A voir également:
- Virus? srcsv.exe ?
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
4 réponses
salut
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
ComboFix 12-02-13.01 - Administrateur 2012-02-14 9:44.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.2302.2010 [GMT -6:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Downloads\Sandra.exe.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrateur\Application Data\Toolbar4
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\amazon.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\doo.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\fb.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\games.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\logo.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\moviess.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\pluss.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\search.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\tv2.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\tw.png
c:\documents and settings\Administrateur\Application Data\vso_ts_preview.xml
c:\documents and settings\All Users\Application Data\TEMP
c:\program files\searchweb\tbHElper.dll
c:\windows\$NtUninstallKB47192$\2607895517
c:\windows\$NtUninstallKB47192$\935235558\@
c:\windows\$NtUninstallKB47192$\935235558\cfg.ini
c:\windows\$NtUninstallKB47192$\935235558\Desktop.ini
c:\windows\$NtUninstallKB47192$\935235558\L\oqagxneh
c:\windows\$NtUninstallKB47192$\935235558\oemid
c:\windows\$NtUninstallKB47192$\935235558\U\00000001.@
c:\windows\$NtUninstallKB47192$\935235558\U\00000002.@
c:\windows\$NtUninstallKB47192$\935235558\U\00000004.@
c:\windows\$NtUninstallKB47192$\935235558\U\80000000.@
c:\windows\$NtUninstallKB47192$\935235558\U\80000004.@
c:\windows\$NtUninstallKB47192$\935235558\U\80000032.@
c:\windows\$NtUninstallKB47192$\935235558\version
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
c:\windows\system32\drivers\etc\hosts.ics
.
Une copie infectée de c:\windows\system32\drivers\cdrom.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-14 au 2012-02-14 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-14 15:42 . 2008-04-14 12:00 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys
2012-02-13 22:37 . 2012-02-13 23:21 22032 ----a-w- c:\windows\DCEBoot.exe
2012-02-13 22:37 . 2012-02-13 23:21 102400 ----a-w- c:\windows\RegBootClean.exe
2012-02-13 22:31 . 2012-02-13 22:31 -------- dc----w- c:\documents and settings\Administrateur\Application Data\BabylonToolbar
2012-02-13 22:30 . 2012-02-09 20:16 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2012-02-13 22:29 . 2012-02-13 22:29 -------- dc----w- c:\documents and settings\Administrateur\Application Data\TuneUp Software
2012-02-13 22:29 . 2012-02-13 22:31 -------- d-----w- c:\program files\TuneUp Utilities 2012
2012-02-13 22:29 . 2012-02-13 22:30 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2012-02-13 22:28 . 2012-02-13 22:28 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}
2012-01-21 21:28 . 2012-01-21 21:28 -------- dc----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2012-01-21 21:28 . 2012-02-13 23:00 -------- d-----w- c:\program files\Vgrabber
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-14 13:43 . 2004-10-01 13:06 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2011-11-29 02:28 . 2012-01-08 19:36 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2011-11-29 02:28 . 2012-01-08 19:36 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2011-11-29 02:28 . 2012-01-08 19:36 45648 ------w- c:\windows\system32\drivers\PxHelp20.sys
2011-11-29 02:28 . 2012-01-08 19:36 133616 ------w- c:\windows\system32\pxafs.dll
2011-11-29 02:28 . 2012-01-08 19:36 126448 ------w- c:\windows\system32\pxinsi64.exe
2011-11-29 02:28 . 2012-01-08 19:36 123888 ------w- c:\windows\system32\pxcpyi64.exe
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-08-02 . 98ABC27257B3C3BEFD501469A856F1ED . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}]
2011-08-23 21:33 2656256 ------w- c:\program files\searchweb\tbcore3.dll
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}"= "c:\program files\searchweb\tbcore3.dll" [2011-08-23 2656256]
.
[HKEY_CLASSES_ROOT\clsid\{cdb982ed-f9d6-4e3b-b94b-96f705d35ad1}]
[HKEY_CLASSES_ROOT\TBSB02609.TBSB02609.3]
[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
[HKEY_CLASSES_ROOT\TBSB02609.TBSB02609]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-02-10 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-02-10 118784]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-08-02 123904]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Media Finder"="c:\program files\Media Finder\MF.exe" /opentotray
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background
"Xvid"=c:\program files\Xvid\CheckUpdate.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" /MINIMIZED
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe"
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [09/02/2012 14:16 1529152]
R2 UpdaterService;Updater Service;c:\documents and settings\All Users\Application Data\UpdaterService\updsvc.exe [03/10/2004 02:37 529168]
R3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys --> c:\windows\system32\drivers\HCWBT8XX.sys [?]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [09/02/2012 11:48 10064]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/11/2011 11:11 136176]
S3 cpuz134;cpuz134;\??\c:\program files\CPUID\PC Wizard 2010\pcwiz_x32.sys --> c:\program files\CPUID\PC Wizard 2010\pcwiz_x32.sys [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [02/11/2011 11:11 136176]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [25/11/2011 15:36 311928]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ZY202_XP
lvsrvlauncher
epgspooler
symtdi
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-11-02 17:11]
.
2012-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-11-02 17:11]
.
2012-02-14 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2011-11-18 01:29]
.
.
------- Examen supplémentaire -------
.
IE: Download with &Media Finder - c:\program files\Media Finder\hook.html
IE: {{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - c:\program files\searchweb\tbcore3.dll
TCP: DhcpNameServer = 192.168.3.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - (no file)
WebBrowser-{B2ED7FAF-72A0-46D1-9D9D-602226F5CB9F} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-14 09:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
c:\windows\$NtUninstallKB47192$:SummaryInformation 0 bytes hidden from API
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symtdi]
"ServiceDll"=""
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ZY202_XP]
"ServiceDll"=""
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1614895754-1897051121-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4a,d2,90,e8,93,26,c7,45,b0,62,8a,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d4,1b,5d,ea,94,4b,8b,4c,8d,c2,4e,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):c7,a2,0f,49,88,38,2c,42,06,0f,ee,2c,fd,8f,81,bb,c2,a9,7c,33,61,
32,b4,1d,b8,d4,a4,45,2a,76,c7,b8,87,a2,c0,1d,92,af,39,a2,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{a3738360-b6d9-4e63-b396-643141d2e9b4}]
@Denied: (Full) (Everyone)
"Model"=dword:00000110
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,88,79,0d,22,8e,33,17,75,9e,60,01,c1,91,6a,3b,4e,ea,9b,c0,70,21,d0,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3428)
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2012-02-14 09:56:31 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-02-14 15:56
.
Avant-CF: 13 870 428 160 octets libres
Après-CF: 13 988 237 312 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - BE96D57585329D402014E9861ABD8115
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.2302.2010 [GMT -6:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Downloads\Sandra.exe.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrateur\Application Data\Toolbar4
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\amazon.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\doo.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\fb.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\games.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\logo.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\moviess.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\pluss.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\search.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\tv2.png
c:\documents and settings\Administrateur\Application Data\Toolbar4\CDB982ED-F9D6-4E3B-B94B-96F705D35AD1\tw.png
c:\documents and settings\Administrateur\Application Data\vso_ts_preview.xml
c:\documents and settings\All Users\Application Data\TEMP
c:\program files\searchweb\tbHElper.dll
c:\windows\$NtUninstallKB47192$\2607895517
c:\windows\$NtUninstallKB47192$\935235558\@
c:\windows\$NtUninstallKB47192$\935235558\cfg.ini
c:\windows\$NtUninstallKB47192$\935235558\Desktop.ini
c:\windows\$NtUninstallKB47192$\935235558\L\oqagxneh
c:\windows\$NtUninstallKB47192$\935235558\oemid
c:\windows\$NtUninstallKB47192$\935235558\U\00000001.@
c:\windows\$NtUninstallKB47192$\935235558\U\00000002.@
c:\windows\$NtUninstallKB47192$\935235558\U\00000004.@
c:\windows\$NtUninstallKB47192$\935235558\U\80000000.@
c:\windows\$NtUninstallKB47192$\935235558\U\80000004.@
c:\windows\$NtUninstallKB47192$\935235558\U\80000032.@
c:\windows\$NtUninstallKB47192$\935235558\version
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
c:\windows\system32\drivers\etc\hosts.ics
.
Une copie infectée de c:\windows\system32\drivers\cdrom.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-14 au 2012-02-14 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-14 15:42 . 2008-04-14 12:00 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys
2012-02-13 22:37 . 2012-02-13 23:21 22032 ----a-w- c:\windows\DCEBoot.exe
2012-02-13 22:37 . 2012-02-13 23:21 102400 ----a-w- c:\windows\RegBootClean.exe
2012-02-13 22:31 . 2012-02-13 22:31 -------- dc----w- c:\documents and settings\Administrateur\Application Data\BabylonToolbar
2012-02-13 22:30 . 2012-02-09 20:16 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2012-02-13 22:29 . 2012-02-13 22:29 -------- dc----w- c:\documents and settings\Administrateur\Application Data\TuneUp Software
2012-02-13 22:29 . 2012-02-13 22:31 -------- d-----w- c:\program files\TuneUp Utilities 2012
2012-02-13 22:29 . 2012-02-13 22:30 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2012-02-13 22:28 . 2012-02-13 22:28 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}
2012-01-21 21:28 . 2012-01-21 21:28 -------- dc----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2012-01-21 21:28 . 2012-02-13 23:00 -------- d-----w- c:\program files\Vgrabber
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-14 13:43 . 2004-10-01 13:06 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2011-11-29 02:28 . 2012-01-08 19:36 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2011-11-29 02:28 . 2012-01-08 19:36 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2011-11-29 02:28 . 2012-01-08 19:36 45648 ------w- c:\windows\system32\drivers\PxHelp20.sys
2011-11-29 02:28 . 2012-01-08 19:36 133616 ------w- c:\windows\system32\pxafs.dll
2011-11-29 02:28 . 2012-01-08 19:36 126448 ------w- c:\windows\system32\pxinsi64.exe
2011-11-29 02:28 . 2012-01-08 19:36 123888 ------w- c:\windows\system32\pxcpyi64.exe
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-08-02 . 98ABC27257B3C3BEFD501469A856F1ED . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}]
2011-08-23 21:33 2656256 ------w- c:\program files\searchweb\tbcore3.dll
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}"= "c:\program files\searchweb\tbcore3.dll" [2011-08-23 2656256]
.
[HKEY_CLASSES_ROOT\clsid\{cdb982ed-f9d6-4e3b-b94b-96f705d35ad1}]
[HKEY_CLASSES_ROOT\TBSB02609.TBSB02609.3]
[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
[HKEY_CLASSES_ROOT\TBSB02609.TBSB02609]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-02-10 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-02-10 118784]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-08-02 123904]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Media Finder"="c:\program files\Media Finder\MF.exe" /opentotray
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background
"Xvid"=c:\program files\Xvid\CheckUpdate.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" /MINIMIZED
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe"
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [09/02/2012 14:16 1529152]
R2 UpdaterService;Updater Service;c:\documents and settings\All Users\Application Data\UpdaterService\updsvc.exe [03/10/2004 02:37 529168]
R3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys --> c:\windows\system32\drivers\HCWBT8XX.sys [?]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [09/02/2012 11:48 10064]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/11/2011 11:11 136176]
S3 cpuz134;cpuz134;\??\c:\program files\CPUID\PC Wizard 2010\pcwiz_x32.sys --> c:\program files\CPUID\PC Wizard 2010\pcwiz_x32.sys [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [02/11/2011 11:11 136176]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [25/11/2011 15:36 311928]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ZY202_XP
lvsrvlauncher
epgspooler
symtdi
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-11-02 17:11]
.
2012-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-11-02 17:11]
.
2012-02-14 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2011-11-18 01:29]
.
.
------- Examen supplémentaire -------
.
IE: Download with &Media Finder - c:\program files\Media Finder\hook.html
IE: {{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - c:\program files\searchweb\tbcore3.dll
TCP: DhcpNameServer = 192.168.3.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - (no file)
WebBrowser-{B2ED7FAF-72A0-46D1-9D9D-602226F5CB9F} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-14 09:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
c:\windows\$NtUninstallKB47192$:SummaryInformation 0 bytes hidden from API
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symtdi]
"ServiceDll"=""
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ZY202_XP]
"ServiceDll"=""
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1614895754-1897051121-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4a,d2,90,e8,93,26,c7,45,b0,62,8a,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d4,1b,5d,ea,94,4b,8b,4c,8d,c2,4e,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):c7,a2,0f,49,88,38,2c,42,06,0f,ee,2c,fd,8f,81,bb,c2,a9,7c,33,61,
32,b4,1d,b8,d4,a4,45,2a,76,c7,b8,87,a2,c0,1d,92,af,39,a2,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{a3738360-b6d9-4e63-b396-643141d2e9b4}]
@Denied: (Full) (Everyone)
"Model"=dword:00000110
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,88,79,0d,22,8e,33,17,75,9e,60,01,c1,91,6a,3b,4e,ea,9b,c0,70,21,d0,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3428)
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2012-02-14 09:56:31 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-02-14 15:56
.
Avant-CF: 13 870 428 160 octets libres
Après-CF: 13 988 237 312 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - BE96D57585329D402014E9861ABD8115
