Ca rame !! Fermé

Question

Bonjour, 

Mon deuxième ordi (le premier est en cours de nettoyage), rame complètement.

Serait-il possible de m'aider à regarder s'il est infecté et si on peut faire qqch ?

Merci d'avance !


Configuration: Windows XP / Firefox 8.0

SlyK · Answer

Bonjour lafoug,

Je t'invite à faire ceci : ZHPDiag : Générer un rapport   


Cordialement.

lafoug · Answer

Bonjour,
Merci de ton aide, mais les liens de téléchargement de ZHPdiag ne marchent pas chez moi... :/

SlyK · Answer

Re ! 

Qu'est-ce que tu veux dire par "ne marchent pas chez moi" ?


Cordialement.

lafoug · Answer

Ben aucun téléchargement ne se lance... :/
Je ne sais pas si c'est lié à l'ordi qui rame beaucoup
A ma connexion qui est pourrie
Ou au fait que je suis à l'étranger et que certains sites ne fonctionnent pas chez moi !

lafoug · Answer

Voilà le rapport :
http://cjoint.com/data3/3JzmwS6cV5k.htm

SlyK · Answer

Re !  

Tu as 1Go de RAM, c'est pas beaucoup, c'est une première raison du pourquoi tu rames.  

De plus, tu possèdes COMODO Internet Security et Avira, avoir deux antivirus ralentit le système, choisis celui que tu veux garder.  

Désinstalle les programmes suivant :  
&#x2022; COMODO GeekBuddy (à moins que tu l'utilises)  
&#x2022; J2SE Runtime Environment 5.0 Update 6 (Version obsolète, on le mettra à jour à la fin)  
&#x2022; Java(TM) 6 Update 35 (Version obsolète, on le mettra à jour à la fin)  
&#x2022; VLC media player 0.9.8a (Version obsolète, on le mettra à jour à la fin)  

Il faudrait que tu héberges ces fichiers : 
&#x2022; C:\Program Files\reclz.vbs 
&#x2022; C:\DOCUME~1\EMMANU~1\LOCALS~1\Temp\mc25.tmp

Puis fais ceci : Supprimer les Adwares, les bonnes méthodes  


Cordialement.

lafoug · Answer

Je n'ai qu'un seul antivirus. Comodo je n'ai que le firewall. 
J'ai supprimé geekbudy ainsi que les autres programmes...

Par contre comment je fais pour héberger les fichiers ? sur cijoint aussi ?

SlyK · Answer

Re !

Oui tu peux héberger sur ci-joint les fichiers.
Si tu as activé seulement le firewall de COMODO c'est parfait.


Cordialement.

lafoug · Answer

voilà le premier fichier hébergé :
http://cjoint.com/data3/3JznV3zCDkY.htm

Par contre je ne trouve pas le deuxième... ?!

SlyK · Answer

Re !

Le chemin complet du deuxième fichier est :
C:\Documents and Settings\Emmanuel DUHAMELET\Local Settings\Temp\

PS: J'attends toujours le rapport d'AdwCleaner.


Cordialement.

lafoug · Answer

J'ai trouvé l'emplacement du fichier, mais je n'en vois aucun intitulé mc25 ...
Pourquoi faut-il héberger ces fichiers ?

Je lance AdwCleaner, je ne l'avais pas encore fait, car je pensais qu'il fallait d'abord héberger les fichiers.

lafoug · Answer

Voilà le rapport :


# AdwCleaner v2.005 - Rapport créé le 25/10/2012 à 14:21:23
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Emmanuel DUHAMELET - PC757821523111
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Emmanuel DUHAMELET\Mes documents\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Documents and Settings\Emmanuel DUHAMELET\Application Data\Mozilla\Firefox\Profiles\y8u37z2b.default\searchplugins\daemon-search.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v8.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\Emmanuel DUHAMELET\Application Data\Mozilla\Firefox\Profiles\y8u37z2b.default\prefs.js

Supprimée : user_pref("browser.search.defaultenginename", "Web Search...");

-\ Opera v11.10.2092.0

Fichier : C:\Documents and Settings\Emmanuel DUHAMELET\Application Data\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S2].txt - [1939 octets] - [25/10/2012 14:21:23]

########## EOF - C:\AdwCleaner[S2].txt - [1999 octets] ##########

SlyK · Answer

Re !

Car ce sont des fichiers douteux.
Refais moi un diagnostique à l'aide de ZHPDiag.

Je vais te faire un script.


Cordialement.

lafoug · Answer

Bonjour !

voilà le rapport : http://cjoint.com/data3/3JAjPmip6UO.htm

lafoug · Answer

Bonjour,

Avez vous eu le rapport ? Que faut-il que je fasse ?

Merci d'avance

SlyK · Answer

Re !

Je n'étais pas là ce week-end, j'ai le rapport.
Je le regarde dès que j'ai le temps.


Cordialement.

lafoug · Answer

Re,

Ok, pas de problème !
Merci pour tout !

g3n-h@ckm@n · Answer

hello slyk est très occupé en ce moment je vais continuer avec toi ^^

t'as des trucs pourris encore :

en esperant que la RAM suffise...

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

lafoug · Answer

Merci :)
Le scan est en cours !

lafoug · Answer

Et voilà le lien : https://forums-fec.be/upload/www/?a=d&i=6876659153 !

g3n-h@ckm@n · Answer

relance l'outil , clique sur DiaG heberge le rapport et donne le lien

 et je mets ca de coté pour moi (bckpRS)

lafoug · Answer

et voilà le nouveau rapport : https://forums-fec.be/upload/www/?a=d&i=3209850942

g3n-h@ckm@n · Answer

peux-tu coller le contenu de ce fichier stp ?

C:\WINDOWS\system32\clkcnt.txt

lafoug · Answer

vm_feeds_fr_bannerconnectmv;1;

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

lafoug · Answer

voila :



ComboFix 12-10-30.03 - Emmanuel DUHAMELET 30/10/2012  17:26:35.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.566 [GMT 1:00]
Lancé depuis: c:\documents and settings\Emmanuel DUHAMELET\Mes documents\Downloads\Manu.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\Emmanuel DUHAMELET\Bureau\Internet Explorer.lnk
c:\documents and settings\Emmanuel DUHAMELET\WINDOWS
c:\windows\system32\joppljei.ini
c:\windows\system32
VGhknnn.ini
c:\windows\system32
VGhknnn.ini2
c:\windows\system32\qkhasfmi.ini
c:\windows\system32\SET1D.tmp
c:\windows\system32\SET1E.tmp
c:\windows\system32\SET51.tmp
c:\windows\system32\SET53.tmp
c:\windows\system32\SET5F.tmp
c:\windows\system32\SET97.tmp
c:\windows\system32\SET99.tmp
c:\windows\system32\SET9C.tmp
c:\windows\system32\TZLog.log
c:\windows\system32\uDMTstwa.ini
c:\windows\system32\uDMTstwa.ini2
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTempegtlib.exe
c:\windows\system32\wvujjahc.ini
c:\windows\system32\yxEMVvut.ini
c:\windows\system32\yxEMVvut.ini2
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-09-28 au 2012-10-30  ))))))))))))))))))))))))))))))))))))
.
.
2012-10-30 11:44 . 2012-10-30 14:45	--------	d-----w-	C:\Pre_Scan
2012-10-25 10:04 . 2012-10-26 07:35	--------	d-----w-	C:\ZHP
2012-10-25 10:04 . 2012-10-26 07:34	--------	d-----w-	c:\program files\ZHPDiag
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-02 15:25 . 2012-09-02 15:25	477168	----a-w-	c:\windows\system32
pdeployJava1.dll
2012-09-02 15:25 . 2011-09-09 21:11	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-09-02 15:24 . 2012-09-02 15:24	0	----a-w-	c:\windows\system32\REN46.tmp
2012-09-02 15:24 . 2012-09-02 15:24	0	----a-w-	c:\windows\system32\REN45.tmp
2012-09-02 15:24 . 2012-09-02 15:24	0	----a-w-	c:\windows\system32\REN44.tmp
2012-08-28 15:04 . 2006-03-25 04:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-08-28 15:04 . 2006-03-25 04:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-08-28 15:04 . 2006-03-25 04:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2006-03-25 04:00	385024	----a-w-	c:\windows\system32\html.iec
2012-08-24 13:53 . 2006-03-25 04:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-08-23 06:27 . 2006-03-25 04:00	2150912	----a-w-	c:\windows\system32
toskrnl.exe
2012-08-23 06:27 . 2006-03-25 04:00	2029568	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-11-21 14:55 . 2010-11-21 15:04	252080	----a-w-	c:\program files\opera\program\plugins\dapop.dll
2011-11-11 18:06 . 2011-04-29 15:55	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"MsmqIntCert"="mqrt.dll" [2008-04-14 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-06-30 2554696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Emmanuel DUHAMELET\Menu Démarrer\Programmes\Démarrage\
Démarrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-1-26 51984]
Microsoft Recherche accélérée.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-1-26 111376]
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Démarrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\mqsvc.exe"=
"c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"c:\Program Files\Counter-Strike Source\hl2.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Gc2\gcii.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Opera\opera.exe"=
"c:\Program Files\Microsoft Games\Age of Empires III\age3.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"15396:TCP"= 15396:TCP:NortonAV
"14381:TCP"= 14381:TCP:NortonAV
"14657:TCP"= 14657:TCP:NortonAV
"16129:TCP"= 16129:TCP:NortonAV
"15663:TCP"= 15663:TCP:NortonAV
"16549:TCP"= 16549:TCP:NortonAV
"14414:TCP"= 14414:TCP:NortonAV
"18538:TCP"= 18538:TCP:NortonAV
"18877:TCP"= 18877:TCP:NortonAV
"12455:TCP"= 12455:TCP:NortonAV
"12518:TCP"= 12518:TCP:NortonAV
"12059:TCP"= 12059:TCP:NortonAV
"17720:TCP"= 17720:TCP:NortonAV
"15043:TCP"= 15043:TCP:NortonAV
"13819:TCP"= 13819:TCP:NortonAV
"12889:TCP"= 12889:TCP:NortonAV
"15243:TCP"= 15243:TCP:NortonAV
"18050:TCP"= 18050:TCP:NortonAV
"13972:TCP"= 13972:TCP:NortonAV
"14618:TCP"= 14618:TCP:NortonAV
"16357:TCP"= 16357:TCP:NortonAV
"12825:TCP"= 12825:TCP:NortonAV
"18127:TCP"= 18127:TCP:NortonAV
"12186:TCP"= 12186:TCP:NortonAV
"16016:TCP"= 16016:TCP:NortonAV
"18064:TCP"= 18064:TCP:NortonAV
"16596:TCP"= 16596:TCP:NortonAV
"16182:TCP"= 16182:TCP:NortonAV
"14438:TCP"= 14438:TCP:NortonAV
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/04/2008 20:11 717296]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [30/06/2011 08:38 242600]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [30/06/2011 08:38 29400]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/09/2011 22:47 136360]
R2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [13/08/2012 13:33 3064000]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [04/10/2011 14:24 136176]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [13/07/2012 13:28 160944]
S3 EAGLE2RC;Analog/DVB-T Hybrid Tv Infrared Receiver;c:\windows\system32\DRIVERS\Eagle2RC.sys --> c:\windows\system32\DRIVERS\Eagle2RC.sys [?]
S3 Eagle2TV;TV tuner device;c:\windows\system32\Drivers\eagle2tv_B.sys --> c:\windows\system32\Drivers\eagle2tv_B.sys [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [04/10/2011 14:24 136176]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys --> c:\windows\system32\DRIVERS\wdcsam.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'
.
2012-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-04 13:23]
.
2012-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-04 13:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
FF - ProfilePath - c:\documents and settings\Emmanuel DUHAMELET\Application Data\Mozilla\Firefox\Profiles\y8u37z2b.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://freakylinks.info/643
FF - ExtSQL: 2012-09-09 19:09; {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}; c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - ExtSQL: !HIDDEN! 2007-10-27 11:47; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: !HIDDEN! 2009-10-18 11:35; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{2B27E7D6-38D8-406E-9EB6-8CE5474B34F8} - (no file)
BHO-{AAE9C6C4-25EF-49AC-B3E6-803A0830AC97} - (no file)
BHO-{C3CC7CBE-4C2A-4497-8BC6-0D9FB892536E} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-10-30 17:36
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\EMMANU~1\LOCALS~1\Temp\mc24.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C0E0F2A8-E2DF-45AF-A88D-BFB62D927800}\ProgID]
@DACL=(02 0000)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'lsass.exe'(1076)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'explorer.exe'(4012)
c:\windows\system32\guard32.dll
c:\program files\SuperCopier2\SC2Hook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\igfxsrvc.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\windows\system32\msdtc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\mqsvc.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\eHome\ehmsas.exe
.
**************************************************************************
.
Heure de fin: 2012-10-30  17:42:19 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-10-30 16:42
.
Avant-CF: 29 269 827 584 octets libres
Après-CF: 29 336 563 712 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 9DCE825D24D6D73DCFCCA71C5848DF81

g3n-h@ckm@n · Answer

tu peux l'heberger le rapport plutot et me donner le lien ?

lafoug · Answer

le voila : 	https://forums-fec.be/upload/www/?a=d&i=4275484556

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ? Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ? Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: File:: c:\windows\system32\REN46.tmp c:\windows\system32\REN45.tmp c:\windows\system32\REN44.tmp Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ISUSPM Startup"=- "ISUSScheduler"=- "HP Software Update"=- "QuickTime Task"= [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] ""="" RegLock:: [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C0E0F2A8-E2DF-45AF-A88D-BFB62D927800}\ProgID] ------------------------------------------------------------------ ? Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ? Quitte le Bloc Notes ? Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ? Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ? Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ? Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

lafoug · Answer

voilà le rapport : https://forums-fec.be/upload/www/?a=d&i=5575265638

g3n-h@ckm@n · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)


ensuite :

fais bien attention que toutes les cases à droites soient cochées , puis clique sur scan 

j'attends donc deux rapports hébergés

lafoug · Answer

C'est ca le premier rapport ? Il n'y a pas de lignes rouges...


GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-10-31 07:32:55
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0  rev.
Running: z7y39bj7.exe; Driver: C:\DOCUME~1\EMMANU~1\LOCALS~1\Temp\ffdyraoc.sys


---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                       sector 00: rootkit-like behavior

---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO)  ZwEnumerateKey [0xA4219864]
SSDT            \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO)  ZwEnumerateValueKey [0xA4219ABA]

---- Devices - GMER 1.0.15 ----

Device          \Driver\iaStor \Device\Ide\iaStor0                                                          [F72877B0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                 [F7325B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort0                                                          [F7325B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                               [F72877B0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \FileSystem\Ntfs \Ntfs                                                                      86FB51F8
Device          \FileSystem\Fastfat \Fat                                                                    8619F500

AttachedDevice  \FileSystem\Fastfat \Fat                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

---- EOF - GMER 1.0.15 ----

g3n-h@ckm@n · Answer

oui le deuxieme est beaucoup plus long faudra l h'héberger

lafoug · Answer

voilà le rapport : https://forums-fec.be/upload/www/?a=d&i=2472530274

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Firefox:: FF - ExtSQL: !HIDDEN! 2007-10-27 11:47; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} FF - ExtSQL: !HIDDEN! 2009-10-18 11:35; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

lafoug · Answer

Voila le rapport :


ComboFix 12-10-30.03 - Emmanuel DUHAMELET 01/11/2012  17:47:26.3.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.451 [GMT 1:00]
Lancé depuis: c:\documents and settings\Emmanuel DUHAMELET\Mes documents\Downloads\Manu.exe
Commutateurs utilisés :: c:\documents and settings\Emmanuel DUHAMELET\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\SuperCopier2\SC2Hook.dll
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-01 au 2012-11-01  ))))))))))))))))))))))))))))))))))))
.
.
2012-10-30 11:44 . 2012-10-30 14:45	--------	d-----w-	C:\Pre_Scan
2012-10-25 10:04 . 2012-10-26 07:35	--------	d-----w-	C:\ZHP
2012-10-25 10:04 . 2012-10-26 07:34	--------	d-----w-	c:\program files\ZHPDiag
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-02 15:25 . 2012-09-02 15:25	477168	----a-w-	c:\windows\system32
pdeployJava1.dll
2012-09-02 15:25 . 2011-09-09 21:11	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-08-28 15:04 . 2006-03-25 04:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-08-28 15:04 . 2006-03-25 04:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-08-28 15:04 . 2006-03-25 04:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2006-03-25 04:00	385024	----a-w-	c:\windows\system32\html.iec
2012-08-24 13:53 . 2006-03-25 04:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-08-23 06:27 . 2006-03-25 04:00	2150912	----a-w-	c:\windows\system32
toskrnl.exe
2012-08-23 06:27 . 2006-03-25 04:00	2029568	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-11-21 14:55 . 2010-11-21 15:04	252080	----a-w-	c:\program files\opera\program\plugins\dapop.dll
2011-11-11 18:06 . 2011-04-29 15:55	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"MsmqIntCert"="mqrt.dll" [2008-04-14 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-06-30 2554696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Emmanuel DUHAMELET\Menu Démarrer\Programmes\Démarrage\
Démarrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-1-26 51984]
Microsoft Recherche accélérée.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-1-26 111376]
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Démarrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\mqsvc.exe"=
"c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"c:\Program Files\Counter-Strike Source\hl2.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Gc2\gcii.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Opera\opera.exe"=
"c:\Program Files\Microsoft Games\Age of Empires III\age3.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"= 
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/04/2008 20:11 717296]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [30/06/2011 08:38 242600]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [30/06/2011 08:38 29400]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/09/2011 22:47 136360]
R2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [02/10/2012 12:13 3064000]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [04/10/2011 14:24 136176]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [13/07/2012 13:28 160944]
S3 EAGLE2RC;Analog/DVB-T Hybrid Tv Infrared Receiver;c:\windows\system32\DRIVERS\Eagle2RC.sys --> c:\windows\system32\DRIVERS\Eagle2RC.sys [?]
S3 Eagle2TV;TV tuner device;c:\windows\system32\Drivers\eagle2tv_B.sys --> c:\windows\system32\Drivers\eagle2tv_B.sys [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [04/10/2011 14:24 136176]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys --> c:\windows\system32\DRIVERS\wdcsam.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-04 13:23]
.
2012-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-04 13:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
FF - ProfilePath - c:\documents and settings\Emmanuel DUHAMELET\Application Data\Mozilla\Firefox\Profiles\y8u37z2b.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://freakylinks.info/643
FF - ExtSQL: 2012-09-09 19:09; {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}; c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - ExtSQL: !HIDDEN! 2007-10-27 11:47; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: !HIDDEN! 2009-10-18 11:35; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-01 17:56
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\EMMANU~1\LOCALS~1\Temp\mc2A.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'lsass.exe'(1068)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'explorer.exe'(3656)
c:\program files\SuperCopier2\SC2Hook.dll
c:\windows\system32\guard32.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\msdtc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\mqsvc.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\ehome\mcrdsvc.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\eHome\ehmsas.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Heure de fin: 2012-11-01  18:02:56 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-11-01 17:02
ComboFix2.txt  2012-10-30 19:07
ComboFix3.txt  2012-10-30 16:42
.
Avant-CF: 29 223 874 560 octets libres
Après-CF: 29 207 371 776 octets libres
.
- - End Of File - - AD51850A500C13E271DFDEA4AE2A5B4A

g3n-h@ckm@n · Answer

ptain il est nul ce tool sur firefox :: __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Folder:: c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

lafoug · Answer

Voilà le nouveau rapport. Quand CF demarre il me dit 'qu'un fichier essaie de s'associer à lui" ou un truc du genre. Du coup a chaque fois je dis ok. C'ets ce qu'il faut faire ?

ComboFix 12-10-30.03 - Emmanuel DUHAMELET 01/11/2012  19:30:57.4.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.422 [GMT 1:00]
Lancé depuis: c:\documents and settings\Emmanuel DUHAMELET\Mes documents\Downloads\Manu.exe
Commutateurs utilisés :: c:\documents and settings\Emmanuel DUHAMELET\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\SuperCopier2\SC2Hook.dll
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\application.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\browser-view.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\content-analyzer.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\controller.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\enchash-decrypter.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox-commands.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\alarm.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\base64.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\cryptohasher.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\debug.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\filesystem.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\lang.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox
avwatcher.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\objectsafemap.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\observer.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\preferences.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\protocol4.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox	abbedbrowserwatcher.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\firefox\version-utils.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\globalstore.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\google3\arc4.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\google3\eventregistrar.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\google3\lang.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\google3\listdictionary.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\google3	hread-queue.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\list-warden.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\listmanager.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\multi-querier.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\multi-table-querier.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\phishing-afterload-displayer.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\phishing-warden.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslibeporter.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\sandbox.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib	r-fetcher.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib	rtable.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\url-canonicalizer.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\url-crypto-key-manager.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\url-crypto.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\wireformat.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\amulet-jslib\xml-fetcher.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome.manifest
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome\google-toolbar.jar
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\close16x16.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\dim.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\logo.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\phishing-afterload-warning-message.css
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\protection-overlay-bootstrapper.xul
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\protection-overlay.css
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\protection-overlay.xul
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\protection-preferences.css
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\protection-preferences.xul
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\protection.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\safebrowsinglogo.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\safebrowsinglogo20x20.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content	ail.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content	extbutton.css
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content	extbutton.xml
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\warning16x16.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\chrome	b-amulet-of-protection\content\warning24x24.png
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\amulet-loader.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.xpt
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\gtbComponent.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.xpt
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\defaults\preferences\options.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\defaults\preferences	oolbar-container.js
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\install.rdf
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\LICENSE.txt
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\META-INF\manifest.mf
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\META-INF\zigbert.rsa
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\META-INF\zigbert.sf
c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\uninstaller.exe
c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome.manifest
c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome\chrome.jar
c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults\preferences\defaults.js
c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\install.rdf
c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\MicrosoftDotNetFrameworkAssistant.xpi
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-01 au 2012-11-01  ))))))))))))))))))))))))))))))))))))
.
.
2012-10-30 11:44 . 2012-10-30 14:45	--------	d-----w-	C:\Pre_Scan
2012-10-25 10:04 . 2012-10-26 07:35	--------	d-----w-	C:\ZHP
2012-10-25 10:04 . 2012-10-26 07:34	--------	d-----w-	c:\program files\ZHPDiag
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-02 15:25 . 2012-09-02 15:25	477168	----a-w-	c:\windows\system32
pdeployJava1.dll
2012-09-02 15:25 . 2011-09-09 21:11	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-08-28 15:04 . 2006-03-25 04:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-08-28 15:04 . 2006-03-25 04:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-08-28 15:04 . 2006-03-25 04:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2006-03-25 04:00	385024	----a-w-	c:\windows\system32\html.iec
2012-08-24 13:53 . 2006-03-25 04:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-08-23 06:27 . 2006-03-25 04:00	2150912	----a-w-	c:\windows\system32
toskrnl.exe
2012-08-23 06:27 . 2006-03-25 04:00	2029568	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-11-21 14:55 . 2010-11-21 15:04	252080	----a-w-	c:\program files\opera\program\plugins\dapop.dll
2011-11-11 18:06 . 2011-04-29 15:55	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"MsmqIntCert"="mqrt.dll" [2008-04-14 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-06-30 2554696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Emmanuel DUHAMELET\Menu Démarrer\Programmes\Démarrage\
Démarrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-1-26 51984]
Microsoft Recherche accélérée.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-1-26 111376]
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Démarrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\mqsvc.exe"=
"c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"c:\Program Files\Counter-Strike Source\hl2.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Gc2\gcii.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Opera\opera.exe"=
"c:\Program Files\Microsoft Games\Age of Empires III\age3.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"= 
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 EAGLE2RC;Analog/DVB-T Hybrid Tv Infrared Receiver;c:\windows\system32\DRIVERS\Eagle2RC.sys [x]
R3 Eagle2TV;TV tuner device;c:\windows\system32\Drivers\eagle2tv_B.sys [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [x]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [x]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-04 13:23]
.
2012-11-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-04 13:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
FF - ProfilePath - c:\documents and settings\Emmanuel DUHAMELET\Application Data\Mozilla\Firefox\Profiles\y8u37z2b.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://freakylinks.info/643
FF - ExtSQL: 2012-09-09 19:09; {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}; c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - ExtSQL: !HIDDEN! 2007-10-27 11:47; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\documents and settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: !HIDDEN! 2009-10-18 11:35; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-01 19:49
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\EMMANU~1\LOCALS~1\Temp\mc2A.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'lsass.exe'(1080)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'explorer.exe'(2980)
c:\windows\system32\guard32.dll
c:\program files\SuperCopier2\SC2Hook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\msdtc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\mqsvc.exe
c:\windows\ehome\mcrdsvc.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\eHome\ehmsas.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Heure de fin: 2012-11-01  20:14:35 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-11-01 19:13
ComboFix2.txt  2012-11-01 17:02
ComboFix3.txt  2012-10-30 19:07
ComboFix4.txt  2012-10-30 16:42
.
Avant-CF: 29 215 100 928 octets libres
Après-CF: 29 136 224 256 octets libres
.
- - End Of File - - 8526A08503C97C1EA797F0EABB7ED948

g3n-h@ckm@n · Answer

Quand CF demarre il me dit 'qu'un fichier essaie de s'associer à lui" ou un truc du genre

avec aussi peu de precisions je peux rien faire

lafoug · Answer

ok... La prochaine fois je noterais exactement... 
Le rapport est bon cette fois ci ?

PS: je sais pas pourquoi je galère a poster un message... ils n'apparaissent jamais ?!

g3n-h@ckm@n · Answer

re

refais un diag avec pre_scan stp

lafoug · Answer

le pc rame de plus en plus j'ai l'impression. c'est affreux là !! Pour poster cette réponse il me faut 10 ou 15 minutes... et encore ca marche même pas : j'ai essayé de la poster 5 ou 6 fois hier soir, mais elle n'apparait pas... on verra si ce matin j'ai plus de chances, mais ca a l'air mal parti !

Sinon voilà le rapport :
https://forums-fec.be/upload/www/?a=d&i=5898662658

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\iwlandrvxpver.dll    

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

lafoug · Answer

Voilà le lien : https://www.virustotal.com/gui/file/20781c0b814dddf926f6fc7df8bba1d6a067c3b8ebdf0a7f0439e19c2fb23af8

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32\fnjfbufl.dll 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.
 
========================

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BKdmmMjLQtw

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

lafoug · Answer

Le rapport de virus total : https://www.virustotal.com/gui/file/4094fd33a9d8782c9c2f3923dddbba065720af9786f55f4404eec18e768627b3

lafoug · Answer

et le rapport de prescan :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1030 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Emmanuel DUHAMELET : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Impossible to create restorepoint !!!


Script : 13:19:57

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ | File search

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : ASWFSBLK Not actif
Service : ASWMON2 Not actif
Service : ASWRDR Not actif
Service : ASWSNX Not actif
Service : ASWSP Not actif
Service : ASWTDI Not actif
Service : FFDYRAOC Not actif

Deleted : [HKLM\..\CCS\..\Root\LEGACY_ASWFSBLK]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_ASWFSBLK]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_ASWMON2]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_ASWMON2]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_ASWRDR]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_ASWRDR]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_ASWSNX]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_ASWSNX]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_ASWSP]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_ASWSP]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_ASWTDI]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_ASWTDI]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_FFDYRAOC]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_FFDYRAOC]


¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Key Deleted : HKU\S-1-5-21-2862922127-3725124092-2389952977-1005\Software\Microsoft\Internet Explorer\SearchScopes\{5007D559-FB41-46d8-AA81-DA91CAF1A81E}
Key Deleted : HKU\S-1-5-21-2862922127-3725124092-2389952977-1005\Software\10ZdS0Px3n
Key Deleted : HKLM\Software\BrowserChoice    
Key Deleted : HKLM\Software\Microsoft\6d919460
Key Deleted : HKLM\Software\Microsoft\Mr. Enigma
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:2869:TCP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:10243:TCP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:10280:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:10281:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:10282:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:10283:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:10284:UDP

¤

File Quarantined and Deleted Successfully :  |SH| - D:\Desktop.ini     
Folder Quarantined and Deleted Successfully : |D| - C:\a1250056b34236b7764c 
Folder Quarantined and Deleted Successfully : |D| - C:\b640faeaf9929143e026f391c46d40 
Folder Quarantined and Deleted Successfully : |D| - C:\c9e6b0c3554e5cd5458a 
Folder Quarantined and Deleted Successfully : |D| - C:\d023d8e3a8072b549a 
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\renodizs 
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy     
Folder Quarantined and Deleted Successfully : |D| - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}     
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\Administrateur\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}     
Folder Quarantined and Deleted Successfully : |D| - C:\Program Files\Spybot - Search & Destroy     
Folder Quarantined and Deleted Successfully : |D| - C:\Program Files\Alwil Software 
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\Alwil Software 
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\LocalService\Application Data\McAfee 
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\NetworkService\Application Data\McAfee 
Folder Quarantined and Deleted Successfully : |D| - C:\WINDOWS\system32\config\systemprofile\Application Data\Symantec 

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code




¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk cleaned

¤


Fin : 13:29:44

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

tu peux me l'envoyer zippée cette .dll que je t'ai fait analyser ?

lafoug · Answer

La voilà : https://forums-fec.be/upload/www/?a=d&i=2779596435...
Mais sais-tu comment ca se fait que j'ai autant de mal à poster des messages ? Ils n'apparaissent jamais !! !

lafoug · Answer

La voilà : https://forums-fec.be/upload/www/?a=d&i=2779596435...
Mais sais-tu comment ca se fait que j'ai autant de mal à poster des messages ? Ils n'apparaissent jamais !!

g3n-h@ckm@n · Answer

nan...

 tu m'as refilé le meme lien qui ne ofnctionne pas

essaie ici :

https://www.cjoint.com/

lafoug · Answer

en esperant que cette fois ci ca marche : 
http://cjoint.com/data3/3Kdskl4pR8W.htm

g3n-h@ckm@n · Answer

ouaip bizarre du langage html dans une dll.....

lafoug · Answer

Ha et qu'est ce qu'il faut que je fasse !!

g3n-h@ckm@n · Answer

ben rien c'est un fichier qui appartient à ton lycee semblerait-il

lafoug · Answer

Ok, en tout cas, je ne dois plus en avoir besoin !! 

Il y a encore d'autre manip à faire ?

g3n-h@ckm@n · Answer

j'avais oublié ca du coup :

selectionne ce texte :

Backup
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Réinstallation système

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

============================

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

lafoug · Answer

je crois que ca n'a pas marché : 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1030 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Emmanuel DUHAMELET : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Impossible to create restorepoint !!!


Script : 19:42:00

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Fin : 19:42:00

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

nan j'ai oublié la ponctuation du switch dans la precipitation ^^

Backup::
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Réinstallation système

lafoug · Answer

voilà le rapport de Mbam. Pre_scan lui a pas plus ! Comment ca se fait ?
Et sinon le script au dessus c'est pour quoi ? Reinstallation système ?

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.03.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Emmanuel DUHAMELET :: PC757821523111 [limité]

03/11/2012 19:59:32
mbam-log-2012-11-03 (19-59-32).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 345983
Temps écoulé: 1 heure(s), 48 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Documents and Settings\Emmanuel DUHAMELET\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Emmanuel DUHAMELET\Mes documents\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

parce que il s'apelle winlogon ^^

prends n'importe quel executable le plus sain qui soit , tu le copies sur le bureau , tu le renommes winlogon , et mbam le voit comme un virus

pour la manip de pre_scan c'est popur te rendre un fichier dossier qui avait été mangé par erreur pas le logiciel donc si dans pre_script tu vois :

Restored c'est que le dossier est revenu à sa place

lafoug · Answer

pardon, j'ai eu des soucis avec internet... d'où l'absence de réponse pendant un moment.
J'ai effectué le script que tu m'as donné, mais n'ai pas eu de rapport...

g3n-h@ckm@n · Answer

sisi

lafoug · Answer

ben...non ! JE n'ai rien eu sur le bureau. J'ai même fait "rechercher" et tien trouvé non plus !!

g3n-h@ckm@n · Answer

ok bon on en est où ?

lafoug · Answer

Ben j'en sais rien. Le PC n'est toujours pas très vif... Mais bon, peut etre qu'il se fait un peu trop vieux aussi...

g3n-h@ckm@n · Answer

au pire refais ton system à neuf ^^

lafoug · Answer

Un peu la flemme... je vais voir. Merci en tout cas !

Ca rame !!

68 réponses

Discussions similaires