Coreserviceshell
Maronetsimie
Messages postés
12
Date d'inscription
Statut
Membre
Dernière intervention
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
depuis quelques temps mon ordinateur est très lent (surtout sur internet). J'ai remarqué "coreserviceshell.exe" dans les processus. J'ai regarder un peu sur internet mais pas trouvé grand chose... Par ailleurs je suis persuadé que ce n'est pas le seul souci sur cet ordi, mais comme je suis loin d'être un spécialiste, je ne sais pas trop quoi faire.
Pouvez vous me donner quelques conseils, ou marches à suivre pour arranger ça!
Je vous remercie beaucoup...
depuis quelques temps mon ordinateur est très lent (surtout sur internet). J'ai remarqué "coreserviceshell.exe" dans les processus. J'ai regarder un peu sur internet mais pas trouvé grand chose... Par ailleurs je suis persuadé que ce n'est pas le seul souci sur cet ordi, mais comme je suis loin d'être un spécialiste, je ne sais pas trop quoi faire.
Pouvez vous me donner quelques conseils, ou marches à suivre pour arranger ça!
Je vous remercie beaucoup...
5 réponses
-
Salut
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox
▶ Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
msconfig
netsvcs
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
A+ -
CoreServiceShell c'est Trend Micro
~~
Y'a trop rien sur ton ordi à part quelques résidus donc :
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
-
voilà:
ComboFix 13-03-17.01 - Administrateur 17/03/2013 20:12:49.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.985.463 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\TÚlÚchargements\maronetsimie.exe
AV: Trend Micro Titanium Internet Security *Disabled/Updated* {7D2296BC-32CC-4519-917E-52E652474AF5}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Eole\NuWINc\nugina.dll
c:\windows\system\MSVBVM60.DLL
c:\windows\system\olepro32.dll
c:\windows\system\Stdole2.tlb
c:\windows\system32\drivers\ip_fw.sys
c:\windows\system32\ipfw.exe
c:\windows\wininit.ini
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_IPFW
-------\Legacy_IP_FW
-------\Service_ip_fw
-------\Service_ipfw
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-02-17 au 2013-03-17 ))))))))))))))))))))))))))))))))))))
.
.
2013-03-17 18:14 . 2013-03-17 18:14 512 ----a-w- C:\PhysicalMBR.bin
2013-03-17 16:38 . 2013-03-17 16:38 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-03-17 10:41 . 2013-03-17 10:41 -------- d-----w- c:\program files\CCleaner
2013-03-14 13:00 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023x.sys
2013-03-12 21:02 . 2013-03-12 22:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2013-03-12 21:01 . 2013-03-17 10:03 -------- d-----w- c:\program files\Spybot - Search & Destroy 2
2013-03-06 23:20 . 2013-03-06 23:20 -------- d-----w- C:\TMRescueDisk
2013-03-06 23:18 . 2013-03-06 23:18 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Trend Micro
2013-03-06 23:17 . 2012-05-02 19:27 92304 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2013-03-06 23:16 . 2012-07-12 10:30 94200 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2013-03-06 23:16 . 2012-07-12 10:29 75624 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2013-03-06 23:16 . 2012-07-12 10:29 257928 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2013-03-06 23:16 . 2012-08-24 13:06 38328 ----a-w- c:\windows\system32\drivers\TMEBC32.sys
2013-03-06 23:13 . 2013-03-06 23:13 59 ----a-w- c:\windows\system32\SupportTool.exe.bat
2013-03-06 23:09 . 2013-03-06 23:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Trend Micro
2013-03-06 23:02 . 2013-03-06 23:22 -------- d-----w- c:\program files\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-17 19:21 . 2009-11-13 03:58 17920 ----a-w- c:\windows\system32\rpcnetp.exe
2013-03-17 19:20 . 2009-11-13 04:02 58288 ----a-w- c:\windows\system32\rpcnet.dll
2013-03-17 16:37 . 2009-11-09 15:11 143872 ----a-w- c:\windows\system32\javacpl.cpl
2013-03-17 16:37 . 2012-08-24 17:31 782240 ----a-w- c:\windows\system32\deployJava1.dll
2013-03-17 16:37 . 2012-08-24 17:31 861088 ----a-w- c:\windows\system32\npDeployJava1.dll
2013-03-12 21:01 . 2012-07-30 07:03 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-12 21:01 . 2011-09-09 09:53 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-12 00:32 . 2008-04-14 07:00 12928 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2008-04-14 07:00 916480 ----a-w- c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2008-04-14 07:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2008-04-14 07:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-02-05 05:54 . 2008-04-14 07:00 385024 ----a-w- c:\windows\system32\html.iec
2013-01-26 03:55 . 2008-04-14 07:00 552448 ----a-w- c:\windows\system32\oleaut32.dll
2013-01-20 22:11 . 2009-11-13 03:58 17920 ----a-w- c:\windows\system32\rpcnetp.dll
2013-01-20 21:35 . 2013-01-20 21:35 54016 ----a-w- c:\windows\system32\drivers\vwnpjg.sys
2013-01-07 07:23 . 2008-04-13 19:07 2071808 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-07 07:23 . 2008-04-14 07:00 2195200 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-04 10:08 . 2008-04-14 07:00 1876352 ----a-w- c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-04-14 07:00 148992 ----a-w- c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2008-04-14 07:00 1298432 ----a-w- c:\windows\system32\quartz.dll
2012-07-14 00:15 . 2012-12-04 13:26 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-12-18 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-18 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-12-18 150040]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-10-24 2220032]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2009-03-13 217088]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-02-20 729088]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-02-20 483420]
"BrStsWnd"="c:\program files\Brownie\BrstsWnd.exe" [2009-06-11 3618104]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"P3status"="c:\program files\TOSHIBA Viewer V2\GDI&TWAIN\p3status.exe" [2011-05-26 180224]
"Trend Micro Client Framework"="c:\program files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe" [2012-07-25 133456]
"Trend Micro Titanium"="c:\program files\Trend Micro\Titanium\UIFramework\uiWinMgr.exe" [2012-07-25 1374864]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2011-07-27 434080]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Danware Data\\NetOp School\\Teacher\\ntchw32.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\iTALC\\ica.exe"=
"c:\\Program Files\\TOSHIBA Viewer V2\\GDI&TWAIN\\WSPROXY.EXE"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 TMEBC;TMEBC;c:\windows\system32\drivers\TMEBC32.sys [07/03/2013 00:16 38328]
R1 NHostNT1;NetOp Driver 1 ver. 9.21 (2008352);c:\windows\system32\drivers\NHOSTNT1.SYS [05/02/2010 16:10 102544]
R1 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [07/03/2013 00:16 75624]
R2 Amsp;Trend Micro Solution Platform;c:\program files\Trend Micro\AMSP\coreServiceShell.exe [07/03/2013 00:12 221264]
R2 icas;iTALC Client;c:\program files\iTALC\ica.exe [03/08/2011 22:26 2425358]
R2 NetOp Host for NT Service;NetOp Helper ver. 9.21 (2008352);c:\program files\Danware Data\NetOp School\Teacher\NHOSTSVC.EXE [05/02/2010 16:10 1709992]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [09/11/2009 15:09 112512]
R3 NHOSTNT3;NetOp Driver 3 ver. 9.21 (2008352) (NHOSTNT3);c:\windows\system32\drivers\NHOSTNT3.SYS [05/02/2010 16:10 10280]
R3 O2MDGRDR;O2MDGRDR;c:\windows\system32\drivers\o2mdg.sys [09/11/2009 15:03 51616]
R3 O2SDGRDR;O2SDGRDR;c:\windows\system32\drivers\o2sdg.sys [09/11/2009 15:03 41760]
S0 cerc6;cerc6; [x]
S2 servscribe;Service Scribe;c:\windows\Eole\cliscribe\servscribe.exe [23/02/2010 09:42 32256]
S2 servupdate;Service de MAJ du Client Scribe;c:\windows\Eole\updater\servupdate.exe [23/02/2010 09:42 32256]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-17 11:14 1629648 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-03-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-30 21:01]
.
2013-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-05 20:39]
.
2013-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-05 20:39]
.
2013-03-17 c:\windows\Tasks\User_Feed_Synchronization-{71FDBEBD-6056-4C65-B7AB-4BBCD1167DE7}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\coyrxqkm.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - ExtSQL: 2013-03-07 09:09; tmbepff-7.5@trendmicro.com; c:\program files\Trend Micro\AMSP\Module\20002\7.5.1125\7.5.1125\firefoxextension
FF - ExtSQL: 2013-03-07 09:09; {22181a4d-af90-4ca3-a569-faed9118d6bc}; c:\program files\Trend Micro\Titanium\UIFramework\Toolbar\firefoxextension
FF - ExtSQL: 2013-03-07 09:10; {22C7F6C6-8D67-4534-92B5-529A0EC09405}; c:\program files\Trend Micro\AMSP\module\20004\FxExt\firefoxextension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-03-17 20:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1645522239-630328440-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,78,69,01,53,e5,00,3f,42,9d,2a,31,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e3,29,04,1d,2e,e5,08,40,af,de,f2,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1392)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\program files\idt\xpv10_6147v005\wdm\stacsv.exe
c:\program files\Trend Micro\AMSP\coreFrameworkHost.exe
c:\program files\Trend Micro\AMSP\AMSP_LogServer.exe
c:\program files\Java\jre7\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\windows\system32\rpcnet.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe
c:\program files\DellTPad\Apntex.exe
.
**************************************************************************
.
Heure de fin: 2013-03-17 20:30:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2013-03-17 19:29
.
Avant-CF: 83 530 649 600 octets libres
Après-CF: 88 230 682 624 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 7A40471B39B717A55693237035832DD2
-
-
Désinstalle Spybot
~~
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
Driver::
cerc6
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
-
J'avais déjà desinstaller spybot...
Voici le rapport :
ComboFix 13-03-17.01 - Administrateur 17/03/2013 21:47:19.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.985.640 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: Trend Micro Titanium Internet Security *Disabled/Updated* {7D2296BC-32CC-4519-917E-52E652474AF5}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_cerc6
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-02-17 au 2013-03-17 ))))))))))))))))))))))))))))))))))))
.
.
2013-03-17 18:14 . 2013-03-17 18:14 512 ----a-w- C:\PhysicalMBR.bin
2013-03-17 16:38 . 2013-03-17 16:38 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-03-17 10:41 . 2013-03-17 10:41 -------- d-----w- c:\program files\CCleaner
2013-03-14 13:00 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023x.sys
2013-03-12 21:02 . 2013-03-12 22:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2013-03-12 21:01 . 2013-03-17 10:03 -------- d-----w- c:\program files\Spybot - Search & Destroy 2
2013-03-06 23:20 . 2013-03-06 23:20 -------- d-----w- C:\TMRescueDisk
2013-03-06 23:18 . 2013-03-06 23:18 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Trend Micro
2013-03-06 23:17 . 2012-05-02 19:27 92304 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2013-03-06 23:16 . 2012-07-12 10:30 94200 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2013-03-06 23:16 . 2012-07-12 10:29 75624 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2013-03-06 23:16 . 2012-07-12 10:29 257928 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2013-03-06 23:16 . 2012-08-24 13:06 38328 ----a-w- c:\windows\system32\drivers\TMEBC32.sys
2013-03-06 23:13 . 2013-03-06 23:13 59 ----a-w- c:\windows\system32\SupportTool.exe.bat
2013-03-06 23:09 . 2013-03-06 23:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Trend Micro
2013-03-06 23:02 . 2013-03-06 23:22 -------- d-----w- c:\program files\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-17 20:56 . 2009-11-13 03:58 17920 ----a-w- c:\windows\system32\rpcnetp.exe
2013-03-17 20:56 . 2009-11-13 04:02 58288 ----a-w- c:\windows\system32\rpcnet.dll
2013-03-17 16:37 . 2009-11-09 15:11 143872 ----a-w- c:\windows\system32\javacpl.cpl
2013-03-17 16:37 . 2012-08-24 17:31 782240 ----a-w- c:\windows\system32\deployJava1.dll
2013-03-17 16:37 . 2012-08-24 17:31 861088 ----a-w- c:\windows\system32\npDeployJava1.dll
2013-03-12 21:01 . 2012-07-30 07:03 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-12 21:01 . 2011-09-09 09:53 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-12 00:32 . 2008-04-14 07:00 12928 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2008-04-14 07:00 916480 ----a-w- c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2008-04-14 07:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2008-04-14 07:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-02-05 05:54 . 2008-04-14 07:00 385024 ----a-w- c:\windows\system32\html.iec
2013-01-26 03:55 . 2008-04-14 07:00 552448 ----a-w- c:\windows\system32\oleaut32.dll
2013-01-20 22:11 . 2009-11-13 03:58 17920 ----a-w- c:\windows\system32\rpcnetp.dll
2013-01-20 21:35 . 2013-01-20 21:35 54016 ----a-w- c:\windows\system32\drivers\vwnpjg.sys
2013-01-07 07:23 . 2008-04-13 19:07 2071808 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-07 07:23 . 2008-04-14 07:00 2195200 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-04 10:08 . 2008-04-14 07:00 1876352 ----a-w- c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-04-14 07:00 148992 ----a-w- c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2008-04-14 07:00 1298432 ----a-w- c:\windows\system32\quartz.dll
2012-07-14 00:15 . 2012-12-04 13:26 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-12-18 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-18 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-12-18 150040]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-10-24 2220032]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2009-03-13 217088]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-02-20 729088]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-02-20 483420]
"BrStsWnd"="c:\program files\Brownie\BrstsWnd.exe" [2009-06-11 3618104]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"P3status"="c:\program files\TOSHIBA Viewer V2\GDI&TWAIN\p3status.exe" [2011-05-26 180224]
"Trend Micro Client Framework"="c:\program files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe" [2012-07-25 133456]
"Trend Micro Titanium"="c:\program files\Trend Micro\Titanium\UIFramework\uiWinMgr.exe" [2012-07-25 1374864]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2011-07-27 434080]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Danware Data\\NetOp School\\Teacher\\ntchw32.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\iTALC\\ica.exe"=
"c:\\Program Files\\TOSHIBA Viewer V2\\GDI&TWAIN\\WSPROXY.EXE"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 TMEBC;TMEBC;c:\windows\system32\drivers\TMEBC32.sys [07/03/2013 00:16 38328]
R1 NHostNT1;NetOp Driver 1 ver. 9.21 (2008352);c:\windows\system32\drivers\NHOSTNT1.SYS [05/02/2010 16:10 102544]
R1 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [07/03/2013 00:16 75624]
R2 Amsp;Trend Micro Solution Platform;c:\program files\Trend Micro\AMSP\coreServiceShell.exe [07/03/2013 00:12 221264]
R2 icas;iTALC Client;c:\program files\iTALC\ica.exe [03/08/2011 22:26 2425358]
R2 NetOp Host for NT Service;NetOp Helper ver. 9.21 (2008352);c:\program files\Danware Data\NetOp School\Teacher\NHOSTSVC.EXE [05/02/2010 16:10 1709992]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [09/11/2009 15:09 112512]
R3 NHOSTNT3;NetOp Driver 3 ver. 9.21 (2008352) (NHOSTNT3);c:\windows\system32\drivers\NHOSTNT3.SYS [05/02/2010 16:10 10280]
R3 O2MDGRDR;O2MDGRDR;c:\windows\system32\drivers\o2mdg.sys [09/11/2009 15:03 51616]
R3 O2SDGRDR;O2SDGRDR;c:\windows\system32\drivers\o2sdg.sys [09/11/2009 15:03 41760]
S2 servscribe;Service Scribe;c:\windows\Eole\cliscribe\servscribe.exe [23/02/2010 09:42 32256]
S2 servupdate;Service de MAJ du Client Scribe;c:\windows\Eole\updater\servupdate.exe [23/02/2010 09:42 32256]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-17 11:14 1629648 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-03-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-30 21:01]
.
2013-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-05 20:39]
.
2013-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-05 20:39]
.
2013-03-17 c:\windows\Tasks\User_Feed_Synchronization-{71FDBEBD-6056-4C65-B7AB-4BBCD1167DE7}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\coyrxqkm.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - ExtSQL: 2013-03-07 09:09; tmbepff-7.5@trendmicro.com; c:\program files\Trend Micro\AMSP\Module\20002\7.5.1125\7.5.1125\firefoxextension
FF - ExtSQL: 2013-03-07 09:09; {22181a4d-af90-4ca3-a569-faed9118d6bc}; c:\program files\Trend Micro\Titanium\UIFramework\Toolbar\firefoxextension
FF - ExtSQL: 2013-03-07 09:10; {22C7F6C6-8D67-4534-92B5-529A0EC09405}; c:\program files\Trend Micro\AMSP\module\20004\FxExt\firefoxextension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-03-17 21:57
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1645522239-630328440-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,78,69,01,53,e5,00,3f,42,9d,2a,31,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e3,29,04,1d,2e,e5,08,40,af,de,f2,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1764)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\program files\idt\xpv10_6147v005\wdm\stacsv.exe
c:\program files\Trend Micro\AMSP\coreFrameworkHost.exe
c:\program files\Trend Micro\AMSP\AMSP_LogServer.exe
c:\program files\Java\jre7\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\windows\system32\rpcnet.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe
c:\program files\DellTPad\Apntex.exe
.
**************************************************************************
.
Heure de fin: 2013-03-17 22:04:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2013-03-17 21:04
ComboFix2.txt 2013-03-17 19:30
.
Avant-CF: 88 225 693 696 octets libres
Après-CF: 88 266 743 808 octets libres
.
- - End Of File - - A055BDCAF533DDCAD5A11C85123C257B
-
-
Vire ces 2 dossiers alors :
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy 2
Pour coreserviceshell.exe c'est un composant de Trend Micro :)
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Combien de temps qu'il est en service ?
