Fichier infecté
Fermé
holly
-
29 juin 2008 à 17:28
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 - 8 août 2008 à 20:04
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 - 8 août 2008 à 20:04
A voir également:
- Fichier infecté
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Comment ouvrir un fichier epub ? - Guide
- Ouvrir fichier .bin - Guide
- Fichier host - Guide
25 réponses
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
29 juin 2008 à 22:51
29 juin 2008 à 22:51
salut holly,
- Vous n'avez pas de pare feu, d'antispyware et Firefox est périmé je ne le vois même pas dans votre log HJThis.
1) Redémarre en mode sans échec
Au redémarrage de l'ordinateur, après le bip, il y a un écran noir qui apparaît, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
2) Cleanzip
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,
choisis l’option 2.
3) Rapport
Redémarre en mode normal et poste le rapport qui se trouve ici C:\rapport_clean.txt
------------
Télécharger Combofix.exe (par sUBs) à partir d’un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Important, enregistre le sur le bureau.
Bien suivre le tutoriel officiel en français : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Sous Vista le temps de la désinfection désactiver l'UAC -User Account Control ou Contrôle de Compte Utilisateur- (tu le réactiveras après ta désinfection):
https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html
► Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Double clique combofix.exe et suivre les invites.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait faire figer l'ordinateur.
Lorsque le scan sera complété, un rapport apparaîtra.
Sélectionner tout le rapport (Ctrl+A), puis Copier (Ctrl+C)/ Coller (Ctrl+V) ce rapport dans la prochaine réponse
- Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
- Renvoyer également un autre rapport HJThis.
A+
Denis
- Vous n'avez pas de pare feu, d'antispyware et Firefox est périmé je ne le vois même pas dans votre log HJThis.
1) Redémarre en mode sans échec
Au redémarrage de l'ordinateur, après le bip, il y a un écran noir qui apparaît, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
2) Cleanzip
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,
choisis l’option 2.
3) Rapport
Redémarre en mode normal et poste le rapport qui se trouve ici C:\rapport_clean.txt
------------
Télécharger Combofix.exe (par sUBs) à partir d’un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Important, enregistre le sur le bureau.
Bien suivre le tutoriel officiel en français : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Sous Vista le temps de la désinfection désactiver l'UAC -User Account Control ou Contrôle de Compte Utilisateur- (tu le réactiveras après ta désinfection):
https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html
► Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Double clique combofix.exe et suivre les invites.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait faire figer l'ordinateur.
Lorsque le scan sera complété, un rapport apparaîtra.
Sélectionner tout le rapport (Ctrl+A), puis Copier (Ctrl+C)/ Coller (Ctrl+V) ce rapport dans la prochaine réponse
- Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
- Renvoyer également un autre rapport HJThis.
A+
Denis
bonjour, veuillez m'excuser pour le temps que j'ai mis à répondre mais j'ai quelques soucis avec internet.
En pare feu j'ai celui de vista, et j'ai malwarebytes, c'est bien un antispyware?
Je n'ai qu'un seul compte sur mon ordi, donc ça doit être le compte administrateur non? J'ai quand même fait le nettoyage avec clean (choix n°2). Mais il y a des fichiers auxquels il n'a pas eu accès.
voici le rapport :
Script executed in Safe Mode
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode 07/07/2008 a 15:44:43,45
Microsoft Windows [version 6.0.6000]
*** Suppression C:
*** Suppression C:\Windows\
*** Suppression C:\Windows\system32
tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
*** Suppression C:\Program Files
*** Deletion of the registry keys successful..
*** End of the report !
Dois-je le refaire sous un autre compte que je n'ai pas encore...donc dois-je faire un autre compte?
je n'ai pas encore lancé combofix.
merci beaucoup tous ces conseils!
En pare feu j'ai celui de vista, et j'ai malwarebytes, c'est bien un antispyware?
Je n'ai qu'un seul compte sur mon ordi, donc ça doit être le compte administrateur non? J'ai quand même fait le nettoyage avec clean (choix n°2). Mais il y a des fichiers auxquels il n'a pas eu accès.
voici le rapport :
Script executed in Safe Mode
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode 07/07/2008 a 15:44:43,45
Microsoft Windows [version 6.0.6000]
*** Suppression C:
*** Suppression C:\Windows\
*** Suppression C:\Windows\system32
tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
*** Suppression C:\Program Files
*** Deletion of the registry keys successful..
*** End of the report !
Dois-je le refaire sous un autre compte que je n'ai pas encore...donc dois-je faire un autre compte?
je n'ai pas encore lancé combofix.
merci beaucoup tous ces conseils!
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
10 juil. 2008 à 19:31
10 juil. 2008 à 19:31
salut holly,
- tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
Clean n'a pas effacé le fichier en question, il n'est plus mis à jour par Malekal depuis bien longtemps, on ne va pas insister pour le moment.
Le message d'"erreur de chargement winxtx32.rom" apparait il toujours?
- Repasser MB'AM après avoir fait sa mise à jour, le faire cette fois ci en mode sans échec il devrait effacer plus efficacement les infections (voir manip Clean.zip).
Vérifier une second fois ci cette clé apparait encore dans le log : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
- Dois-je le refaire sous un autre compte que je n'ai pas encore...
Si vous avez d'autres compte oui mais pas celui administrateur, surtout MB'AM en M.S.E.
- Ensuite continuer avec Combofix et renvoyer un rapport HJThis.
A+
Denis
- tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
Clean n'a pas effacé le fichier en question, il n'est plus mis à jour par Malekal depuis bien longtemps, on ne va pas insister pour le moment.
Le message d'"erreur de chargement winxtx32.rom" apparait il toujours?
- Repasser MB'AM après avoir fait sa mise à jour, le faire cette fois ci en mode sans échec il devrait effacer plus efficacement les infections (voir manip Clean.zip).
Vérifier une second fois ci cette clé apparait encore dans le log : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
- Dois-je le refaire sous un autre compte que je n'ai pas encore...
Si vous avez d'autres compte oui mais pas celui administrateur, surtout MB'AM en M.S.E.
- Ensuite continuer avec Combofix et renvoyer un rapport HJThis.
A+
Denis
Bonsoir Denis,
Le message d'erreur de chargement winxtx32.rom" apparait toujours?
J'ai refais un scan avec Malwarebytes, il n'a rien trouvé de suspect je crois, voici au cas ou le rapport :
Malwarebytes' Anti-Malware 1.20
Version de la base de données: 944
Windows 6.0.6000
17:47:50 04/07/2008
mbam-log-7-4-2008 (17-47-50).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 95882
Temps écoulé: 25 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
voici maintenant le rapport combofix (j'ai bien désactivé tout les autres logiciels et j'ai redémarré l'ordi avant de lancer le scan de combo. Hélas je n'ai pas remarqué tout de suite qu'antivir s'était réactivé tout seul au redémarrage de l'ordi. Le scan de combofix s'est donc fait pendant qu'antivir était activé, j'espère que cela ne la géné en rien).
ComboFix 08-07-12.4 - biatch 2008-07-13 18:55:28.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.430 [GMT 2:00]
Endroit: C:\Users\biatch\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
.
2008-07-04 18:52 . 2008-07-13 18:53 <REP> d-------- C:\327882R2FWJFW
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Users\All Users\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\ProgramData\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Program Files\Avira
2008-06-20 17:11 . 2008-06-20 17:11 <REP> d-------- C:\Program Files\Trend Micro
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\biatch\AppData\Roaming\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\ProgramData\Malwarebytes
2008-06-20 16:01 . 2008-07-04 17:12 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-20 16:01 . 2008-07-07 17:35 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys
2008-06-20 16:01 . 2008-07-07 17:35 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-06-20 15:53 . 2008-06-26 15:47 <REP> d-------- C:\Program Files\Navilog1
2008-06-19 15:50 . 2008-06-19 15:50 <REP> d-------- C:\Users\biatch\AppData\Roaming\zweitgeist
2008-06-18 23:23 . 2008-06-18 23:23 <REP> d-------- C:\Program Files\AnswerWorks 4.0
2008-06-18 23:18 . 2008-06-18 23:25 <REP> d-------- C:\Program Files\Common Files\Autodesk Shared
2008-06-18 23:18 . 2008-06-18 23:24 <REP> d-------- C:\Program Files\AutoCAD 2006
2008-06-17 21:56 . 2008-06-17 21:56 <REP> d-------- C:\Program Files\Autodesk
2008-06-17 21:50 . 2008-06-18 23:18 <REP> d-------- C:\Users\biatch\AppData\Roaming\Autodesk
2008-06-17 21:50 . 2008-06-18 23:18 <REP> d-------- C:\Users\All Users\Autodesk
2008-06-17 21:50 . 2008-06-18 23:18 <REP> d-------- C:\ProgramData\Autodesk
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-04 16:20 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-06-22 13:49 --------- d-----w C:\Users\biatch\AppData\Roaming\dvdcss
2008-06-17 15:11 --------- d-----w C:\Program Files\eMule
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
2006-11-02 12:33 397,312 --sha-w C:\Windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16386_none_ef216b8c52ca2227\WinMail.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk.disabled [2008-06-18 23:24:24 2078]
Microsoft Office.lnk.disabled [2008-02-12 19:28:05 1846]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.MI-SC4"= MI-SC4.acm
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSSMSGS"=rundll32.exe winxtx32.rom,mycRun
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"TOSHIBA Volume Indicator"="C:\Program Files\Toshiba\Utilities\VolControl.exe"
"TPwrMain"=%ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
"Windows Defender"=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2954523909-591937362-4010977359-1000]
"EnableNotificationsRef"=dword:00000002
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4511ACF5-E367-4A10-92A4-EF124761B1FA}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R3 BoiHwsetup;Access 32bits INT15 routine;C:\Windows\system32\drivers\BoiHwSetup.sys [2006-10-12 10:18]
R3 qkbfiltr;Keyboard Filter Driver;C:\Windows\system32\DRIVERS\qkbfiltr.sys [2006-11-20 19:14]
S3 MPManF55;MPMan-F55 USB Digital Player;C:\Windows\system32\Drivers\MPManF55.sys [2001-09-17 11:13]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-13 18:57:44
Windows 6.0.6000 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-13 18:58:36
ComboFix-quarantined-files.txt 2008-07-13 16:58:32
Pre-Run: 32,914,710,528 octets libres
Post-Run: 33,432,518,656 octets libres
90 --- E O F --- 2007-05-23 14:21:13
et voici le dernier rapport de HJThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:12, on 13/07/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\Explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
Le message d'erreur de chargement winxtx32.rom" apparait toujours?
J'ai refais un scan avec Malwarebytes, il n'a rien trouvé de suspect je crois, voici au cas ou le rapport :
Malwarebytes' Anti-Malware 1.20
Version de la base de données: 944
Windows 6.0.6000
17:47:50 04/07/2008
mbam-log-7-4-2008 (17-47-50).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 95882
Temps écoulé: 25 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
voici maintenant le rapport combofix (j'ai bien désactivé tout les autres logiciels et j'ai redémarré l'ordi avant de lancer le scan de combo. Hélas je n'ai pas remarqué tout de suite qu'antivir s'était réactivé tout seul au redémarrage de l'ordi. Le scan de combofix s'est donc fait pendant qu'antivir était activé, j'espère que cela ne la géné en rien).
ComboFix 08-07-12.4 - biatch 2008-07-13 18:55:28.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.430 [GMT 2:00]
Endroit: C:\Users\biatch\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
.
2008-07-04 18:52 . 2008-07-13 18:53 <REP> d-------- C:\327882R2FWJFW
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Users\All Users\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\ProgramData\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Program Files\Avira
2008-06-20 17:11 . 2008-06-20 17:11 <REP> d-------- C:\Program Files\Trend Micro
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\biatch\AppData\Roaming\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\ProgramData\Malwarebytes
2008-06-20 16:01 . 2008-07-04 17:12 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-20 16:01 . 2008-07-07 17:35 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys
2008-06-20 16:01 . 2008-07-07 17:35 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-06-20 15:53 . 2008-06-26 15:47 <REP> d-------- C:\Program Files\Navilog1
2008-06-19 15:50 . 2008-06-19 15:50 <REP> d-------- C:\Users\biatch\AppData\Roaming\zweitgeist
2008-06-18 23:23 . 2008-06-18 23:23 <REP> d-------- C:\Program Files\AnswerWorks 4.0
2008-06-18 23:18 . 2008-06-18 23:25 <REP> d-------- C:\Program Files\Common Files\Autodesk Shared
2008-06-18 23:18 . 2008-06-18 23:24 <REP> d-------- C:\Program Files\AutoCAD 2006
2008-06-17 21:56 . 2008-06-17 21:56 <REP> d-------- C:\Program Files\Autodesk
2008-06-17 21:50 . 2008-06-18 23:18 <REP> d-------- C:\Users\biatch\AppData\Roaming\Autodesk
2008-06-17 21:50 . 2008-06-18 23:18 <REP> d-------- C:\Users\All Users\Autodesk
2008-06-17 21:50 . 2008-06-18 23:18 <REP> d-------- C:\ProgramData\Autodesk
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-04 16:20 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-06-22 13:49 --------- d-----w C:\Users\biatch\AppData\Roaming\dvdcss
2008-06-17 15:11 --------- d-----w C:\Program Files\eMule
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
2006-11-02 12:33 397,312 --sha-w C:\Windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16386_none_ef216b8c52ca2227\WinMail.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk.disabled [2008-06-18 23:24:24 2078]
Microsoft Office.lnk.disabled [2008-02-12 19:28:05 1846]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.MI-SC4"= MI-SC4.acm
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSSMSGS"=rundll32.exe winxtx32.rom,mycRun
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"TOSHIBA Volume Indicator"="C:\Program Files\Toshiba\Utilities\VolControl.exe"
"TPwrMain"=%ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
"Windows Defender"=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2954523909-591937362-4010977359-1000]
"EnableNotificationsRef"=dword:00000002
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4511ACF5-E367-4A10-92A4-EF124761B1FA}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R3 BoiHwsetup;Access 32bits INT15 routine;C:\Windows\system32\drivers\BoiHwSetup.sys [2006-10-12 10:18]
R3 qkbfiltr;Keyboard Filter Driver;C:\Windows\system32\DRIVERS\qkbfiltr.sys [2006-11-20 19:14]
S3 MPManF55;MPMan-F55 USB Digital Player;C:\Windows\system32\Drivers\MPManF55.sys [2001-09-17 11:13]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-13 18:57:44
Windows 6.0.6000 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-13 18:58:36
ComboFix-quarantined-files.txt 2008-07-13 16:58:32
Pre-Run: 32,914,710,528 octets libres
Post-Run: 33,432,518,656 octets libres
90 --- E O F --- 2007-05-23 14:21:13
et voici le dernier rapport de HJThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:12, on 13/07/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\Explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mince, petite erreure, la première phrase c'est :
Oui le message d'erreur de chargement winxtx32.rom" apparait toujours.
et non pas :
Le message d'erreur de chargement winxtx32.rom" apparait toujours ?
Oui le message d'erreur de chargement winxtx32.rom" apparait toujours.
et non pas :
Le message d'erreur de chargement winxtx32.rom" apparait toujours ?
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
15 juil. 2008 à 01:46
15 juil. 2008 à 01:46
salut holly,
-C'est bien toi billi donc? J'atterris, désolé.
http://www.commentcamarche.net/forum/affich 7138799 erreur demarrage et 1fichier infecte
j'avais complètement oublié ton lien mais il s'était mal affiché:
http://www.commentcamarche.net/forum/affich 7033288 divers probleme depuis install keygen exe
Malwarebytes' Anti-Malware 1.20
Version de la base de données: 944
Windows 6.0.6000
17:47:50 04/07/2008
La date montre que c'est un vieux rapport, ce n'est pas le bon?
Mais tu dis dans l'autre message que ton horloge est décalé.
- Il est étonnant que Antivir ne le détecte pas ou ne l'enlèves pas, car le rapport Virustotal que Malekal t'a envoyé montrait que Antivir avait détecté le fichier comme une trojan TR/PSW.LdPinch.SH
href= http://research.sunbelt-software.com/... target='_blank' rel='nofollow'>http://translate.google.ca/...</a>
http://worldmap.f-secure.com/vwweb_1_2/vwm/map/clfr/de200815100/ds200815000/dt3/gnpl/ic10/if175/ii20132/is4/ly100/ro0/rtpage/zz.html
Consultes ce lien pour bien le configurer, les réglages par défaut sont très insuffisant :
https://www.astucesinternet.com/modules/news/article.php?storyid=253
Bien cocher # Rootkit search on search start : Si cette option est activée, AntiVir scannera la base de registre de Windows lors de chaque analyse ponctuelle pour vérifier qu'aucun Rootkit n'est actif.
(non disponible sous windows 64bits)
* Si tu utilises LIVE Messenger, alors clic sur Outils / Options / Transfert de fichiers / C:\Program Files\AVPersonal\AVGUARD.EXE‘’%1 <====== rajouter %1
Chaque fichier échangé avec MSN sera scanné.
- Redémarrer en mode sans échec pour un maximum d’efficacité.
> Démarrer en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..
Si problème voir Tuto ici
- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre jaune clair qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Pour vista : Il faut désactiver le: "mode protégé" d'IE par outils > options internet > sécurité.
Décocher la case "mode protégé" > redémarrer le navigateur et cela devient possible."
(A la fin du scan re-cocher ’’mode protégé’’)
L'UAC doit encore être désactivé.
Bitdefender http://www.bitdefender.fr/scan_fr/scan8/ie.html
Coller le rapport si il y a détection d'une infection autre que des cookies.
- Je n'ai qu'un seul compte sur mon ordi, donc ça doit être le compte administrateur non? J'ai quand même fait le nettoyage avec clean (choix n°2).
J'avais oublié cette remarque à propos de Clean, non tu dois avoir un autre compte que celui d'administrateur, sinon ce n'est pas normal.
A+
-C'est bien toi billi donc? J'atterris, désolé.
http://www.commentcamarche.net/forum/affich 7138799 erreur demarrage et 1fichier infecte
j'avais complètement oublié ton lien mais il s'était mal affiché:
http://www.commentcamarche.net/forum/affich 7033288 divers probleme depuis install keygen exe
Malwarebytes' Anti-Malware 1.20
Version de la base de données: 944
Windows 6.0.6000
17:47:50 04/07/2008
La date montre que c'est un vieux rapport, ce n'est pas le bon?
Mais tu dis dans l'autre message que ton horloge est décalé.
- Il est étonnant que Antivir ne le détecte pas ou ne l'enlèves pas, car le rapport Virustotal que Malekal t'a envoyé montrait que Antivir avait détecté le fichier comme une trojan TR/PSW.LdPinch.SH
href= http://research.sunbelt-software.com/... target='_blank' rel='nofollow'>http://translate.google.ca/...</a>
http://worldmap.f-secure.com/vwweb_1_2/vwm/map/clfr/de200815100/ds200815000/dt3/gnpl/ic10/if175/ii20132/is4/ly100/ro0/rtpage/zz.html
Consultes ce lien pour bien le configurer, les réglages par défaut sont très insuffisant :
https://www.astucesinternet.com/modules/news/article.php?storyid=253
Bien cocher # Rootkit search on search start : Si cette option est activée, AntiVir scannera la base de registre de Windows lors de chaque analyse ponctuelle pour vérifier qu'aucun Rootkit n'est actif.
(non disponible sous windows 64bits)
* Si tu utilises LIVE Messenger, alors clic sur Outils / Options / Transfert de fichiers / C:\Program Files\AVPersonal\AVGUARD.EXE‘’%1 <====== rajouter %1
Chaque fichier échangé avec MSN sera scanné.
- Redémarrer en mode sans échec pour un maximum d’efficacité.
> Démarrer en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..
Si problème voir Tuto ici
- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre jaune clair qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Pour vista : Il faut désactiver le: "mode protégé" d'IE par outils > options internet > sécurité.
Décocher la case "mode protégé" > redémarrer le navigateur et cela devient possible."
(A la fin du scan re-cocher ’’mode protégé’’)
L'UAC doit encore être désactivé.
Bitdefender http://www.bitdefender.fr/scan_fr/scan8/ie.html
Coller le rapport si il y a détection d'une infection autre que des cookies.
- Je n'ai qu'un seul compte sur mon ordi, donc ça doit être le compte administrateur non? J'ai quand même fait le nettoyage avec clean (choix n°2).
J'avais oublié cette remarque à propos de Clean, non tu dois avoir un autre compte que celui d'administrateur, sinon ce n'est pas normal.
A+
salut! j'espère que vous avez passé une bonne semaine :-) ..
en effet c'était bien moi "billi".
pour ce qui était du rapport ci-dessous j'avais l'horloge décalée donc ne pas se fier à la date :
((( "Malwarebytes' Anti-Malware 1.20
Version de la base de données: 944
Windows 6.0.6000
17:47:50 04/07/2008
La date montre que c'est un vieux rapport, ce n'est pas le bon?
Mais tu dis dans l'autre message que ton horloge est décalé. " ))))
J'ai fait le scan en ligne avec bitdefender, et il n'a rien trouvé..
Concernant clean et le mode administrateur, je ne comprends toujours pas. .Je n'ai pas de compte sur l'ordi donc je suis forcément administrateur. Est-ce gênant?
merci !
en effet c'était bien moi "billi".
pour ce qui était du rapport ci-dessous j'avais l'horloge décalée donc ne pas se fier à la date :
((( "Malwarebytes' Anti-Malware 1.20
Version de la base de données: 944
Windows 6.0.6000
17:47:50 04/07/2008
La date montre que c'est un vieux rapport, ce n'est pas le bon?
Mais tu dis dans l'autre message que ton horloge est décalé. " ))))
J'ai fait le scan en ligne avec bitdefender, et il n'a rien trouvé..
Concernant clean et le mode administrateur, je ne comprends toujours pas. .Je n'ai pas de compte sur l'ordi donc je suis forcément administrateur. Est-ce gênant?
merci !
je suis déjà de retour...car vient d'apparaître un nouveau problème.
J'ai effectué une mise à jour de malwarebytes. A environ 50% de la mise à jour il m'a mis un message d'erreur (dont je ne me souviens plus...ça c'est bien joué!...), donc j'ai cliqué sur ignorer.A la fin le logiciel charge ses mises à jour, il me remet la m^me erreur qu'avant. Ensuite je tente de lancer Malwarebytes et plus rien. Impossible de lancer le logiciel, le raccourci bureau n'est plus valide, donc jsui aller voir dans programfiles. J'essai de le lancer en cliquant sur : mbamtrayctrl.exe mais rien ne se passe...
Si vous pouvez m'éclaircir la-dessus.. je ne sais pas s'il y a un lien avec mon infection.
bonne courage et merci
J'ai effectué une mise à jour de malwarebytes. A environ 50% de la mise à jour il m'a mis un message d'erreur (dont je ne me souviens plus...ça c'est bien joué!...), donc j'ai cliqué sur ignorer.A la fin le logiciel charge ses mises à jour, il me remet la m^me erreur qu'avant. Ensuite je tente de lancer Malwarebytes et plus rien. Impossible de lancer le logiciel, le raccourci bureau n'est plus valide, donc jsui aller voir dans programfiles. J'essai de le lancer en cliquant sur : mbamtrayctrl.exe mais rien ne se passe...
Si vous pouvez m'éclaircir la-dessus.. je ne sais pas s'il y a un lien avec mon infection.
bonne courage et merci
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
19 juil. 2008 à 17:48
19 juil. 2008 à 17:48
salut holly,
- je ne sais pas s'il y a un lien avec mon infection.
c'est possible, on ne peut savoir, essayez de réinstaller MB'AM.
Ensuite
--------------
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher taper :
winxtx32.rom
- Type de recherche : sélectionne l'option 6 puis valide [entrée]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain message.
A+
Denis
- je ne sais pas s'il y a un lien avec mon infection.
c'est possible, on ne peut savoir, essayez de réinstaller MB'AM.
Ensuite
--------------
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher taper :
winxtx32.rom
- Type de recherche : sélectionne l'option 6 puis valide [entrée]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain message.
A+
Denis
voici rapport de recherche :
19/07/2008 ---- 19:35:12,82
----------------------------------
§§§§§§ [winxtx32.rom] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
[HKEY_USERS\S-1-5-21-2954523909-591937362-4010977359-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"MSSMSGS"="rundll32.exe winxtx32.rom,mycRun"
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
19/07/2008 ---- 19:35:12,82
----------------------------------
§§§§§§ [winxtx32.rom] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
[HKEY_USERS\S-1-5-21-2954523909-591937362-4010977359-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"MSSMSGS"="rundll32.exe winxtx32.rom,mycRun"
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
19 juil. 2008 à 20:18
19 juil. 2008 à 20:18
Re,
As tu effacé le fichier winxtx32.rom ?
Car OAD ne le trouve pas, juste une clé que l'on va enlever.
/!\ Manip crée spécialement pour cette infection, ne pas reproduire seul chez soi sans supervision... /!\
------------------------------
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :
Registry::
[HKEY_USERS\S-1-5-21-2954523909-591937362-4010977359-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"MSSMSGS"="-"
Enregistre ce fichier sous le nom CFScript
► Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
S'assurer que l'UAC est encore désactivé.
* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme montré sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
* Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
* Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne toucher à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.
* Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt
A+
As tu effacé le fichier winxtx32.rom ?
Car OAD ne le trouve pas, juste une clé que l'on va enlever.
/!\ Manip crée spécialement pour cette infection, ne pas reproduire seul chez soi sans supervision... /!\
------------------------------
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :
Registry::
[HKEY_USERS\S-1-5-21-2954523909-591937362-4010977359-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"MSSMSGS"="-"
Enregistre ce fichier sous le nom CFScript
► Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
S'assurer que l'UAC est encore désactivé.
* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme montré sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
* Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
* Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne toucher à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.
* Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt
A+
je ne crois pas avoir enlevé le fichier winxtx32.rom volontairement. Par contre il a du être supprimer lors de certaines analyses/désinfection puisque ça m'est arrivé suite aux dernières manipes faites sur cette page :
http://www.commentcamarche.net/forum/affich 7033288 divers probleme depuis install keygen exe
sinon voici le rapport de combofix avec le fichier CFScript :
ComboFix 08-07-12.4 - biatch 2008-07-19 21:32:05.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.371 [GMT 2:00]
Endroit: C:\Users\biatch\Desktop\ComboFix.exe
Command switches used :: C:\Users\biatch\Desktop\CFScript.txt
* Création d'un nouveau point de restauration
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-19 to 2008-07-19 ))))))))))))))))))))))))))))))))))))
.
2008-07-19 19:28 . 2008-07-19 19:28 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-19 19:28 . 2008-07-18 19:15 36,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-07-19 19:28 . 2008-07-18 19:15 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-07-19 13:49 . 2008-07-19 14:01 <REP> d-------- C:\Windows\BDOSCAN8
2008-07-19 13:40 . 2008-07-19 13:40 268 --ah----- C:\sqmdata00.sqm
2008-07-19 13:40 . 2008-07-19 13:40 244 --ah----- C:\sqmnoopt00.sqm
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Users\All Users\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\ProgramData\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Program Files\Avira
2008-06-20 17:11 . 2008-06-20 17:11 <REP> d-------- C:\Program Files\Trend Micro
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\biatch\AppData\Roaming\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\ProgramData\Malwarebytes
2008-06-20 15:53 . 2008-06-26 15:47 <REP> d-------- C:\Program Files\Navilog1
2008-06-19 15:50 . 2008-06-19 15:50 <REP> d-------- C:\Users\biatch\AppData\Roaming\zweitgeist
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 10:26 --------- d-----w C:\ProgramData\Autodesk
2008-07-14 10:26 --------- d-----w C:\Program Files\AutoCAD 2006
2008-07-04 16:20 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-06-22 13:49 --------- d-----w C:\Users\biatch\AppData\Roaming\dvdcss
2008-06-18 21:18 --------- d-----w C:\Users\biatch\AppData\Roaming\Autodesk
2008-06-17 19:56 --------- d-----w C:\Program Files\Autodesk
2008-06-17 15:11 --------- d-----w C:\Program Files\eMule
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
2006-11-02 12:33 397,312 --sha-w C:\Windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16386_none_ef216b8c52ca2227\WinMail.exe
.
((((((((((((((((((((((((((((( snapshot@2008-07-13_18.58.21.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-19 11:50:03 45,056 ----a-w C:\Windows\BDOSCAN8\avxdisk.dll
+ 2008-07-19 11:50:03 10,240 ----a-w C:\Windows\BDOSCAN8\avxs.dll
+ 2008-07-19 11:50:03 27,136 ----a-w C:\Windows\BDOSCAN8\avxt.dll
+ 2008-07-19 11:50:05 181,760 ----a-w C:\Windows\BDOSCAN8\bdcore.dll
+ 2006-05-24 23:21:00 118,784 ----a-w C:\Windows\BDOSCAN8\bdupd.dll
+ 2006-05-24 23:21:14 53,248 ----a-w C:\Windows\BDOSCAN8\ipsupd.dll
+ 2008-07-19 11:50:06 142,848 ----a-w C:\Windows\BDOSCAN8\libfn.dll
+ 2008-07-19 11:50:03 86,016 ----a-w C:\Windows\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:22:06 53,248 ----a-w C:\Windows\bdoscandel.exe
- 2008-07-04 16:51:45 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-07-19 17:15:49 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2006-05-24 23:21:00 118,784 ----a-w C:\Windows\Downloaded Program Files\bdupd.dll
+ 2006-05-24 23:21:14 53,248 ----a-w C:\Windows\Downloaded Program Files\ipsupd.dll
- 2008-07-04 16:51:46 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-07-19 17:15:50 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-07-04 16:51:46 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-07-19 17:15:50 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-07-13 16:54:00 1,572,864 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-07-19 17:18:09 1,572,864 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-07-13 16:53:54 1,572,864 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-07-19 17:18:04 1,572,864 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-07-13 16:53:53 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-07-19 12:04:16 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-07-13 16:53:53 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-19 12:04:16 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-13 16:53:53 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-07-19 12:04:16 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-03-04 11:28:53 79,424 ----a-w C:\Windows\System32\drivers\avipbb.sys
+ 2008-07-19 12:07:24 75,072 ----a-w C:\Windows\System32\drivers\avipbb.sys
- 2008-06-18 21:28:23 328,920 ----a-w C:\Windows\System32\FNTCACHE.DAT
+ 2008-07-15 16:15:05 256,616 ----a-w C:\Windows\System32\FNTCACHE.DAT
- 2008-07-01 08:33:05 103,924 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-07-14 16:11:29 103,924 ----a-w C:\Windows\System32\perfc009.dat
- 2008-07-01 08:33:05 117,572 ----a-w C:\Windows\System32\perfc00C.dat
+ 2008-07-14 16:11:29 117,572 ----a-w C:\Windows\System32\perfc00C.dat
- 2008-07-01 08:33:05 610,142 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-07-14 16:11:29 610,142 ----a-w C:\Windows\System32\perfh009.dat
- 2008-07-01 08:33:05 690,832 ----a-w C:\Windows\System32\perfh00C.dat
+ 2008-07-14 16:11:29 690,832 ----a-w C:\Windows\System32\perfh00C.dat
- 2008-06-18 21:27:03 5,505,024 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2008-07-14 19:50:29 5,505,024 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
- 2008-07-13 16:54:21 9,924 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2954523909-591937362-4010977359-1000_UserData.bin
+ 2008-07-19 17:18:27 10,278 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2954523909-591937362-4010977359-1000_UserData.bin
- 2008-07-13 16:54:19 83,168 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-07-19 17:18:27 83,756 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-07-13 16:54:16 38,088 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-07-19 17:18:25 38,358 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk.disabled [2008-02-12 19:28:05 1846]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.MI-SC4"= MI-SC4.acm
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSSMSGS"=rundll32.exe winxtx32.rom,mycRun
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"TOSHIBA Volume Indicator"="C:\Program Files\Toshiba\Utilities\VolControl.exe"
"TPwrMain"=%ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
"Windows Defender"=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2954523909-591937362-4010977359-1000]
"EnableNotificationsRef"=dword:00000002
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4511ACF5-E367-4A10-92A4-EF124761B1FA}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R3 BoiHwsetup;Access 32bits INT15 routine;C:\Windows\system32\drivers\BoiHwSetup.sys [2006-10-12 10:18]
R3 qkbfiltr;Keyboard Filter Driver;C:\Windows\system32\DRIVERS\qkbfiltr.sys [2006-11-20 19:14]
S3 MPManF55;MPMan-F55 USB Digital Player;C:\Windows\system32\Drivers\MPManF55.sys [2001-09-17 11:13]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-19 21:34:12
Windows 6.0.6000 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-19 21:35:05
ComboFix-quarantined-files.txt 2008-07-19 19:35:00
ComboFix2.txt 2008-07-13 16:58:36
Pre-Run: 37,667,098,624 octets libres
Post-Run: 37,552,623,616 octets libres
142 --- E O F --- 2007-05-23 14:21:13
A+
http://www.commentcamarche.net/forum/affich 7033288 divers probleme depuis install keygen exe
sinon voici le rapport de combofix avec le fichier CFScript :
ComboFix 08-07-12.4 - biatch 2008-07-19 21:32:05.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.371 [GMT 2:00]
Endroit: C:\Users\biatch\Desktop\ComboFix.exe
Command switches used :: C:\Users\biatch\Desktop\CFScript.txt
* Création d'un nouveau point de restauration
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-19 to 2008-07-19 ))))))))))))))))))))))))))))))))))))
.
2008-07-19 19:28 . 2008-07-19 19:28 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-19 19:28 . 2008-07-18 19:15 36,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-07-19 19:28 . 2008-07-18 19:15 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-07-19 13:49 . 2008-07-19 14:01 <REP> d-------- C:\Windows\BDOSCAN8
2008-07-19 13:40 . 2008-07-19 13:40 268 --ah----- C:\sqmdata00.sqm
2008-07-19 13:40 . 2008-07-19 13:40 244 --ah----- C:\sqmnoopt00.sqm
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Users\All Users\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\ProgramData\Avira
2008-06-24 16:18 . 2008-06-24 16:18 <REP> d-------- C:\Program Files\Avira
2008-06-20 17:11 . 2008-06-20 17:11 <REP> d-------- C:\Program Files\Trend Micro
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\biatch\AppData\Roaming\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-06-20 16:01 . 2008-06-20 16:01 <REP> d-------- C:\ProgramData\Malwarebytes
2008-06-20 15:53 . 2008-06-26 15:47 <REP> d-------- C:\Program Files\Navilog1
2008-06-19 15:50 . 2008-06-19 15:50 <REP> d-------- C:\Users\biatch\AppData\Roaming\zweitgeist
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 10:26 --------- d-----w C:\ProgramData\Autodesk
2008-07-14 10:26 --------- d-----w C:\Program Files\AutoCAD 2006
2008-07-04 16:20 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-06-22 13:49 --------- d-----w C:\Users\biatch\AppData\Roaming\dvdcss
2008-06-18 21:18 --------- d-----w C:\Users\biatch\AppData\Roaming\Autodesk
2008-06-17 19:56 --------- d-----w C:\Program Files\Autodesk
2008-06-17 15:11 --------- d-----w C:\Program Files\eMule
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
2006-11-02 12:33 397,312 --sha-w C:\Windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16386_none_ef216b8c52ca2227\WinMail.exe
.
((((((((((((((((((((((((((((( snapshot@2008-07-13_18.58.21.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-19 11:50:03 45,056 ----a-w C:\Windows\BDOSCAN8\avxdisk.dll
+ 2008-07-19 11:50:03 10,240 ----a-w C:\Windows\BDOSCAN8\avxs.dll
+ 2008-07-19 11:50:03 27,136 ----a-w C:\Windows\BDOSCAN8\avxt.dll
+ 2008-07-19 11:50:05 181,760 ----a-w C:\Windows\BDOSCAN8\bdcore.dll
+ 2006-05-24 23:21:00 118,784 ----a-w C:\Windows\BDOSCAN8\bdupd.dll
+ 2006-05-24 23:21:14 53,248 ----a-w C:\Windows\BDOSCAN8\ipsupd.dll
+ 2008-07-19 11:50:06 142,848 ----a-w C:\Windows\BDOSCAN8\libfn.dll
+ 2008-07-19 11:50:03 86,016 ----a-w C:\Windows\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:22:06 53,248 ----a-w C:\Windows\bdoscandel.exe
- 2008-07-04 16:51:45 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-07-19 17:15:49 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2006-05-24 23:21:00 118,784 ----a-w C:\Windows\Downloaded Program Files\bdupd.dll
+ 2006-05-24 23:21:14 53,248 ----a-w C:\Windows\Downloaded Program Files\ipsupd.dll
- 2008-07-04 16:51:46 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-07-19 17:15:50 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-07-04 16:51:46 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-07-19 17:15:50 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-07-13 16:54:00 1,572,864 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-07-19 17:18:09 1,572,864 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-07-13 16:53:54 1,572,864 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-07-19 17:18:04 1,572,864 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-07-13 16:53:53 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-07-19 12:04:16 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-07-13 16:53:53 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-19 12:04:16 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-13 16:53:53 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-07-19 12:04:16 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-03-04 11:28:53 79,424 ----a-w C:\Windows\System32\drivers\avipbb.sys
+ 2008-07-19 12:07:24 75,072 ----a-w C:\Windows\System32\drivers\avipbb.sys
- 2008-06-18 21:28:23 328,920 ----a-w C:\Windows\System32\FNTCACHE.DAT
+ 2008-07-15 16:15:05 256,616 ----a-w C:\Windows\System32\FNTCACHE.DAT
- 2008-07-01 08:33:05 103,924 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-07-14 16:11:29 103,924 ----a-w C:\Windows\System32\perfc009.dat
- 2008-07-01 08:33:05 117,572 ----a-w C:\Windows\System32\perfc00C.dat
+ 2008-07-14 16:11:29 117,572 ----a-w C:\Windows\System32\perfc00C.dat
- 2008-07-01 08:33:05 610,142 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-07-14 16:11:29 610,142 ----a-w C:\Windows\System32\perfh009.dat
- 2008-07-01 08:33:05 690,832 ----a-w C:\Windows\System32\perfh00C.dat
+ 2008-07-14 16:11:29 690,832 ----a-w C:\Windows\System32\perfh00C.dat
- 2008-06-18 21:27:03 5,505,024 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2008-07-14 19:50:29 5,505,024 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
- 2008-07-13 16:54:21 9,924 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2954523909-591937362-4010977359-1000_UserData.bin
+ 2008-07-19 17:18:27 10,278 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2954523909-591937362-4010977359-1000_UserData.bin
- 2008-07-13 16:54:19 83,168 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-07-19 17:18:27 83,756 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-07-13 16:54:16 38,088 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-07-19 17:18:25 38,358 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk.disabled [2008-02-12 19:28:05 1846]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.MI-SC4"= MI-SC4.acm
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSSMSGS"=rundll32.exe winxtx32.rom,mycRun
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"TOSHIBA Volume Indicator"="C:\Program Files\Toshiba\Utilities\VolControl.exe"
"TPwrMain"=%ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
"Windows Defender"=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2954523909-591937362-4010977359-1000]
"EnableNotificationsRef"=dword:00000002
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4511ACF5-E367-4A10-92A4-EF124761B1FA}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R3 BoiHwsetup;Access 32bits INT15 routine;C:\Windows\system32\drivers\BoiHwSetup.sys [2006-10-12 10:18]
R3 qkbfiltr;Keyboard Filter Driver;C:\Windows\system32\DRIVERS\qkbfiltr.sys [2006-11-20 19:14]
S3 MPManF55;MPMan-F55 USB Digital Player;C:\Windows\system32\Drivers\MPManF55.sys [2001-09-17 11:13]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-19 21:34:12
Windows 6.0.6000 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-19 21:35:05
ComboFix-quarantined-files.txt 2008-07-19 19:35:00
ComboFix2.txt 2008-07-13 16:58:36
Pre-Run: 37,667,098,624 octets libres
Post-Run: 37,552,623,616 octets libres
142 --- E O F --- 2007-05-23 14:21:13
A+
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
20 juil. 2008 à 03:08
20 juil. 2008 à 03:08
salut,
- je ne crois pas avoir enlevé le fichier winxtx32.rom volontairement.
Il faudrait confirmer le chemin exact C:\Windows\system32\winxtx32.rom
Comme avec VirusTotal retournes dans ---> disque C: -->dossier Windows --> dossier system32
- Par contre il a du être supprimer lors de certaines analyses/désinfection puisque ça m'est arrivé suite aux dernières manipes faites
Ce n'était que des analyses.
Mais Bitdefender ne l'a pas trouvé et OAD non plus sauf un clé qui restait mais que CFScript n'a pas enlevé c'est étrange.
- MB'AM a toujours des soucis de mise à jour?
Les symptômes sont toujours présent?
A+
- je ne crois pas avoir enlevé le fichier winxtx32.rom volontairement.
Il faudrait confirmer le chemin exact C:\Windows\system32\winxtx32.rom
Comme avec VirusTotal retournes dans ---> disque C: -->dossier Windows --> dossier system32
- Par contre il a du être supprimer lors de certaines analyses/désinfection puisque ça m'est arrivé suite aux dernières manipes faites
Ce n'était que des analyses.
Mais Bitdefender ne l'a pas trouvé et OAD non plus sauf un clé qui restait mais que CFScript n'a pas enlevé c'est étrange.
- MB'AM a toujours des soucis de mise à jour?
Les symptômes sont toujours présent?
A+
je n'ai pas trouvé winxtx32.rom dans le dossier system32. Mais à quoi sert ce fichier pour que je comprenne un peu plus?
le message d'erreur apparait toujours.
autre chose : lorsque j'ai fait CFScript avec combofix, j'ai désactivé antivir,malwarebytes et spybot le temps du scan. A la fin du scan j'ai réactivé spybot dans le menu : outil-->démarrage system , j'ai réactivé plusieurs clés en cochant les cases. Pour chaque clé réactivée j'ai eu un message : la clé à été modifier, voulez-vous refuser ou modifier.
J'ai accepter modifier. Donc apparemment il y a eu quand m^me eu des modifications ??
Dans démarrage system de spybot apparait notamment la clé :
Located: HK_CU:Run, MSSMSGS
command: rundll32.exe winxtx32.rom,mycRun
Si ça peut vous aider..
le message d'erreur apparait toujours.
autre chose : lorsque j'ai fait CFScript avec combofix, j'ai désactivé antivir,malwarebytes et spybot le temps du scan. A la fin du scan j'ai réactivé spybot dans le menu : outil-->démarrage system , j'ai réactivé plusieurs clés en cochant les cases. Pour chaque clé réactivée j'ai eu un message : la clé à été modifier, voulez-vous refuser ou modifier.
J'ai accepter modifier. Donc apparemment il y a eu quand m^me eu des modifications ??
Dans démarrage system de spybot apparait notamment la clé :
Located: HK_CU:Run, MSSMSGS
command: rundll32.exe winxtx32.rom,mycRun
Si ça peut vous aider..
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
20 juil. 2008 à 16:52
20 juil. 2008 à 16:52
salut,
- Mais à quoi sert ce fichier pour que je comprenne un peu plus?
http://www.malekal.com/Trojan.LdPinch.php
https://securelist.fr/?virusid=34784
Je me trompes peut être mais votre AutoCAD 2006 a été cracké ce qui explique ce genre d'infection.
Il faudra éviter cette pratique pour éviter d'avoir ce genre de cadeau.
Une chose importante que j'ai oublié tu n'as pas de parefeu et pour cette infection en particulier tu en as besoin
------------------------
- De nombreuses infections utilisent les ordinateurs infectés comme serveurs distant ou autre gentillesse du genre, usurpation d'identité. Pour contrer ce genre d'attaque il faut un parefeu (Celui de windows est inefficace).
Comme pare feu je conseillerais
Comodo 3.0 free : http://www.personalfirewall.comodo.com/download_firewall.html
Bien consulter le Tutoriel (merci Malekal)
Ensuite
------------------------
Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Pour cela cliquer ICI
Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.
> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..
Si problème voir Tutoriel Symantec.
Choisir son compte, pas celui de l'Administrateur ou autre.
Dérouler la liste des instructions ci-dessous :
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum
A+
- Mais à quoi sert ce fichier pour que je comprenne un peu plus?
http://www.malekal.com/Trojan.LdPinch.php
https://securelist.fr/?virusid=34784
Je me trompes peut être mais votre AutoCAD 2006 a été cracké ce qui explique ce genre d'infection.
Il faudra éviter cette pratique pour éviter d'avoir ce genre de cadeau.
Une chose importante que j'ai oublié tu n'as pas de parefeu et pour cette infection en particulier tu en as besoin
------------------------
- De nombreuses infections utilisent les ordinateurs infectés comme serveurs distant ou autre gentillesse du genre, usurpation d'identité. Pour contrer ce genre d'attaque il faut un parefeu (Celui de windows est inefficace).
Comme pare feu je conseillerais
Comodo 3.0 free : http://www.personalfirewall.comodo.com/download_firewall.html
Bien consulter le Tutoriel (merci Malekal)
Ensuite
------------------------
Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Pour cela cliquer ICI
Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.
> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..
Si problème voir Tutoriel Symantec.
Choisir son compte, pas celui de l'Administrateur ou autre.
Dérouler la liste des instructions ci-dessous :
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum
A+
SDfix ne fonctionne pas.
quand je double clic sur runthis.bat ça me lance une fenêtre noire qui disparait aussitôt.
Apparement il ne fonctionne que pour win2000 et XP. (c'est ce qui est écrit dans le fichier readme online)
quand je double clic sur runthis.bat ça me lance une fenêtre noire qui disparait aussitôt.
Apparement il ne fonctionne que pour win2000 et XP. (c'est ce qui est écrit dans le fichier readme online)
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
20 juil. 2008 à 17:47
20 juil. 2008 à 17:47
holly,
il faut que l'UAC soit désactivé.
A+
il faut que l'UAC soit désactivé.
A+
jsuis vraiment désolé mais ça ne fonctionnne pas. J'avais déjà désactivé l'UAC. J'ai même réessayer en désactivant antivir, spybot et malwarebytes mais ça ne change rien.
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
21 juil. 2008 à 00:46
21 juil. 2008 à 00:46
holly,
désolé SDFix doit se faire en mode sans échec, sinon il ne se lancera pas correctement.
A+
désolé SDFix doit se faire en mode sans échec, sinon il ne se lancera pas correctement.
A+