Sujet Précédent Sujet Suivant

SPBBCSVC prend toute la RAM : SOS

Fermé
rkfree - 26 févr. 2008 à 01:40
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 27 févr. 2008 à 19:49
Bonjour,

Pour problème ci-dessus : SPBBCSVC sature le Ram disponioble.
Difficile désormais de reprendre la main.

Quand j'y arrive et que j'augmente la memoire virtuelle, le SPBBCSVC prend apparemment toute la place memoire qu'il trouve disponible.

En cherchant sur Forum, j'ai teléchargé un utilitaire Navilog1.exe qui m'a permis de lancer une analyse (option 1).
Je vous soumets le rapport d'analyse.

Vos conseils serainet bienvenus car j'hésite à lancer pour Navilog1 l'option 2 (de nettoyage); ne mesurant pas assez les conséquences sur la staibilité du système.

systeme : windows XP Sp2 .

Le systeme sature vraiment depuis cette apres midi; j'ai installé hier (le 24 Fev 08) 2 logiciels : Free Internet, RealPlayer (6 hres pour l'installer en ligne : anormal ...!) et depuis cette après midi Station Ripper et Web Media Player. J'ai desinstallé les 2 derniers, mais rien n'a changé.
Dès le demarrage du systeme, on perd la main et SPBBCSVC augmente de taille progressivement.


Merci d'avance pour vos reponses et j'espère vos conseils.

Rk free 25 Fev 08


PS : Ci dessous le rapport editer par NAvilog1.exe option 1 (analyse)


Search Navipromo version 3.4.7 commencé le 25/02/2008 à 21:16:23,64

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 23.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Keem\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Keem\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Keem\MENUDM~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx.dat
C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx.exe
C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx_nav.dat
C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Keem\locals~1\applic~1" *

Fichiers trouvés :

rvaeptx.exe trouvé !



*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-33B0F5F9.pf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Keem\locals~1\applic~1" :

rvaeptx.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 25/02/2008 à 21:37:27,43 ***


FIN RAPPORT ANALYSE

MERCI D'aVANCE

Rk Free le 25 Fev 08
A voir également:

6 réponses

Réponse 1 / 6
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 févr. 2008 à 01:45
Bonsoir,

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

et

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post les rapports générés ici stp...
0
rkfree
26 févr. 2008 à 03:28
Bonsoir.

Merci pour la promptitude de votre reponse et vos conseils/recommandaations :

Nettoyage (option 2) avec navilog1, telechargement/installation de HijackThis et Scan.

Resultat : ça va mieux avec SPBBCSVC.

Ci-dessous le rapport (LogFile)

Merci d'avance pour son analyse et son interpretation.

Cordialement.

RK free


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:53:26, on 26/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bar.baidu.com/sobar/defaultsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: °Ù¶È³¬¼¶ËÑ°Ô - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
0
Réponse 2 / 6
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 févr. 2008 à 03:44
Re,

ok pour navilog mais j´aurais quand meme voulu voir le rapport...

Il reste une belle saloperie de bar...

Télécharge BTFix de Bibi26
http://cluster1.easy-hebergement.net/
Dézippe l'archive sur ton Bureau.
Ouvre le dossier BTFix.
Double clique sur BTFix.exe.
Clique sur Rechercher.
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

ps : je regarderais le rapport demain

bonne nuit`

@+
0
rkfree
26 févr. 2008 à 14:12
Bonjour

j'ai telechargé BTFix et lancé la recherche.
Je vous soumets le rapport.

Ci joint aussi le rapport de Navilog (option2) après nettoyage (comme souhaité).

PS1 :
Au sujet de la bar dont vous parlez, ne s'agirait-il pas de 2 barres d'outils qui apparaissent systematiquement quand je lance Internet Explorer : l'un est signé Google, l'autre commence par Bai** (avec des caractères chinois indéchiffrables)


PS2 :
il y a en tout 4 rapports :
1 - Navilog (option 1) : analyse (figure dejà dans mon premier mail)
2 - Navilog (option 2) : nettoyage (ci-dessous joint)
3 - HijackThis (log file) : Scan (figure déjà dans mon 2ème/dernier mail)
4 - BTFix (recherche) : rapport (ci-dessous joint)

Pour ne pas surcharger, le 2- et le 4- sont ci-dessous joints.
Je peux vous re-envoyer le 1- et le 3- (s'il le faut).


Merci d'avance.

RK Free



---------------------------- BTFix RAPPORT (de recherche) --------------------------------------

BTFix 1.080 (par bibi26) - 26/02/2008 12:39:08 - Analyse
Lancé depuis C:\Documents and Settings\Keem\Bureau\BTFix_Dezip\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés


---> Analyse terminée


------------------------------ NAVILOG RAPPORT (de nettoyage) ----------------------------------

Clean Navipromo version 3.4.7 commencé le 26/02/2008 à 2:14:51,28

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 23.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


*** Creation backups fichiers trouvés par Catchme ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

Copie C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx.dat réalisée avec succès !
Copie C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx.exe réalisée avec succès !
Copie C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx_nav.dat réalisée avec succès !
Copie C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx_navps.dat réalisée avec succès !

*** Suppression des fichiers trouvés avec Catchme ***

C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx.dat supprimé !
C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx.exe supprimé !
C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx_nav.dat supprimé !
C:\Documents and Settings\Keem\Local Settings\Application Data\rvaeptx_navps.dat supprimé !

** 2ème passage avec résultats Catchme **

* Dans C:\WINDOWS\system32 *


C:\WINDOWS\prefetch\rvaeptx*.pf trouvé !
Copie C:\WINDOWS\prefetch\rvaeptx*.pf réalisée avec succès !
C:\WINDOWS\prefetch\rvaeptx*.pf supprimé !

* Dans "C:\Documents and Settings\Keem\locals~1\applic~1" *


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\Keem\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Keem\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Keem\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Keem\MENUDM~1\PROGRA~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-33B0F5F9.pf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Keem\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Keem\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !

*** Nettoyage terminé le 26/02/2008 à 2:24:19,85 ***


FIN de MESSAGE / MAIL
0
Réponse 3 / 6
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 févr. 2008 à 14:25
Salut rkfree,

ok pour navilog ;-)

bt fix n´as pas reussi a denicher la bar ;-(

on va faire comme ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+
0
rkfree
27 févr. 2008 à 02:13
Bonsoir G!rl

J'ai donc lancé combofix suivant votre procedure.
Les resultats sont ci-dessous :
1- contenu du fichier combofix.txt
2- traitement fait par combofix à son lancement

Je constate déjà que la barre d'outils Bai** n'apparaît plus dans Internet Explorer.


Merci d'avance.
A plus.

RK Free


------------------- 1- Contenu du fichier combofix.txt ------------------------------

ComboFix 08-02-25.3 - Keem 2008-02-26 16:13:30.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.104 [GMT 1:00]
Endroit: C:\Documents and Settings\Keem\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.


-------------------- 2- Traitement fait par combofix à son lancement -----------------

Suppression de fichiers/dossiers:

"C:\WINDOWS\system32\BDGuard.DAT"
"C:\WINDOWS\system32\BDGuardS.DAT"
"C:\Program Files\baidu\bar\baidubar.dat"
"C:\Program Files\baidu\bar\BaiduBar.dll"
"C:\Program Files\baidu\bar\bdgdins.dll"
"C:\Program Files\baidu\bar\img\imglist.bmp"
"C:\Program Files\baidu\bar\img\logo.bmp"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\°éµ¼º½.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\°ïÖúÖ¸ÄÏ.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\¹ã¸æÀ¹½Ø.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\À¬»øÇåÀí.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\ÆÁ±ÎÁбí.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\ϵͳ¼ÓËÙ.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\ÐÞ¸´¹¦ÄÜ.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\Òþ˽±£»¤.ur
l"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\×Ô¶¨Òå°´Å¥.
url"
"C:\WINDOWS\system32\drivers\bdguard.sys"
"C:\Program Files\baidu"
"C:\Documents and Settings\Keem\Application Data\baidu"
"C:\Documents and Settings\All Users\Application Data\baidu"
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1"
"C:\Documents and Settings\Keem\Local Settings\Application Data\baidu"


FIN de MESSAGE / MAIL
0
Réponse 4 / 6
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
27 févr. 2008 à 02:20
Bonsoir rkfree,

oui c´est bien cool mais peux tu me poster le rapport complet de combofix, acompagnes le d´un nouveau rapport hijack this egalement...

@+ ;-)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
rkfree
27 févr. 2008 à 16:37
Bonjour G!rl

J'ai donc re-lancé Combofix et Hijack.
Les resultats sont ci-dessous :
1- contenu du fichier combofix.txt (fait le 27 fev à 3h du matin, j'ai oublié de desactiver Norton)
2- contenu du fichier combofix.txt (fait le 27 fev à 12h, Norton est desactivé)
3- contenu du fichier Hijack This (fait le 27 fev à 12h, Norton est desactivé)

Remarques sur les rapports Combo

Remarque 1
En voyant les rapports Combofix ci-joints, je m'aperçois que la procedure ComboFix n'a pas donné la meme presentation de rapport qu'hier (26 Fev).

En effet,
Hier Combo a rendu un rapport très succint en 4 lignes (comme les 4 premières lignes des rapports ci-joints).
Le compte rendu sur l'activité (suppression de fichiers, ...) s'affichait à l'écran, mais ne figurait pas dans le fichier Combo.
Et le système ne rebootait pas.
J'ai donc dû recuperer le rapport d'activité Combo (sur la suppression de fichiers ....) à l'écran pour le coller dans le rapport final que je vous ai fourni Hier (26Fev).

Hier (26Fev) le systeme n'a pas rebooté. Aujourdh'ui (27 fev), il a rebooté en fin de procedure.


Remarque 2
Je vous fourni 2 rapports Combo ci-dessous. la raison :
- Après avoir obtenu le 1er à 3h du matin, je me suis aperçu que je n'avais pas désactivé Norton.
- J'ai donc re-lancé Combo tout à l'heure vers 12h (c'est le 2ème rapport) après desactivation de Norton.

J'espère que ces remarques vont aider/ eclairer les resultats ci-joints.


Merci d'avance.
A plus.

RK Free



------------------- 1- 1er rapport ComboFix (du 27 Fev à 3h) ------------------------------

ComboFix 08-02-25.3 - Keem 2008-02-27 3:43:46.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.199 [GMT 1:00]
Endroit: C:\Documents and Settings\Keem\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\baidu
C:\Program Files\baidu\bar\baidubar.dat
C:\Program Files\baidu\bar\BaiduBar.dll
C:\Program Files\baidu\bar\bdgdins.dll
C:\Program Files\baidu\bar\img\imglist.bmp
C:\Program Files\baidu\bar\img\logo.bmp
C:\WINDOWS\system32\BDGuard.DAT
C:\WINDOWS\system32\BDGuardS.DAT
C:\WINDOWS\system32\drivers\bdguard.sys
.
---- Previous Run -------
.
C:\Documents and Settings\All Users\Application Data\baidu
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\À¬»øÇåÀí.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\¹ã¸æÀ¹½Ø.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\°ïÖúÖ¸ÄÏ.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\°éµ¼º½.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\ϵͳ¼ÓËÙ.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\ÆÁ±ÎÁбí.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\ÐÞ¸´¹¦ÄÜ.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\Òþ˽±£»¤.url
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\2556~1\×Ô¶¨Òå°´Å¥.url
C:\Documents and Settings\Keem\Application Data\baidu
C:\Documents and Settings\Keem\Local Settings\Application Data\baidu
C:\Program Files\baidu\bar\bang.ini
C:\Program Files\baidu\bar\BDBar_tmp\BaiduBar.dll
C:\Program Files\baidu\bar\loadmovie.swf
C:\WINDOWS\system32\iexp_log.txt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_BDGUARD
-------\BdGuard


-------\LEGACY_BDGUARD
-------\BdGuard


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-27 to 2008-02-27 ))))))))))))))))))))))))))))))))))))
.

2008-02-26 02:52 . 2008-02-26 02:52 <REP> d-------- C:\Program Files\Trend Micro
2008-02-25 21:03 . 2008-02-26 02:24 <REP> d-------- C:\Program Files\Navilog1
2008-02-24 21:26 . 2008-02-24 21:26 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-02-24 20:41 . 2008-02-24 21:23 <REP> d-------- C:\Program Files\Real
2008-02-24 20:33 . 2008-02-24 21:13 <REP> d-------- C:\Program Files\Fichiers communs\Real
2008-02-24 18:05 . 2008-02-24 18:10 <REP> d-------- C:\Program Files\Google
2008-02-24 17:57 . 2008-02-24 17:57 <REP> d-------- C:\Program Files\Free Internet TV
2008-02-24 15:43 . 2008-02-24 15:44 <REP> d-------- C:\Program Files\SopCast
2008-02-24 15:17 . 2008-02-24 15:18 <REP> d-------- C:\Documents and Settings\Keem\Application Data\SopCast
2008-02-23 19:57 . 2008-02-23 20:03 <REP> d-------- C:\NBA
2008-02-16 15:57 . 2007-03-20 11:26 227 --a------ C:\WINDOWS\sosuo.col
2008-02-13 02:23 . 2008-02-13 02:23 <REP> d-------- C:\ppmaterecord
2008-02-13 02:23 . 2008-02-13 02:23 <REP> d-------- C:\Documents and Settings\Keem\Application Data\ppStream
2008-02-13 02:23 . 2008-02-13 02:23 522 --a------ C:\WINDOWS\psnetwork.ini
2008-02-13 02:23 . 2008-02-13 02:23 20 --a------ C:\WINDOWS\powerplayer.ini
2008-02-13 02:20 . 2008-02-13 02:23 <REP> d-------- C:\Program Files\PPMate
2008-02-13 02:20 . 2008-02-13 02:20 <REP> d-------- C:\Program Files\Fichiers communs\Synacast
2008-02-13 02:20 . 2008-02-13 02:20 <REP> d-------- C:\Documents and Settings\Keem\Application Data\PPMate
2008-02-12 03:14 . 2008-02-12 03:14 <REP> d-------- C:\Program Files\TVAnts
2008-02-12 02:42 . 2008-02-12 02:43 <REP> d-------- C:\Program Files\TVUPlayer
2008-02-12 02:42 . 2008-02-12 02:43 <REP> d-------- C:\Documents and Settings\Keem\Application Data\TVU networks
2008-02-12 02:42 . 2008-02-12 02:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TVU networks
2008-02-12 02:35 . 2008-02-12 02:35 <REP> d-------- C:\Documents and Settings\Keem\Application Data\vlc
2008-02-11 23:27 . 2008-02-11 23:27 <REP> d-------- C:\Program Files\VideoLAN
2008-02-05 01:30 . 2008-02-05 01:30 <REP> d-------- C:\Program Files\Audacity
2008-02-03 15:41 . 2008-02-03 15:41 <REP> d-------- C:\Documents and Settings\Keem\Application Data\DivX
2008-02-03 15:40 . 2008-02-03 15:40 <REP> d-------- C:\Documents and Settings\Keem\Application Data\CyberLink
2008-02-03 15:40 . 2008-02-03 15:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\CyberLink
2008-02-03 15:38 . 2008-02-03 15:38 <REP> d-------- C:\Program Files\InstallShield Installation Information
2008-02-03 15:34 . 2008-02-03 15:37 <REP> d-------- C:\Program Files\CyberLink
2008-02-03 15:29 . 2008-02-03 15:29 0 --a------ C:\WINDOWS\vpc32.INI
2008-02-03 15:23 . 2008-02-27 03:51 <REP> d-------- C:\Program Files\Symantec AntiVirus
2008-02-03 15:23 . 2008-02-03 15:23 <REP> d-------- C:\Program Files\Symantec
2008-02-03 15:23 . 2008-02-03 15:24 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2008-02-03 15:23 . 2008-02-03 15:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-02-03 15:23 . 2006-09-18 17:55 109,744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-02-03 15:23 . 2006-09-18 17:55 48,816 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-02-03 15:13 . 1999-12-07 05:00 52,779 --a------ C:\WINDOWS\system32\scsi.inf
2008-02-03 15:13 . 1999-12-07 05:00 22,416 --a------ C:\WINDOWS\system32\fireport.sys
2008-02-03 14:32 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-02-03 13:03 . 2008-02-03 13:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-01-31 21:51 . 2008-01-31 21:52 <REP> d-------- C:\Program Files\DivX
2008-01-31 21:05 . 2008-01-31 21:06 <REP> d-------- C:\Documents and Settings\Keem\Application Data\Media Player Classic
2008-01-31 21:01 . 2008-01-31 21:01 <REP> d-------- C:\Program Files\Satsuki Decoder Pack 3117
2008-01-31 21:01 . 2008-01-31 21:01 26 --a------ C:\WINDOWS\system32\satsukidecodersettings.ini
2008-01-31 20:38 . 2008-01-31 20:39 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 14:47 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-30 14:42 --------- d-----w C:\Program Files\Services en ligne
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-02-24 18:10 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 19:26 52896]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-09-27 20:33 125168]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 16:24 71216]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 16:21 54832]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-02-24 20:35 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\PPMate\\ppmate.exe"=
"C:\\Program Files\\PPMate\\ppamnet.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

R0 fireport;fireport;C:\WINDOWS\system32\DRIVERS\fireport.sys [1999-12-07 05:00]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2006-11-02 16:51]
R3 G200;G200;C:\WINDOWS\system32\DRIVERS\G200m.sys [2001-08-23 18:18]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 03:50:38
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Symantec AntiVirus\DoScan.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-27 3:53:59 - machine was rebooted [Keem]
ComboFix-quarantined-files.txt 2008-02-27 02:53:52





------------------- 2- 2eme rapport ComboFix (du 27 Fev à 12h) ------------------------------


ComboFix 08-02-25.3 - Keem 2008-02-27 12:32:41.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.115 [GMT 1:00]
Endroit: C:\Documents and Settings\Keem\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-27 to 2008-02-27 ))))))))))))))))))))))))))))))))))))
.

2008-02-26 02:52 . 2008-02-26 02:52 <REP> d-------- C:\Program Files\Trend Micro
2008-02-25 21:03 . 2008-02-26 02:24 <REP> d-------- C:\Program Files\Navilog1
2008-02-24 21:26 . 2008-02-24 21:26 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-02-24 20:41 . 2008-02-24 21:23 <REP> d-------- C:\Program Files\Real
2008-02-24 20:33 . 2008-02-24 21:13 <REP> d-------- C:\Program Files\Fichiers communs\Real
2008-02-24 18:05 . 2008-02-24 18:10 <REP> d-------- C:\Program Files\Google
2008-02-24 17:57 . 2008-02-24 17:57 <REP> d-------- C:\Program Files\Free Internet TV
2008-02-24 15:43 . 2008-02-24 15:44 <REP> d-------- C:\Program Files\SopCast
2008-02-24 15:17 . 2008-02-24 15:18 <REP> d-------- C:\Documents and Settings\Keem\Application Data\SopCast
2008-02-23 19:57 . 2008-02-23 20:03 <REP> d-------- C:\NBA
2008-02-16 15:57 . 2007-03-20 11:26 227 --a------ C:\WINDOWS\sosuo.col
2008-02-13 02:23 . 2008-02-13 02:23 <REP> d-------- C:\ppmaterecord
2008-02-13 02:23 . 2008-02-13 02:23 <REP> d-------- C:\Documents and Settings\Keem\Application Data\ppStream
2008-02-13 02:23 . 2008-02-13 02:23 522 --a------ C:\WINDOWS\psnetwork.ini
2008-02-13 02:23 . 2008-02-13 02:23 20 --a------ C:\WINDOWS\powerplayer.ini
2008-02-13 02:20 . 2008-02-13 02:23 <REP> d-------- C:\Program Files\PPMate
2008-02-13 02:20 . 2008-02-13 02:20 <REP> d-------- C:\Program Files\Fichiers communs\Synacast
2008-02-13 02:20 . 2008-02-13 02:20 <REP> d-------- C:\Documents and Settings\Keem\Application Data\PPMate
2008-02-12 03:14 . 2008-02-12 03:14 <REP> d-------- C:\Program Files\TVAnts
2008-02-12 02:42 . 2008-02-12 02:43 <REP> d-------- C:\Program Files\TVUPlayer
2008-02-12 02:42 . 2008-02-12 02:43 <REP> d-------- C:\Documents and Settings\Keem\Application Data\TVU networks
2008-02-12 02:42 . 2008-02-12 02:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TVU networks
2008-02-12 02:35 . 2008-02-12 02:35 <REP> d-------- C:\Documents and Settings\Keem\Application Data\vlc
2008-02-11 23:27 . 2008-02-11 23:27 <REP> d-------- C:\Program Files\VideoLAN
2008-02-05 01:30 . 2008-02-05 01:30 <REP> d-------- C:\Program Files\Audacity
2008-02-03 15:41 . 2008-02-03 15:41 <REP> d-------- C:\Documents and Settings\Keem\Application Data\DivX
2008-02-03 15:40 . 2008-02-03 15:40 <REP> d-------- C:\Documents and Settings\Keem\Application Data\CyberLink
2008-02-03 15:40 . 2008-02-03 15:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\CyberLink
2008-02-03 15:38 . 2008-02-03 15:38 <REP> d-------- C:\Program Files\InstallShield Installation Information
2008-02-03 15:34 . 2008-02-03 15:37 <REP> d-------- C:\Program Files\CyberLink
2008-02-03 15:29 . 2008-02-03 15:29 0 --a------ C:\WINDOWS\vpc32.INI
2008-02-03 15:23 . 2008-02-27 12:25 <REP> d-------- C:\Program Files\Symantec AntiVirus
2008-02-03 15:23 . 2008-02-03 15:23 <REP> d-------- C:\Program Files\Symantec
2008-02-03 15:23 . 2008-02-03 15:24 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2008-02-03 15:23 . 2008-02-03 15:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-02-03 15:23 . 2006-09-18 17:55 109,744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-02-03 15:23 . 2006-09-18 17:55 48,816 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-02-03 15:13 . 1999-12-07 05:00 52,779 --a------ C:\WINDOWS\system32\scsi.inf
2008-02-03 15:13 . 1999-12-07 05:00 22,416 --a------ C:\WINDOWS\system32\fireport.sys
2008-02-03 14:32 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-02-03 13:03 . 2008-02-03 13:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-01-31 21:51 . 2008-01-31 21:52 <REP> d-------- C:\Program Files\DivX
2008-01-31 21:05 . 2008-01-31 21:06 <REP> d-------- C:\Documents and Settings\Keem\Application Data\Media Player Classic
2008-01-31 21:01 . 2008-01-31 21:01 <REP> d-------- C:\Program Files\Satsuki Decoder Pack 3117
2008-01-31 21:01 . 2008-01-31 21:01 26 --a------ C:\WINDOWS\system32\satsukidecodersettings.ini
2008-01-31 20:38 . 2008-01-31 20:39 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 14:47 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-30 14:42 --------- d-----w C:\Program Files\Services en ligne
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-02-24 18:10 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 19:26 52896]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-09-27 20:33 125168]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 16:24 71216]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 16:21 54832]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-02-24 20:35 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2008-01-31 20:25:14 118784]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\PPMate\\ppmate.exe"=
"C:\\Program Files\\PPMate\\ppamnet.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

R0 fireport;fireport;C:\WINDOWS\system32\DRIVERS\fireport.sys [1999-12-07 05:00]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2006-11-02 16:51]
R3 G200;G200;C:\WINDOWS\system32\DRIVERS\G200m.sys [2001-08-23 18:18]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 12:34:49
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-27 12:35:49
ComboFix-quarantined-files.txt 2008-02-27 11:35:44
ComboFix2.txt 2008-02-27 02:54:00





------------------- 3- Rapport HijackThis (du 27 Fev à 12h) ------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:22, on 27/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
0
Réponse 6 / 6
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
27 févr. 2008 à 19:49
Salut rkfree,

oui tes explications sont tres claires et les rapport tres bien presentés ;-) merci !

Ecoute c´est bien là.

Par contre :

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

et pourquoi ne pas surfer avec firefox? = plus sur, tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.firefox.fr/

puis pour s´assurer que tout est rentré dans l´ordre :

Télécharge Clean:

-> http://www.malekal.com/download/clean.zip

-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1.

Un rapport va s'ouvrir, copie et colle le contenu sur le forum.

-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier :

http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914

Et

Performes ce scan en ligne et post le rapport ici stp :

Scan en ligne bitdefender :

https://www.bitdefender.com/toolbox/

Clicker sur " I agree " et suivre les indications

A faire imperativement sous internet explorer, en acceptant l´activ x

tutoriel en image en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

@+
0

Discussions similaires

Barrette de RAM externe ca existe?
Stayms -
error404 -

16 réponses
Instagram prend trop d'espace
Blou -
Mouss -

5 réponses
dual channel : 2 paires de ram de capacité différente
damdam -
damdam -

6 réponses
différence entre ram et ram low profile
jaxi -
anonyme -

3 réponses
16go ou 24go RAM
Shakakan -
Shakakan -

6 réponses