Virus trojan

vincent -  
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,





Je naviguais sur le net quand mon antivirus f-secure me signale via une fenetre la presence d'un virus( un trojan quelquechose). Je coche l'option nettoyage automatique, mais FS échoue au nettoyage et le PC freeze.

Je redémarre celui -ci et depuis au démarrage je vois bien FS et d'autres programmes qui se lancent mais qui sont comme "désactivés", dans la barre des taches en bas a droite plus aucun icone si ce n'est l'heure, impossible d'accéder à la commande CTRL ALT SUPPR ni de lancer une analyse avec FS quand je clique sur une tache rien ne se passe ).

Le pc démarre en mode sans echec mais je ne sais pas quoi faire, apres analyse en ligne (bitdefender, FSonline) rien n'a été trouvé. Et le PC rame beaucoup...

Que dois-je faire?

Merci pour vos compétences et vos réponses!


Cordialement,


Vincent
A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,


* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Ensuite tu relances RogueKiller puis tu tapes 6 et poste les 2 rapport stp

(pour les options 2 et 6)

@+

_ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 2 / 28
vincent
 
hello et tout d'abord merci de repondre aussi vite! voici le 1er rapport :

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: vincent [Droits d'admin]
Mode: Suppression -- Date : 16/01/2012 14:29:39

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] wpbt0.dll -- C:\DOCUME~1\vincent\LOCALS~1\Temp\wpbt0.dll -> KILLED [TermProc]

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] wpbt0.dll.lnk : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\vincent\LOCALS~1\Temp\wpbt0.dll -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] f8dc6cafc117db2b130c1fcc17dd040d
[BSP] 9f05149d07012ba8ac527d61adb0d1b0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 157283 Mo
1 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 307194930 | Size: 342813 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Réponse 3 / 28
vincent
 
et voila le 2eme rapport apres redemarrage de roguekiller et avoir tapé 6 :

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 16/01/2012 14:33:05

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 2196 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 96 / Fail 0
Mes documents: Success 5 / Fail 0
Mes favoris: Success 1 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 675 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



Merci !
0
Réponse 4 / 28
vincent
 
bon il semblerait deja que le gestionnaire des taches soit reactivé, par contre l'antivirus ne lance toujours pas d'analyse quand je lui demande :(
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
vincent
 
il semblerait qu'un processus de mon antivirus prenne pres de 300 000ko de memeoire
( fssm32 une appli de f-secure)

j'attends de vos conseils avant de faire quoi que ce soit ;)
0
Réponse 6 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Re,

/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message


Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

@+

0
Réponse 7 / 28
vincent
 
Après une longue attente ( des amis sont passés prendre un verre durant l'analyse coup de chance ) l'analyse s'est terminée.

Voici le rapport :

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.16.01

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
vincent :: XPSP2-CC7285AB2 [administrateur]

16/01/2012 15:08:13
mbam-log-2012-01-16 (15-08-13).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 319463
Temps écoulé: 1 heure(s), 54 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL|SearchAssistant (Hijack.SearchPage) -> Mauvais: (http://www.cherche.us) Bon: (http://www.google.com/) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\Documents and Settings\vincent\Bureau\RK_Quarantine\wpbt0.dll.vir (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\vincent\Local Settings\Temp\wpbt0.dll (Trojan.Agent) -> Suppression au redémarrage.
C:\Documents and Settings\vincent\Local Settings\Temporary Internet Files\Content.IE5\05ER01UJ\ymjsdwkld[1].0xe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\vincent\Local Settings\Temporary Internet Files\Content.IE5\C90XYF05\about[1].exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\MediaCoder\tools\pmp_muxer_avc.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\UsbFix\Quarantine\C\DOCUME~1\vincent\LOCALS~1\Temp\herss.exe.0sbFix (Worm.Taterf) -> Mis en quarantaine et supprimé avec succès.

(fin)

A priori tout a l'air de fonctionner comme avant, l'antivirus a arrêté sa grève et veut bien retravailler ;)

A moins que le rapport dise autre chose?

Dois-je supprimer le dossier quarantaine de Roguekiller?
0
Réponse 8 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Re, 

Dois-je supprimer le dossier quarantaine de Roguekiller?


On va désinstaller complètement RogueKiller à la fin de la désinfection :-)

Tu peux vider la quarantaine de Malwarebytes

============================

Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
Si indisponible, tu peux essayer avec l'un de ces liens:
http://ww38.toofiles.com/fr/documents-upload.html
https://www.terafiles.net/
https://www.casimages.com/
http://pjjoint.malekal.com/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
* Clique sur le bouton Envoyer
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

* Copie le lien dans ta prochaine réponse.

0
Réponse 9 / 28
vincent
 
hello!

voici le lien que tu demandes :

http://www.toofiles.com/fr/oip/documents/txt/5175_zhpdiag.html
0
Réponse 10 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,

Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

@+
0
Réponse 11 / 28
vincent
 
Bonjour Fish 66 !

Voici le rapport adwcleaner :

http://www.toofiles.com/fr/oip/documents/txt/adwcleaners1.html

Je te l'envoie de la meme maniere que le rapport precedent car le site bug lorsque le rapport est dans le message ( je ne peux pas le valider, "probleme de titre non renseigné")
0
Réponse 12 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Re,
1/
* inscris toi sur le forum afin de rendre tes liens lisibles

* ICI >> Forum comment ca marche

2/
Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur ton Bureau

* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

===================================================

Attention, avant de commencer, lit attentivement la procédure

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

? Fais un clic droit sur ce lien, enregistre le dans ton bureau

Voici Aide combofix


* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+
0
Réponse 13 / 28
vincent
 
hello!

Désolé du temps de réponse, pas eu le temps d'allumer l'ordi depuis quelques jours!

voici le rapport combofix :

ComboFix 12-01-16.05 - vincent 23/01/2012 18:58:20.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1536 [GMT 1:00]
Lancé depuis: c:\documents and settings\vincent\Bureau\ComboFix.exe
.
- Mode FONCTIONNALITES REDUITES -
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\SuperCopier2\SC2Hook.dll
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\vincent\WINDOWS
c:\program files\Setup.exe
C:\Thumbs.db
c:\windows\system32\ijl11.dll
c:\windows\twexx32.dll
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-12-23 au 2012-01-23 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-16 20:07 . 2012-01-16 20:12 -------- d-----w- C:\ZHP
2012-01-16 20:06 . 2012-01-16 20:09 -------- d-----w- c:\program files\ZHPDiag
2012-01-16 13:21 . 2012-01-16 13:31 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2012-01-16 12:09 . 2012-01-16 12:08 3562624 ----a-w- c:\program files\ccsetup314.exe
2011-12-29 10:33 . 2011-12-29 10:33 9566293 ----a-w- c:\program files\cockatrice_win32_20111113.exe
2011-12-27 10:05 . 2011-12-27 10:05 21073936 ----a-w- c:\program files\vlc-1.1.11-win32.exe
2011-12-27 10:04 . 2011-12-27 10:04 -------- d-----w- c:\program files\Fichiers communs\Java
2011-12-26 19:16 . 2011-12-26 19:16 -------- d-----w- c:\documents and settings\Administrateur
2011-12-25 18:53 . 2011-12-25 18:53 2106216 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-12-25 18:53 . 2011-12-25 18:53 121816 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-12-25 18:53 . 2011-12-25 18:53 1998168 ----a-w- c:\program files\Mozilla Firefox\d3dx9_43.dll
2011-12-25 18:53 . 2011-12-25 18:53 97240 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-12-25 18:53 . 2011-12-25 18:53 814040 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-12-25 18:53 . 2011-12-25 18:53 486360 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-12-25 18:53 . 2011-12-25 18:53 2124760 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-12-25 18:53 . 2011-12-25 18:53 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-12-25 18:53 . 2011-12-25 18:53 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
2011-12-25 18:53 . 2011-12-25 18:53 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2011-12-25 18:53 . 2011-12-25 18:53 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2011-12-25 18:53 . 2011-12-25 18:53 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-30 12:43 . 2011-11-30 12:43 2479184 ----a-w- c:\program files\AdobeDownloadAssistant.exe
2011-11-10 04:54 . 2010-06-09 19:27 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-11-10 02:27 . 2008-11-19 12:30 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-10-26 11:56 . 2011-10-26 11:55 23803016 ----a-w- c:\program files\SkypeSetupFull.exe
2011-10-26 11:53 . 2011-10-26 11:54 980104 ----a-w- c:\program files\SkypeSetup.exe
2011-10-03 17:53 . 2011-10-03 17:54 2228534 ----a-w- c:\program files\audacity-win-1.2.6.exe
2011-10-02 10:42 . 2011-10-02 10:43 164993 ----a-w- c:\program files\mp3DC202.exe
2010-06-09 19:26 . 2010-06-09 19:26 921376 ----a-w- c:\program files\jxpiinstall.exe
2010-05-14 14:44 . 2010-05-14 14:44 7403176 ----a-w- c:\program files\easy-cd-da-extractor_easy_cd-da_extractor_12_francais_9629.exe
2010-05-11 08:49 . 2010-05-11 08:49 8697544 ----a-w- c:\program files\CDex-win32-1.70-b4-2009.exe
2010-05-07 10:47 . 2010-05-07 10:47 321328 ----a-w- c:\program files\utorrent.exe
2010-02-05 12:18 . 2010-02-05 12:09 528453000 ----a-w- c:\program files\TmNationsForever_demo01net.exe
2010-02-02 22:03 . 2010-02-02 21:57 529292258 ----a-w- c:\program files\tmnationsforever_setup.exe
2009-12-04 20:13 . 2009-12-04 20:13 1925024 ----a-w- c:\program files\install_flash_player.exe
2009-11-09 11:36 . 2009-11-09 11:35 6521516 ----a-w- c:\program files\realalt201.exe
2009-01-05 11:35 . 2009-01-05 11:35 2548215 ----a-w- c:\program files\mtg_gamepack.exe
2009-01-05 11:34 . 2009-01-05 11:33 9690219 ----a-w- c:\program files\mws094f.exe
2009-01-03 17:08 . 2009-01-03 17:08 1079791 ----a-w- c:\program files\Apprentice.exe
2008-11-19 12:33 . 2008-11-19 12:33 2642935 ----a-w- c:\program files\slime-2.4.exe
2008-11-17 11:26 . 2008-11-17 11:25 20667260 ----a-w- c:\program files\ffwtt-v3.2.3.6049-full.exe
2008-11-11 09:39 . 2008-11-11 09:34 88293904 ----a-w- c:\program files\fs2009.exe
2008-10-16 17:52 . 2008-10-16 17:50 36552112 ----a-w- c:\program files\8-10_xp32_dd_ccc_wdm_enu_69561.exe
2008-10-15 16:30 . 2008-10-15 16:30 14566424 ----a-w- c:\program files\vlc-0.9.4-win32.exe
2011-12-25 18:53 . 2011-12-25 18:53 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\sfcfiles.dll
[-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"Pando Media Booster"="c:\program files\Pando Networks\Media Booster\PMB.exe" [2009-10-25 2923192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"USBToolTip"="c:\progra~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-06-09 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"HonorAutoRunSetting"= 0 (0x0)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
2006-07-07 16:45 1052672 ----a-w- c:\program files\SuperCopier2\SuperCopier2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56552:TCP"= 56552:TCP:Pando P2P TCP Listening Port
"56552:UDP"= 56552:UDP:Pando P2P UDP Listening Port
"58903:TCP"= 58903:TCP:Pando Media Booster
"58903:UDP"= 58903:UDP:Pando Media Booster
.
S0 mhvgic;mhvgic; [x]
S3 Andbus;LGE Android Platform Composite USB Device;c:\windows\system32\drivers\lgandbus.sys [11/09/2011 08:51 14336]
S3 AndDiag;LGE Android Platform USB Serial Port;c:\windows\system32\drivers\lganddiag.sys [11/09/2011 08:51 20736]
S3 AndGps;LGE Android Platform USB GPS NMEA Port;c:\windows\system32\drivers\lgandgps.sys [11/09/2011 08:51 20096]
S3 ANDModem;LGE Android Platform USB Modem;c:\windows\system32\drivers\lgandmodem.sys [11/09/2011 08:51 25088]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [15/03/2010 14:19 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [15/03/2010 14:19 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [15/03/2010 14:19 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [15/03/2010 14:19 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [15/03/2010 14:19 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [15/03/2010 14:19 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [15/03/2010 14:19 109864]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [18/07/2011 10:25 155344]
S3 TKFsAc;TKFsAc;\??\c:\windows\system32\TKFsAc2k.sys --> c:\windows\system32\TKFsAc2k.sys [?]
S3 TKFsAv;TKFsAv;\??\c:\windows\system32\TKFsAv2k.sys --> c:\windows\system32\TKFsAv2k.sys [?]
S3 TKFsFt;TKFsFt;\??\c:\windows\system32\TKFsFt2k.sys --> c:\windows\system32\TKFsFt2k.sys [?]
S3 TKRgAc;TKRgAc;\??\c:\windows\system32\TKRgAc2k.sys --> c:\windows\system32\TKRgAc2k.sys [?]
S3 TKRgFt;TKRgFt;\??\c:\windows\system32\TKRgFtXp.sys --> c:\windows\system32\TKRgFtXp.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - mchInjDrv
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\vincent\Application Data\Mozilla\Firefox\Profiles\6379tb63.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
AddRemove-{088B38F9-1102-455B-B139-C0662CD96876}_is1 - c:\mtgpics\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-23 18:59
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\vincent\LOCALS~1\Temp\mc21.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2012-01-23 19:00:48
ComboFix-quarantined-files.txt 2012-01-23 18:00
.
Avant-CF: 59 856 388 096 octets libres
Après-CF: 60 397 035 520 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - B75243B1B8C3079642B12B4028577646
0
Réponse 14 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
-----------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
* Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
__________________________________________________

KillAll::

File::
c:\program files\ffwtt-v3.2.3.6049-full.exe

Driver::
mhvgic

Registry::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"=-


__________________________________________________

* Enregistre ce fichier sous le nom CFScript
* Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
* Combofix se lance, laisse toi guider..

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+
0
Réponse 15 / 28
vincent
 
Bonjour!

Voici le rapport apres avoir copié dans combofix le fichier txt , et merci encore de vous occuper de mon cas !

Pour ma part je ne décèle plus aucun bug, aucune gene, bref je pense que tout est redevenu normal .

ComboFix 12-01-16.05 - vincent 24/01/2012 20:24:36.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1397 [GMT 1:00]
Lancé depuis: c:\documents and settings\vincent\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\vincent\Bureau\CFScript.txt
AV: F-Secure Internet Security 2011 10.51 *Disabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: F-Secure Internet Security 2011 10.51 *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
- Mode FONCTIONNALITES REDUITES -
.
FILE ::
"c:\program files\ffwtt-v3.2.3.6049-full.exe"
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\SuperCopier2\SC2Hook.dll
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\ffwtt-v3.2.3.6049-full.exe
C:\Thumbs.db
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-12-24 au 2012-01-24 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-23 18:11 . 2012-01-23 18:16 33408 ----a-w- c:\windows\system32\drivers\fsbts.sys
2012-01-23 18:06 . 2012-01-23 18:15 82824 ----a-w- c:\windows\system32\drivers\fsdfw.sys
2012-01-16 20:07 . 2012-01-16 20:12 -------- d-----w- C:\ZHP
2012-01-16 20:06 . 2012-01-16 20:09 -------- d-----w- c:\program files\ZHPDiag
2012-01-16 13:21 . 2012-01-16 13:31 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2012-01-16 12:09 . 2012-01-16 12:08 3562624 ----a-w- c:\program files\ccsetup314.exe
2011-12-29 10:33 . 2011-12-29 10:33 9566293 ----a-w- c:\program files\cockatrice_win32_20111113.exe
2011-12-27 10:05 . 2011-12-27 10:05 21073936 ----a-w- c:\program files\vlc-1.1.11-win32.exe
2011-12-27 10:04 . 2011-12-27 10:04 -------- d-----w- c:\program files\Fichiers communs\Java
2011-12-26 19:16 . 2011-12-26 19:16 -------- d-----w- c:\documents and settings\Administrateur
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-30 12:43 . 2011-11-30 12:43 2479184 ----a-w- c:\program files\AdobeDownloadAssistant.exe
2011-11-10 04:54 . 2010-06-09 19:27 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-11-10 02:27 . 2008-11-19 12:30 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-10-26 11:56 . 2011-10-26 11:55 23803016 ----a-w- c:\program files\SkypeSetupFull.exe
2011-10-26 11:53 . 2011-10-26 11:54 980104 ----a-w- c:\program files\SkypeSetup.exe
2011-10-03 17:53 . 2011-10-03 17:54 2228534 ----a-w- c:\program files\audacity-win-1.2.6.exe
2011-10-02 10:42 . 2011-10-02 10:43 164993 ----a-w- c:\program files\mp3DC202.exe
2010-06-09 19:26 . 2010-06-09 19:26 921376 ----a-w- c:\program files\jxpiinstall.exe
2010-05-14 14:44 . 2010-05-14 14:44 7403176 ----a-w- c:\program files\easy-cd-da-extractor_easy_cd-da_extractor_12_francais_9629.exe
2010-05-11 08:49 . 2010-05-11 08:49 8697544 ----a-w- c:\program files\CDex-win32-1.70-b4-2009.exe
2010-05-07 10:47 . 2010-05-07 10:47 321328 ----a-w- c:\program files\utorrent.exe
2010-02-05 12:18 . 2010-02-05 12:09 528453000 ----a-w- c:\program files\TmNationsForever_demo01net.exe
2010-02-02 22:03 . 2010-02-02 21:57 529292258 ----a-w- c:\program files\tmnationsforever_setup.exe
2009-12-04 20:13 . 2009-12-04 20:13 1925024 ----a-w- c:\program files\install_flash_player.exe
2009-11-09 11:36 . 2009-11-09 11:35 6521516 ----a-w- c:\program files\realalt201.exe
2009-01-05 11:35 . 2009-01-05 11:35 2548215 ----a-w- c:\program files\mtg_gamepack.exe
2009-01-05 11:34 . 2009-01-05 11:33 9690219 ----a-w- c:\program files\mws094f.exe
2009-01-03 17:08 . 2009-01-03 17:08 1079791 ----a-w- c:\program files\Apprentice.exe
2008-11-19 12:33 . 2008-11-19 12:33 2642935 ----a-w- c:\program files\slime-2.4.exe
2008-11-11 09:39 . 2008-11-11 09:34 88293904 ----a-w- c:\program files\fs2009.exe
2008-10-16 17:52 . 2008-10-16 17:50 36552112 ----a-w- c:\program files\8-10_xp32_dd_ccc_wdm_enu_69561.exe
2008-10-15 16:30 . 2008-10-15 16:30 14566424 ----a-w- c:\program files\vlc-0.9.4-win32.exe
2011-12-25 18:53 . 2011-12-25 18:53 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\sfcfiles.dll
[-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2012-01-23_17.59.46 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-01-24 19:26 . 2012-01-24 19:26 16384 c:\windows\temp\Perflib_Perfdata_7cc.dat
+ 2001-08-24 12:00 . 2012-01-24 18:12 621464 c:\windows\system32\perfh00C.dat
+ 2001-08-24 12:00 . 2012-01-24 18:12 553056 c:\windows\system32\perfh009.dat
+ 2001-08-24 12:00 . 2012-01-24 18:12 137142 c:\windows\system32\perfc00C.dat
+ 2001-08-24 12:00 . 2012-01-24 18:12 123842 c:\windows\system32\perfc009.dat
+ 2012-01-23 18:15 . 2012-01-23 18:15 135680 c:\windows\Installer\69ed8.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"Pando Media Booster"="c:\program files\Pando Networks\Media Booster\PMB.exe" [2009-10-25 2923192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"USBToolTip"="c:\progra~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-06-09 254696]
"F-Secure Manager"="c:\program files\F-Secure Internet Security\Common\FSM32.EXE" [2012-01-23 201384]
"F-Secure TNB"="c:\program files\F-Secure Internet Security\FSGUI\TNBUtil.exe" [2012-01-23 1655464]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"HonorAutoRunSetting"= 0 (0x0)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
2006-07-07 16:45 1052672 ----a-w- c:\program files\SuperCopier2\SuperCopier2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\vincent\\Bureau\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56552:TCP"= 56552:TCP:Pando P2P TCP Listening Port
"56552:UDP"= 56552:UDP:Pando P2P UDP Listening Port
"58903:TCP"= 58903:TCP:Pando Media Booster
"58903:UDP"= 58903:UDP:Pando Media Booster
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [23/01/2012 19:11 33408]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [23/01/2012 19:06 82824]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure Internet Security\HIPS\drivers\fshs.sys [23/01/2012 19:05 72520]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys [23/01/2012 19:05 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure Internet Security\ORSP Client\fsorsp.exe [23/01/2012 19:05 61088]
S0 mhvgic;mhvgic; [x]
S3 Andbus;LGE Android Platform Composite USB Device;c:\windows\system32\drivers\lgandbus.sys [11/09/2011 08:51 14336]
S3 AndDiag;LGE Android Platform USB Serial Port;c:\windows\system32\drivers\lganddiag.sys [11/09/2011 08:51 20736]
S3 AndGps;LGE Android Platform USB GPS NMEA Port;c:\windows\system32\drivers\lgandgps.sys [11/09/2011 08:51 20096]
S3 ANDModem;LGE Android Platform USB Modem;c:\windows\system32\drivers\lgandmodem.sys [11/09/2011 08:51 25088]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [15/03/2010 14:19 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [15/03/2010 14:19 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [15/03/2010 14:19 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [15/03/2010 14:19 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [15/03/2010 14:19 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [15/03/2010 14:19 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [15/03/2010 14:19 109864]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [18/07/2011 10:25 155344]
S3 TKFsAc;TKFsAc;\??\c:\windows\system32\TKFsAc2k.sys --> c:\windows\system32\TKFsAc2k.sys [?]
S3 TKFsAv;TKFsAv;\??\c:\windows\system32\TKFsAv2k.sys --> c:\windows\system32\TKFsAv2k.sys [?]
S3 TKFsFt;TKFsFt;\??\c:\windows\system32\TKFsFt2k.sys --> c:\windows\system32\TKFsFt2k.sys [?]
S3 TKRgAc;TKRgAc;\??\c:\windows\system32\TKRgAc2k.sys --> c:\windows\system32\TKRgAc2k.sys [?]
S3 TKRgFt;TKRgFt;\??\c:\windows\system32\TKRgFtXp.sys --> c:\windows\system32\TKRgFtXp.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - mchInjDrv
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\program files\F-Secure Internet Security\FSPS\program\FSLSP.DLL
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\vincent\Application Data\Mozilla\Firefox\Profiles\6379tb63.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-uTorrent - c:\program files\uTorrent\uTorrent.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-24 20:27
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
c:\program files\f-secure internet security\hips\fshook32.dll
.
- - - - - - - > 'lsass.exe'(844)
c:\program files\f-secure internet security\hips\fshook32.dll
.
- - - - - - - > 'explorer.exe'(2984)
c:\program files\SuperCopier2\SC2Hook.dll
c:\program files\f-secure internet security\hips\fshook32.dll
c:\program files\F-Secure Internet Security\Spam Control\fsscoepl.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
c:\program files\F-Secure Internet Security\Common\FSMA32.EXE
c:\program files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\F-Secure Internet Security\Common\FSHDLL32.EXE
c:\program files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
c:\program files\F-Secure Internet Security\Anti-Virus\fssm32.exe
c:\program files\F-Secure Internet Security\Anti-Virus\fsav32.exe
.
**************************************************************************
.
Heure de fin: 2012-01-24 20:30:26 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-01-24 19:30
ComboFix2.txt 2012-01-23 18:00
.
Avant-CF: 58 461 544 448 octets libres
Après-CF: 58 425 622 528 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - A1131C340CEF1C7984198320BEC74952
0
Réponse 16 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,

Lance ZHPDiag depuis le bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

@+
0
Réponse 17 / 28
vincent
 
rapport :

http://www.toofiles.com/fr/oip/documents/txt/8248_zhpdiag.html
0
Réponse 18 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,
1/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )




O43 - CFD: 10/06/2011 - 17:41:14 - [0,000] ----D- C:\Program Files\TryMedia => Infection BT (Adware.Trymedia)
P2 - FPN:Firefox Plugin Navigator . (.Pando Networks - Pando Web Installer.) -- C:\Program Files\Mozilla Firefox\Plugins\npPandoWebInst.dll
M3 - MFPP: Plugins - [vincent] -- C:\Program Files\Mozilla FireFox\searchplugins\pucuy.xml => pucuy.com

FirewallRAZ
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
* Télécharge OTM (OldTimer) sur ton Bureau

ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
C:\Program Files\Trymedia
C:\Documents and Settings\All Users\Application Data\ezsid.dat
C:\Documents and Settings\vincent\Application Data\76qqu1g0b6h51wwv.dat
C:\Program Files\cockatrice_win32_20111113.exe

:Reg
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
[-HKLM\Software\Trymedia Systems]




- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

@+

_ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 19 / 28
vincent
 
coucou!

rapport zhpfix :

Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-25-01-2012-21-54-00.txt
Run by vincent at 25/01/2012 21:54:00
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Valeur(s) du Registre ==========
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\TryMedia
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
SUPPRIME File: c:\program files\mozilla firefox\plugins\nppandowebinst.dll
SUPPRIME File: c:\program files\mozilla firefox\searchplugins\pucuy.xml
SUPPRIME Flash Cookies: 0


========== Récapitulatif ==========
1 : Valeur(s) du Registre
2 : Dossier(s)
3 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 25/01/2012 21:54:00 [931]


rapport oldtimer :

========== FILES ==========
File/Folder C:\Program Files\Trymedia not found.
C:\Documents and Settings\All Users\Application Data\ezsid.dat moved successfully.
C:\Documents and Settings\vincent\Application Data\76qqu1g0b6h51wwv.dat moved successfully.
C:\Program Files\cockatrice_win32_20111113.exe moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Trymedia Systems\ deleted successfully.

OTM by OldTimer - Version 3.1.19.0 log created on 01252012_220009


;)
0
Réponse 20 / 28
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,

Relance Malwarebytes pour une analyse complète après avoir effectué la mise à jour, puis poste le rapport stp

@+
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses