hspamdm.sys [23/12/2008 12:07 119808]
S3 hspaserd;SAMSUNG HSPA Modem Diagnostic Serial Port (WDM);c:\windows\system32\drivers\hspaserd.sys [23/12/2008 12:07 98560]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008Core.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008UA.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Tony Bazin\Application Data\Mozilla\Firefox\Profiles\9xk4a9ao.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-YbrWktml - c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu\ybrwktml.exe
HKLM-Run-PCTuto - (no file)
HKU-Default-Run-YbrWktml - c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe
AddRemove-InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{CCD663AE-610D-4BDF-AAB0-E914B044527D} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-12 11:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2824)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\msiexec.exe
.
**************************************************************************
.
Heure de fin: 2011-10-12 12:02:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-12 10:02
.
Avant-CF: 48 801 083 392 octets libres
Après-CF: 48 810 434 560 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 672EBA5DE1DD4713384E55B3DF006BFA
Dois-je réinstaller AVG ou un autre antivirus ?
Rapport ComboFix :
ComboFix 11-10-11.05 - Tony Bazin 12/10/2011 11:49:03.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.658 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tony Bazin\Bureau\tony.exe.exe
AV: AVG Anti-Virus Free Edition 2011 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Local Settings\Application Data\acuolsuh.log
c:\documents and settings\LocalService\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\LocalService\Local Settings\Application Data\csrucacx.log
c:\documents and settings\LocalService\Local Settings\Application Data\flpmnllc.log
c:\documents and settings\LocalService\Local Settings\Application Data\mussfidx.log
c:\documents and settings\LocalService\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\LocalService\Local Settings\Application Data\scfctqhy.log
c:\documents and settings\Tony Bazin\Application Data\FREEzeFrog
c:\documents and settings\Tony Bazin\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\csrucacx.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\flpmnllc.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\mussfidx.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu\ybrwktml.exe
c:\documents and settings\Tony Bazin\Local Settings\Application Data\scfctqhy.log
c:\program files\FREEzeFrog
c:\program files\Internet Explorer\IEXPLOREmgr.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_Micorsoft Windows Service
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-12 au 2011-10-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-12 08:04 . 2011-10-12 08:04 -------- d--h--w- c:\windows\PIF
2011-10-12 07:59 . 2011-10-12 07:59 -------- d-----w- c:\windows\system32\LogFiles
2011-10-11 22:26 . 2011-10-11 22:33 -------- d-----w- C:\UsbFix
2011-10-11 19:02 . 2011-10-12 09:55 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
2011-10-11 18:03 . 2011-10-12 08:21 -------- d-----w- C:\Kill'em
2011-10-11 15:22 . 2011-10-11 15:22 -------- d-----w- c:\program files\CCleaner
2011-10-11 14:36 . 2011-10-12 09:55 -------- d-----w- c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu
2011-10-09 20:55 . 2011-10-09 20:55 924632 ------w- c:\program files\Mozilla Firefox\firefox.exe
2011-10-09 20:55 . 2011-10-09 20:55 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-10-09 20:55 . 2011-10-09 20:55 269272 ------w- c:\program files\Mozilla Firefox\freebl3.dll
2011-10-09 20:55 . 2011-10-09 20:55 478168 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-10-09 20:55 . 2011-10-09 20:55 719832 ------w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-10-09 20:55 . 2011-10-09 20:55 15832 ------w- c:\program files\Mozilla Firefox\mozalloc.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 22:32 . 2011-10-11 22:32 11306 ----a-w- C:\UsbFix_Upload_Me_SAMSUNG.zip
2011-08-31 15:00 . 2011-06-12 07:38 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-15 13:29 . 2008-12-23 17:36 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-09 20:55 . 2011-04-14 12:22 134104 ------w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 545174]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 504218]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe"
.
[COLOR=RED] Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec. /COLOR
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
.
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [23/12/2008 12:02 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 160265]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [23/12/2008 12:06 238464]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 hspabus;SAMSUNG HSPA USB Composite Device driver (WDM);c:\windows\system32\drivers\hspabus.sys [23/12/2008 12:07 91776]
S3 hspamdfl;SAMSUNG HSPA Modem Filter;c:\windows\system32\drivers\hspamdfl.sys [23/12/2008 12:07 14976]
S3 hspamdm;SAMSUNG HSPA Modem Drivers;c:\windows\system32\drivers\hspamdm.sys [23/12/2008 12:07 119808]
S3 hspaserd;SAMSUNG HSPA Modem Diagnostic Serial Port (WDM);c:\windows\system32\drivers\hspaserd.sys [23/12/2008 12:07 98560]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008Core.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008UA.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Tony Bazin\Application Data\Mozilla\Firefox\Profiles\9xk4a9ao.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-YbrWktml - c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu\ybrwktml.exe
HKLM-Run-PCTuto - (no file)
HKU-Default-Run-YbrWktml - c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe
AddRemove-InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{CCD663AE-610D-4BDF-AAB0-E914B044527D} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-12 11:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2824)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\msiexec.exe
.
**************************************************************************
.
Heure de fin: 2011-10-12 12:02:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-12 10:02
.
Avant-CF: 48 801 083 392 octets libres
Après-CF: 48 810 434 560 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 672EBA5DE1DD4713384E55B3DF006BFA
Utilisateur anonyme
12 oct. 2011 à 13:25
12 oct. 2011 à 13:25
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Folder::
c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
Driver::
MICORSOFT_WINDOWS_SERVICE
RegLock::
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 14:23
12 oct. 2011 à 14:23
ComboFix 11-10-11.05 - Tony Bazin 12/10/2011 14:03:53.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.544 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tony Bazin\Bureau\tony.exe.exe
Commutateurs utilisés :: c:\documents and settings\Tony Bazin\Bureau\CFScript.txt
AV: AVG Anti-Virus Free Edition 2011 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Local Settings\Application Data\acuolsuh.log
c:\documents and settings\LocalService\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\LocalService\Local Settings\Application Data\csrucacx.log
c:\documents and settings\LocalService\Local Settings\Application Data\flpmnllc.log
c:\documents and settings\LocalService\Local Settings\Application Data\mussfidx.log
c:\documents and settings\LocalService\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\LocalService\Local Settings\Application Data\scfctqhy.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu
c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu . . . . impossible à supprimer
.
Une copie infectée de c:\windows\system32\kernel32.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\kernel32.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-12 au 2011-10-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-12 08:04 . 2011-10-12 08:04 -------- d--h--w- c:\windows\PIF
2011-10-12 07:59 . 2011-10-12 07:59 -------- d-----w- c:\windows\system32\LogFiles
2011-10-11 22:26 . 2011-10-11 22:33 -------- d-----w- C:\UsbFix
2011-10-11 19:02 . 2011-10-12 12:10 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
2011-10-11 18:03 . 2011-10-12 08:21 -------- d-----w- C:\Kill'em
2011-10-11 15:22 . 2011-10-11 15:22 -------- d-----w- c:\program files\CCleaner
2011-10-09 20:55 . 2011-10-09 20:55 924632 ------w- c:\program files\Mozilla Firefox\firefox.exe
2011-10-09 20:55 . 2011-10-09 20:55 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-10-09 20:55 . 2011-10-09 20:55 269272 ------w- c:\program files\Mozilla Firefox\freebl3.dll
2011-10-09 20:55 . 2011-10-09 20:55 478168 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-10-09 20:55 . 2011-10-09 20:55 719832 ------w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-10-09 20:55 . 2011-10-09 20:55 15832 ------w- c:\program files\Mozilla Firefox\mozalloc.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 22:32 . 2011-10-11 22:32 11306 ----a-w- C:\UsbFix_Upload_Me_SAMSUNG.zip
2011-08-31 15:00 . 2011-06-12 07:38 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-15 13:29 . 2008-12-23 17:36 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-09 20:55 . 2011-04-14 12:22 134104 ------w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-10-12_09.58.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-10-12 12:10 . 2011-10-12 12:10 16384 c:\windows\temp\Perflib_Perfdata_5a0.dat
+ 2011-10-12 12:10 . 2011-10-12 12:10 117325 c:\windows\temp\qgprmvorvexwmqvi.exe
- 2011-10-12 09:55 . 2011-10-12 09:55 117325 c:\windows\Temp\qgprmvorvexwmqvi.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 545174]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"YbrWktml"="c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe" [BU]
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 504218]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe"
.
[COLOR=RED] Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec. /COLOR
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
.
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [23/12/2008 12:02 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 160265]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [23/12/2008 12:06 238464]
R4 Micorsoft Windows Service;Micorsoft Windows Service;\??\c:\windows\TEMP\gpsekqix.sys --> c:\windows\TEMP\gpsekqix.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 hspabus;SAMSUNG HSPA USB Composite Device driver (WDM);c:\windows\system32\drivers\hspabus.sys [23/12/2008 12:07 91776]
S3 hspamdfl;SAMSUNG HSPA Modem Filter;c:\windows\system32\drivers\hspamdfl.sys [23/12/2008 12:07 14976]
S3 hspamdm;SAMSUNG HSPA Modem Drivers;c:\windows\system32\drivers\hspamdm.sys [23/12/2008 12:07 119808]
S3 hspaserd;SAMSUNG HSPA Modem Diagnostic Serial Port (WDM);c:\windows\system32\drivers\hspaserd.sys [23/12/2008 12:07 98560]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008Core.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008UA.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Tony Bazin\Application Data\Mozilla\Firefox\Profiles\9xk4a9ao.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-12 14:17
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwQueryDirectoryFile
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe 117325 bytes executable
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2864)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Heure de fin: 2011-10-12 14:20:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-12 12:20
ComboFix2.txt 2011-10-12 10:02
.
Avant-CF: 49 252 634 624 octets libres
Après-CF: 49 291 124 736 octets libres
.
- - End Of File - - 7A29A62075A1C855744241F440726D1A
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.544 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tony Bazin\Bureau\tony.exe.exe
Commutateurs utilisés :: c:\documents and settings\Tony Bazin\Bureau\CFScript.txt
AV: AVG Anti-Virus Free Edition 2011 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Local Settings\Application Data\acuolsuh.log
c:\documents and settings\LocalService\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\LocalService\Local Settings\Application Data\csrucacx.log
c:\documents and settings\LocalService\Local Settings\Application Data\flpmnllc.log
c:\documents and settings\LocalService\Local Settings\Application Data\mussfidx.log
c:\documents and settings\LocalService\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\LocalService\Local Settings\Application Data\scfctqhy.log
c:\documents and settings\Tony Bazin\Local Settings\Application Data\quakaqgu
c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu . . . . impossible à supprimer
.
Une copie infectée de c:\windows\system32\kernel32.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\kernel32.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-12 au 2011-10-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-12 08:04 . 2011-10-12 08:04 -------- d--h--w- c:\windows\PIF
2011-10-12 07:59 . 2011-10-12 07:59 -------- d-----w- c:\windows\system32\LogFiles
2011-10-11 22:26 . 2011-10-11 22:33 -------- d-----w- C:\UsbFix
2011-10-11 19:02 . 2011-10-12 12:10 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
2011-10-11 18:03 . 2011-10-12 08:21 -------- d-----w- C:\Kill'em
2011-10-11 15:22 . 2011-10-11 15:22 -------- d-----w- c:\program files\CCleaner
2011-10-09 20:55 . 2011-10-09 20:55 924632 ------w- c:\program files\Mozilla Firefox\firefox.exe
2011-10-09 20:55 . 2011-10-09 20:55 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-10-09 20:55 . 2011-10-09 20:55 269272 ------w- c:\program files\Mozilla Firefox\freebl3.dll
2011-10-09 20:55 . 2011-10-09 20:55 478168 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-10-09 20:55 . 2011-10-09 20:55 719832 ------w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-10-09 20:55 . 2011-10-09 20:55 15832 ------w- c:\program files\Mozilla Firefox\mozalloc.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 22:32 . 2011-10-11 22:32 11306 ----a-w- C:\UsbFix_Upload_Me_SAMSUNG.zip
2011-08-31 15:00 . 2011-06-12 07:38 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-15 13:29 . 2008-12-23 17:36 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-09 20:55 . 2011-04-14 12:22 134104 ------w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-10-12_09.58.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-10-12 12:10 . 2011-10-12 12:10 16384 c:\windows\temp\Perflib_Perfdata_5a0.dat
+ 2011-10-12 12:10 . 2011-10-12 12:10 117325 c:\windows\temp\qgprmvorvexwmqvi.exe
- 2011-10-12 09:55 . 2011-10-12 09:55 117325 c:\windows\Temp\qgprmvorvexwmqvi.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 545174]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"YbrWktml"="c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe" [BU]
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 504218]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe"
.
[COLOR=RED] Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec. /COLOR
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
.
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [23/12/2008 12:02 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 160265]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [23/12/2008 12:06 238464]
R4 Micorsoft Windows Service;Micorsoft Windows Service;\??\c:\windows\TEMP\gpsekqix.sys --> c:\windows\TEMP\gpsekqix.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 hspabus;SAMSUNG HSPA USB Composite Device driver (WDM);c:\windows\system32\drivers\hspabus.sys [23/12/2008 12:07 91776]
S3 hspamdfl;SAMSUNG HSPA Modem Filter;c:\windows\system32\drivers\hspamdfl.sys [23/12/2008 12:07 14976]
S3 hspamdm;SAMSUNG HSPA Modem Drivers;c:\windows\system32\drivers\hspamdm.sys [23/12/2008 12:07 119808]
S3 hspaserd;SAMSUNG HSPA Modem Diagnostic Serial Port (WDM);c:\windows\system32\drivers\hspaserd.sys [23/12/2008 12:07 98560]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008Core.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008UA.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Tony Bazin\Application Data\Mozilla\Firefox\Profiles\9xk4a9ao.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-12 14:17
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwQueryDirectoryFile
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe 117325 bytes executable
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2864)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Heure de fin: 2011-10-12 14:20:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-12 12:20
ComboFix2.txt 2011-10-12 10:02
.
Avant-CF: 49 252 634 624 octets libres
Après-CF: 49 291 124 736 octets libres
.
- - End Of File - - 7A29A62075A1C855744241F440726D1A
Utilisateur anonyme
12 oct. 2011 à 14:31
12 oct. 2011 à 14:31
on l'a pas eu
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\windows\Temp\qgprmvorvexwmqvi.exe
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
Rootkit::
c:\windows\TEMP\gpsekqix.sys
Folder::
c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"YbrWktml"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
Driver::
Micorsoft Windows Service
MICORSOFT_WINDOWS_SERVICE
Firefox::
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\windows\Temp\qgprmvorvexwmqvi.exe
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
Rootkit::
c:\windows\TEMP\gpsekqix.sys
Folder::
c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"YbrWktml"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
Driver::
Micorsoft Windows Service
MICORSOFT_WINDOWS_SERVICE
Firefox::
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 14:50
12 oct. 2011 à 14:50
ok, nouveau rapport :
ComboFix 11-10-11.05 - Tony Bazin 12/10/2011 14:37:51.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.505 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tony Bazin\Bureau\tony.exe.exe
Commutateurs utilisés :: c:\documents and settings\Tony Bazin\Bureau\CFScript.txt
AV: AVG Anti-Virus Free Edition 2011 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
FILE ::
"c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe"
"c:\windows\Temp\qgprmvorvexwmqvi.exe"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Local Settings\Application Data\acuolsuh.log
c:\documents and settings\LocalService\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\LocalService\Local Settings\Application Data\csrucacx.log
c:\documents and settings\LocalService\Local Settings\Application Data\mussfidx.log
c:\documents and settings\LocalService\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\LocalService\Local Settings\Application Data\scfctqhy.log
c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu . . . . impossible à supprimer
.
Une copie infectée de c:\windows\system32\kernel32.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\kernel32.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_Micorsoft Windows Service
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-12 au 2011-10-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-12 08:04 . 2011-10-12 08:04 -------- d--h--w- c:\windows\PIF
2011-10-12 07:59 . 2011-10-12 07:59 -------- d-----w- c:\windows\system32\LogFiles
2011-10-11 22:26 . 2011-10-11 22:33 -------- d-----w- C:\UsbFix
2011-10-11 19:02 . 2011-10-12 12:44 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
2011-10-11 18:03 . 2011-10-12 08:21 -------- d-----w- C:\Kill'em
2011-10-11 15:22 . 2011-10-11 15:22 -------- d-----w- c:\program files\CCleaner
2011-10-09 20:55 . 2011-10-09 20:55 924632 ------w- c:\program files\Mozilla Firefox\firefox.exe
2011-10-09 20:55 . 2011-10-09 20:55 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-10-09 20:55 . 2011-10-09 20:55 269272 ------w- c:\program files\Mozilla Firefox\freebl3.dll
2011-10-09 20:55 . 2011-10-09 20:55 478168 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-10-09 20:55 . 2011-10-09 20:55 719832 ------w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-10-09 20:55 . 2011-10-09 20:55 15832 ------w- c:\program files\Mozilla Firefox\mozalloc.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 22:32 . 2011-10-11 22:32 11306 ----a-w- C:\UsbFix_Upload_Me_SAMSUNG.zip
2011-08-31 15:00 . 2011-06-12 07:38 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-15 13:29 . 2008-12-23 17:36 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-09 20:55 . 2011-04-14 12:22 134104 ------w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-10-12_09.58.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-10-12 12:44 . 2011-10-12 12:44 16384 c:\windows\temp\Perflib_Perfdata_57c.dat
+ 2011-10-12 12:44 . 2011-10-12 12:44 117325 c:\windows\temp\qgprmvorvexwmqvi.exe
- 2011-10-12 09:55 . 2011-10-12 09:55 117325 c:\windows\Temp\qgprmvorvexwmqvi.exe
+ 2011-10-11 19:02 . 2011-10-12 12:44 117325 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
- 2011-10-11 19:02 . 2011-10-12 09:55 117325 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"YbrWktml"="c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe" [2011-10-12 117325]
.
c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
ybrwktml.exe [2011-10-12 117325]
.
c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
ybrwktml.exe [2011-10-12 117325]
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 504218]
ybrwktml.exe [2011-10-12 117325]
.
c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
ybrwktml.exe [2011-10-12 117325]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe"
.
[COLOR=RED] Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec. /COLOR
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
.
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [23/12/2008 12:02 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 160265]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [23/12/2008 12:06 238464]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 hspabus;SAMSUNG HSPA USB Composite Device driver (WDM);c:\windows\system32\drivers\hspabus.sys [23/12/2008 12:07 91776]
S3 hspamdfl;SAMSUNG HSPA Modem Filter;c:\windows\system32\drivers\hspamdfl.sys [23/12/2008 12:07 14976]
S3 hspamdm;SAMSUNG HSPA Modem Drivers;c:\windows\system32\drivers\hspamdm.sys [23/12/2008 12:07 119808]
S3 hspaserd;SAMSUNG HSPA Modem Diagnostic Serial Port (WDM);c:\windows\system32\drivers\hspaserd.sys [23/12/2008 12:07 98560]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008Core.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008UA.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Tony Bazin\Application Data\Mozilla\Firefox\Profiles\9xk4a9ao.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-12 14:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2044)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Heure de fin: 2011-10-12 14:48:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-12 12:48
ComboFix2.txt 2011-10-12 12:20
ComboFix3.txt 2011-10-12 10:02
.
Avant-CF: 49 248 579 584 octets libres
Après-CF: 49 276 203 008 octets libres
.
- - End Of File - - B4CA2009568396042068EDC6909D768A
ComboFix 11-10-11.05 - Tony Bazin 12/10/2011 14:37:51.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.505 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tony Bazin\Bureau\tony.exe.exe
Commutateurs utilisés :: c:\documents and settings\Tony Bazin\Bureau\CFScript.txt
AV: AVG Anti-Virus Free Edition 2011 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
FILE ::
"c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe"
"c:\windows\Temp\qgprmvorvexwmqvi.exe"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Local Settings\Application Data\acuolsuh.log
c:\documents and settings\LocalService\Local Settings\Application Data\bsycdeag.log
c:\documents and settings\LocalService\Local Settings\Application Data\csrucacx.log
c:\documents and settings\LocalService\Local Settings\Application Data\mussfidx.log
c:\documents and settings\LocalService\Local Settings\Application Data\onmprhhb.log
c:\documents and settings\LocalService\Local Settings\Application Data\scfctqhy.log
c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu . . . . impossible à supprimer
.
Une copie infectée de c:\windows\system32\kernel32.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\kernel32.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_Micorsoft Windows Service
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-12 au 2011-10-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-12 08:04 . 2011-10-12 08:04 -------- d--h--w- c:\windows\PIF
2011-10-12 07:59 . 2011-10-12 07:59 -------- d-----w- c:\windows\system32\LogFiles
2011-10-11 22:26 . 2011-10-11 22:33 -------- d-----w- C:\UsbFix
2011-10-11 19:02 . 2011-10-12 12:44 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu
2011-10-11 18:03 . 2011-10-12 08:21 -------- d-----w- C:\Kill'em
2011-10-11 15:22 . 2011-10-11 15:22 -------- d-----w- c:\program files\CCleaner
2011-10-09 20:55 . 2011-10-09 20:55 924632 ------w- c:\program files\Mozilla Firefox\firefox.exe
2011-10-09 20:55 . 2011-10-09 20:55 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-10-09 20:55 . 2011-10-09 20:55 269272 ------w- c:\program files\Mozilla Firefox\freebl3.dll
2011-10-09 20:55 . 2011-10-09 20:55 478168 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-10-09 20:55 . 2011-10-09 20:55 719832 ------w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-10-09 20:55 . 2011-10-09 20:55 15832 ------w- c:\program files\Mozilla Firefox\mozalloc.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 22:32 . 2011-10-11 22:32 11306 ----a-w- C:\UsbFix_Upload_Me_SAMSUNG.zip
2011-08-31 15:00 . 2011-06-12 07:38 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-15 13:29 . 2008-12-23 17:36 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-09 20:55 . 2011-04-14 12:22 134104 ------w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-10-12_09.58.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-10-12 12:44 . 2011-10-12 12:44 16384 c:\windows\temp\Perflib_Perfdata_57c.dat
+ 2011-10-12 12:44 . 2011-10-12 12:44 117325 c:\windows\temp\qgprmvorvexwmqvi.exe
- 2011-10-12 09:55 . 2011-10-12 09:55 117325 c:\windows\Temp\qgprmvorvexwmqvi.exe
+ 2011-10-11 19:02 . 2011-10-12 12:44 117325 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
- 2011-10-11 19:02 . 2011-10-12 09:55 117325 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"YbrWktml"="c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe" [2011-10-12 117325]
.
c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
ybrwktml.exe [2011-10-12 117325]
.
c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
ybrwktml.exe [2011-10-12 117325]
.
c:\documents and settings\Tony Bazin\Menu Démarrer\Programmes\Démarrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 504218]
ybrwktml.exe [2011-10-12 117325]
.
c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
ybrwktml.exe [2011-10-12 117325]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\LocalService\Local Settings\Application Data\quakaqgu\ybrwktml.exe"
.
[COLOR=RED] Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec. /COLOR
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
.
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [23/12/2008 12:02 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 160265]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [23/12/2008 12:06 238464]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2011 20:26 136176]
S3 hspabus;SAMSUNG HSPA USB Composite Device driver (WDM);c:\windows\system32\drivers\hspabus.sys [23/12/2008 12:07 91776]
S3 hspamdfl;SAMSUNG HSPA Modem Filter;c:\windows\system32\drivers\hspamdfl.sys [23/12/2008 12:07 14976]
S3 hspamdm;SAMSUNG HSPA Modem Drivers;c:\windows\system32\drivers\hspamdm.sys [23/12/2008 12:07 119808]
S3 hspaserd;SAMSUNG HSPA Modem Diagnostic Serial Port (WDM);c:\windows\system32\drivers\hspaserd.sys [23/12/2008 12:07 98560]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-13 18:26]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008Core.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
2011-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2993286999-286281884-1603429676-1008UA.job
- c:\documents and settings\Tony Bazin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-09-05 08:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Tony Bazin\Application Data\Mozilla\Firefox\Profiles\9xk4a9ao.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.questscan.com/?tmp=nemo_results_removelink&prt=QstscanPB&keywords=
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-12 14:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2044)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Heure de fin: 2011-10-12 14:48:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-12 12:48
ComboFix2.txt 2011-10-12 12:20
ComboFix3.txt 2011-10-12 10:02
.
Avant-CF: 49 248 579 584 octets libres
Après-CF: 49 276 203 008 octets libres
.
- - End Of File - - B4CA2009568396042068EDC6909D768A
Utilisateur anonyme
12 oct. 2011 à 15:03
12 oct. 2011 à 15:03
telecharge ici : CLRAV
lance-le , clique sur telecharger la nouvelle version
relance-le clic sur lancer le nettoyage
A la fin du scan, CLRAV.txt sera sur ton bureau
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
lance-le , clique sur telecharger la nouvelle version
relance-le clic sur lancer le nettoyage
A la fin du scan, CLRAV.txt sera sur ton bureau
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 15:34
12 oct. 2011 à 15:34
il ne m'a pas proposé de télécharger une nouvelle version, j'ai cependant lancer une analyse dont voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijB12z0xg.txt
http://www.cijoint.fr/cjlink.php?file=cj201110/cijB12z0xg.txt
Utilisateur anonyme
12 oct. 2011 à 15:37
12 oct. 2011 à 15:37
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
12 oct. 2011 à 20:09
12 oct. 2011 à 20:09
et voilà :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijvbiGsh4.zip
http://www.cijoint.fr/cjlink.php?file=cj201110/cijvbiGsh4.zip
