Sujet Précédent Sujet Suivant

PC infecté par Trojan Win32

nemo82 -  
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,



Je suis infecté par Trojan Win32. WIndows defender me dit qu'il le voit mais il n'arrive pas à le supprimer.
Je n'avais pas installé d'autres antivirus car avant j'avais antivirus firewall mais il a expiré et je n'ai pas pris le temps de remettre de suite un antivirus.

J'ai donc essayé d'installer avg mais il ne veut pas s'installer.
Du coup j'ai essayé avast qui s'installe mais qui ne fonctionne pas il demande de le rétablir ce que je fais mais cela ne change rien et ça me dit qu'avast est non sécurisé.

Comme je l'ai lu dans un forum j'ai télécharger Hijack this.
Par contre, au moment où j'allai copier le rapport sur le forum une fenêtre bleu s'est affichée avec des choses écrites en anglais et l'ordi a redémarrer. Du coup j'ai du recommencer et j'ai relancé Hijack this mais cela me met un message d'erreur :
"Windows ne parvient pas à accéder au périphérique, au chemin d'accès, ou au fichier spécifié.
Vous ne disposez peut être pas des autorisations appropriées pour avoir accès à l'élément".

D'autre part quand je vais sur internet et que je choisis une page que je recherche sur google cela ouvre n'importe quel site et parfois avec un peu de patience en réactualisant cela ouvre le bon site.

Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:35, on 23/10/2011
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.17037)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\SiS VGA Utilities\SiSTray.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Activ Software\ActivDriver\ActivControl2.exe
C:\Program Files\Orange\Antivirus Firewall\Common\FSM32.EXE
C:\Program Files\Activ Software\ActivDriver\activmgr.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Users\CACAHUETTE\AppData\Roaming\Delivery\DeliveryManager.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\sdclt.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Program Files\Orange\Antivirus Firewall\NRS\iescript\baselitmus.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll
O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files\Orange\Antivirus Firewall\NRS\iescript\baselitmus.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SiSTray] %ProgramFiles%\SiS VGA Utilities\SiSTray.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ActivControl] C:\Program Files\Activ Software\ActivDriver\ActivControl2.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\Antivirus Firewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\Antivirus Firewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: DeliveryManager.lnk = C:\Users\CACAHUETTE\AppData\Roaming\Delivery\DeliveryManager.EXE
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\Antivirus Firewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\Antivirus Firewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\Antivirus Firewall\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Orange\Antivirus Firewall\ORSP Client\fsorsp.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: NitroPDFDriverCreatorReadSpool (NitroDriverReadSpool) - Nitro PDF Software - C:\Program Files\Nitro PDF\Professional\NitroPDFDriverService.exe
O23 - Service: NLS Service (nlsX86cc) - Nalpeiron Ltd. - C:\Windows\system32\NLSSRV32.EXE
O23 - Service: Orange update Core Service - France Telecom SA - C:\Program Files\Orange\OrangeUpdate\Service\OUCore.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
A voir également:

28 réponses

Précédent
  • 1
  • 2
Réponse 21 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Re,

Télécharge ToolbarShooter (de 2011N2) sur ton bureau (Si il est bloqué, ignore l'alerte et lance le programme).
Double-clique sur l'icône présente sur ton bureau.
Appuye sur 1 (Recherche) puis ==> Entrée.
Patiente lors du scan.
À la fin, un rapport s'ouvre, héberge le ici : https://www.cjoint.com/
Le rapport est également sauvegardé sous C:\ au nom de Rapport ToolbarShooter.

@+

Gabriel.
0
nemo82
 
Re,

Voici le lien oùse trouve le rapport
http://cjoint.com/?AJznQUpHQ0I
0
Réponse 22 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Ok :)

/!\Ferme toutes les applications en cours avant de continuer/!\
Double-clique sur l'icône Toolbar Shooter présente sur ton bureau.
Appuye sur 2 (Suppression) puis ==> Entrée.
Patiente lors du scan.
À la fin du nettoyage, il est demandé de redémarrer l'ordinateur, tape 1 pour redémarrer l'ordinateur.
Une fois l'ordinateur redémarré, le rapport de ToolbarShooter est sauvegardé à la racine du disque <gras<C:\</gras> sous le nom de ToolbarShooterSUP, héberge le ici : https://www.cjoint.com/

@+

Gabriel.
0
nemo82
 
Voici le rapport :
http://cjoint.com/?AJzotsLamhN
0
Réponse 23 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Parfais :)

Tu peux me faire un nouveau ZHPdiag ?

Merci,

Gabriel.
0
nemo82
 
Ca refait comme la dernière fois la fenêtre se ferme à 90 %
0
Réponse 24 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Et l'autre fois, tu avais réussi à débloquer l'outil comment ?

@+

Gabriel.
0
nemo82
 
Bon ca y est j'ai réussi j'ai du refaire un scan avec TDSSKiller.
Faire cure et delete.

Et voici le rapport avec ZHP Diag
http://cjoint.com/?AJzpUT2aPaw
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Je peux avoir le rapport TDSSkiller ?

@+

Gabriel.
0
nemo82
 
Voici le rapport qu ej'ai fait à ce moment là suite aux action cure et delete.
http://cjoint.com/?AJzqYr5OS5j

J'en ai fait un deuxième
http://cjoint.com/?AJzqY7bNAIb
0
Réponse 26 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Ok.
C'est du ZAccess.

/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : DANGEREUX ! <<<<<<<<
=====================================================

? Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Tout simplement car il ne sera pas détécté par l'infection.

Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\Choisis la version adéquate (32 ou 64 bits)/!\

=>Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

? Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe

? Lance-le : Utilisateurs de Vista et Seven => Clic droit : Éxécuter en tant qu'administrateur.

Une fenêtre apparait : clique sur "Disable"

? Fais redémarrer l'ordinateur si l'outil te le demande.

>> N.B : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" <<

_________________________________________________________

>> Referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Si tu as XP => double clique .
Si tu as Windows Vista ou Windows 7 => clic droit "Éxecuter en tant que Administrateur"

Sur le combofix renommé.

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!

? N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

?? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Si tu as des questions sur l'utilisation de Combofix, n'hésite pas à me les poser !

@+

Gabriel.
0
némo
 
bonsoir,

J'ai lancé le processus. Celui ci a redémarrer automatiquement mon pc. une fenêtre apparait : l'application a généré une exception non gérée. cliquez sur ok pour terminer l'application ou sur ok pour débloquer l'application. que dois je choisir

merci
0
Réponse 27 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Débloque :)

@+

Gabriel.
0
némo82
 
voici le rapport :
ComboFix 11-10-25.04 - CACAHUETTE 25/10/2011 21:32:02.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.1917.806 [GMT 2:00]
Lancé depuis: c:\users\CACAHUETTE\Desktop\celine.exe
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\CACAHUETTE\AppData\Local\d2de3058
c:\users\CACAHUETTE\AppData\Local\d2de3058\@
c:\users\CACAHUETTE\AppData\Local\d2de3058\U\80000000.@
c:\users\CACAHUETTE\AppData\Local\d2de3058\U\800000cb.@
c:\users\CACAHUETTE\AppData\Local\d2de3058\X
c:\windows\$NtUninstallKB7545$\3537776728\@
c:\windows\$NtUninstallKB7545$\3537776728\L\qnbwvoto
c:\windows\$NtUninstallKB7545$\3537776728\loader.tlb
c:\windows\$NtUninstallKB7545$\3537776728\U\@00000001
c:\windows\$NtUninstallKB7545$\3537776728\U\@000000c0
c:\windows\$NtUninstallKB7545$\3537776728\U\@000000cb
c:\windows\$NtUninstallKB7545$\3537776728\U\@000000cf
c:\windows\$NtUninstallKB7545$\3537776728\U\@80000000
c:\windows\$NtUninstallKB7545$\3537776728\U\@800000c0
c:\windows\$NtUninstallKB7545$\3537776728\U\@800000cb
c:\windows\$NtUninstallKB7545$\3537776728\U\@800000cf
c:\windows\$NtUninstallKB7545$\69070986
c:\windows\1479597778
c:\windows\system32\
c:\windows\$NtUninstallKB7545$ . . . . impossible à supprimer
.
Une copie infectée de c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\program files\Common Files\Adobe\ARM\1.0\
.
Une copie infectée de c:\program files\Orange\Antivirus Firewall\Anti-Virus\fsgk32st.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\program files\Orange\Antivirus Firewall\Anti-Virus\
.
Une copie infectée de c:\program files\Orange\Antivirus Firewall\FWES\Program\fsdfwd.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\program files\Orange\Antivirus Firewall\FWES\program\
.
c:\program files\Orange\Antivirus Firewall\Common\FSMA32.EXE . . . est infecté!!
c:\program files\Orange\Antivirus Firewall\Common\FSMA32.EXE . . . was deleted!! You should re-install the program it pertains to
.
Une copie infectée de c:\program files\Google\Update\GoogleUpdate.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\program files\Google\Update\
.
Une copie infectée de c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\program files\McAfee Security Scan\2.0.181\
.
c:\program files\Nitro PDF\Professional\NitroPDFDriverService.exe . . . est infecté!!
c:\program files\Nitro PDF\Professional\NitroPDFDriverService.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\windows\system32\NLSSRV32.EXE . . . est infecté!!
c:\windows\system32\NLSSRV32.EXE . . . was deleted!! You should re-install the program it pertains to
.
Une copie infectée de c:\program files\Orange\OrangeUpdate\Service\OUCore.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\program files\Orange\OrangeUpdate\Service\
.
Une copie infectée de c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\
.
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe . . . est infecté!!
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe . . . was deleted!! You should re-install the program it pertains to
.
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_d2de3058
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-25 au 2011-10-25 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-25 13:22 . 2011-10-25 14:27 48016 --sha-w- c:\windows\system32\c_73782.nl_
2011-10-24 22:50 . 2011-10-25 13:43 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-10-23 21:41 . 2011-10-25 13:37 -------- d-----w- C:\ZHP
2011-10-23 21:40 . 2011-10-25 13:43 -------- d-----w- c:\program files\ZHPDiag
2011-10-23 20:28 . 2011-10-23 20:28 -------- d-----w- c:\program files\Trend Micro
2011-10-23 19:26 . 2011-09-06 20:36 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-10-23 19:26 . 2011-09-06 20:37 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-10-23 19:26 . 2011-09-06 20:36 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-10-23 19:26 . 2011-09-06 20:36 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-10-23 19:26 . 2011-09-06 20:38 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-10-23 19:26 . 2011-09-06 20:36 54616 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-10-23 19:25 . 2011-09-06 20:45 41184 ----a-w- c:\windows\avastSS.scr
2011-10-23 19:25 . 2011-09-06 20:45 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-10-23 19:24 . 2011-10-23 19:24 -------- d-----w- c:\program files\AVAST Software
2011-10-23 15:26 . 2011-10-25 19:53 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-10-23 15:26 . 2011-10-23 16:21 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2011-10-23 12:26 . 2011-10-23 12:26 41680 ----a-w- c:\windows\system32\drivers\cfuwajvg.sys
2011-10-23 12:15 . 2011-10-23 12:15 -------- d--h--w- c:\programdata\Common Files
2011-10-23 12:14 . 2011-10-23 16:56 -------- d-----w- c:\programdata\MFAData
2011-10-19 20:53 . 2011-10-03 03:06 476904 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2011-10-19 20:53 . 2011-10-03 03:06 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-01 13:16 . 2011-10-01 13:16 -------- d--h--w- c:\programdata\CanonIJEGV
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-25 19:57 . 2011-10-25 19:57 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{3A793F95-40F4-4E24-9AD4-37356DE1A99A}\offreg.dll
2011-10-25 14:26 . 2008-02-13 11:01 35384 ----a-w- c:\windows\system32\drivers\kbdclass.sys
2011-10-25 13:22 . 2006-11-02 08:58 270336 ----a-w- c:\windows\system32\drivers\afd.sys
2011-10-07 03:48 . 2011-10-25 11:29 6668624 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{3A793F95-40F4-4E24-9AD4-37356DE1A99A}\mpengine.dll
2011-08-30 13:02 . 2011-03-02 22:07 41552 ----a-w- c:\windows\system32\drivers\fses.sys
2011-08-17 20:07 . 2011-03-02 22:09 42672 ----a-w- c:\windows\system32\drivers\fsbts.sys
2011-08-02 20:57 . 2011-08-01 14:10 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2010-09-29 12:52 . 2010-09-29 12:33 30054120 ----a-w- c:\program files\LimeWireWin.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-09 1232896]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2007-07-19 1120568]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2010-04-16 3872080]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-08 894512]
"RtHDVCpl"="RtHDVCpl.exe" [2007-08-17 4702208]
"SiSTray"="c:\program files\SiS VGA Utilities\SiSTray.exe" [2007-09-17 552960]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 232184]
"ActivControl"="c:\program files\Activ Software\ActivDriver\ActivControl2.exe" [2009-10-22 1088800]
"F-Secure Manager"="c:\program files\Orange\Antivirus Firewall\Common\FSM32.EXE" [2009-11-18 201128]
"F-Secure TNB"="c:\program files\Orange\Antivirus Firewall\FSGUI\TNBUtil.exe" [2011-08-30 1655464]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-10-19 1983816]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-09-04 767312]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-26 282624]
.
c:\users\CACAHUETTE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DeliveryManager.lnk - c:\users\CACAHUETTE\AppData\Roaming\Delivery\DeliveryManager.EXE [2011-8-31 1073288]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /A:* /L:English /KBD:2 /dir:c:\progra~1\AVASTS~1\Avast\defs\11092801
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^LUMIX Simple Viewer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\LUMIX Simple Viewer.lnk
backup=c:\windows\pss\LUMIX Simple Viewer.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^CACAHUETTE^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.0.lnk]
path=c:\users\CACAHUETTE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-10-19 02:12 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2009-09-04 01:43 767312 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MailNotifier]
2010-06-21 09:56 739840 ----a-w- c:\program files\Orange\MailNotifier\MailNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-01-26 18:32 282624 ----a-w- c:\program files\QuickTime\qttask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
2007-02-20 16:20 28672 ----a-w- c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-10-25 135664]
R2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\program files\Nitro PDF\Professional\NitroPDFDriverService.exe [x]
R2 nlsX86cc;NLS Service;c:\windows\system32\NLSSRV32.EXE [x]
R2 Orange update Core Service;Orange update Core Service;c:\program files\Orange\OrangeUpdate\Service\OUCore.exe [2011-10-25 1055872]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Orange\Antivirus Firewall\Anti-Virus\minifilter\fsgk.sys [2011-09-08 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\Orange\Antivirus Firewall\ORSP Client\fsorsp.exe [2011-05-23 61088]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-10-25 135664]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-06-26 576680]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2011-10-25 227232]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [2011-08-17 42672]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys [2009-11-18 69928]
S1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [2011-08-30 41552]
S1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2009-11-18 72904]
S1 fsvista;F-Secure Vista Support Driver;c:\program files\Orange\Antivirus Firewall\Anti-Virus\minifilter\fsvista.sys [2009-11-18 14248]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-10-25 64952]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-09-06 54616]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2011-10-25 1153368]
S3 ActivHidSerMini;Promethean Serial Board Driver;c:\windows\system32\DRIVERS\activhidsermini.sys [2009-05-05 55936]
S3 netr73;RT73 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2007-07-27 351232]
S3 prmvmouse;Promethean HID Mouse Service;c:\windows\system32\DRIVERS\activmouse.sys [2009-10-05 6144]
S3 SiS6350;SiS6350;c:\windows\system32\DRIVERS\SISGRKMD.sys [2007-09-17 452968]
S3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSGB6.sys [2007-06-20 47616]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-25 c:\windows\Tasks\Extension de garantie.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2005-01-01 16:38]
.
2011-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-25 19:51]
.
2011-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-25 19:51]
.
2011-10-25 c:\windows\Tasks\Recovery DVD Creator.job
- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2005-01-01 16:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr
LSP: c:\program files\Orange\Antivirus Firewall\FSPS\program\FSLSP.DLL
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\CACAHUETTE\AppData\Roaming\Mozilla\Firefox\Profiles\nqnubnky.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://r.orange.fr/r?ref=O_toolbar32_hook_syntaxError&url=http%3A//rws.search.ke.voila.fr/RW/A/O_toolbar31?errorigin=noturl&kw=
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\program files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{FED66DC5-1B74-4A04-8F5C-15C5ACE2B9A5} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
SafeBoot-15864105.sys
SafeBoot-23097623.sys
SafeBoot-68430509.sys
SafeBoot-90231041.sys
MSConfigStartUp-ccApp - c:\program files\Common Files\Symantec Shared\ccApp.exe
MSConfigStartUp-ORAHSSSessionManager - c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe
MSConfigStartUp-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
MSConfigStartUp-TP CfgWiz - c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\SymCuw.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-25 21:58
Windows 6.0.6000 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(3076)
c:\programdata\ACTIV Software\ActivApplications\ActivFocusHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RtHDVCpl.exe
c:\windows\system32\conime.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\sdclt.exe
.
**************************************************************************
.
Heure de fin: 2011-10-25 22:09:54 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-25 20:09
.
Avant-CF: 64 666 873 856 octets libres
Après-CF: 64 511 029 248 octets libres
.
- - End Of File - - 8970E6712904AC62F9DFA97125AD3813
0
Réponse 28 / 28
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   917
 
Refais moi un scan TDSSkiller ;)

@+

Gabriel.
0