Sujet Précédent Sujet Suivant

A.bat le retour

lucovitch Messages postés 56 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjourà tous,

Désolé de créer un doublon, mais je ne vois comment faire autrement !
Comme vous l'avez compris, j'ai un info à chaque démarrage comme quoi le fichier a.bat est vérolé.

Ma configuration de sécurité:
Antivirus Avast 4.8 à jour
Spybot à jour
PcTolls Firewall à jour

En suivant les indications du précédent topic, voici les rapports:

VUNDO

VundoFix V7.0.6

Scan started at 13:39:54 12/07/2008

Listing files found while scanning....

No infected files were found.

HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:27:03, on 12/07/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Windows\System32\PROMon.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\System32\NMSSvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\System32\winsp3.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/040C/bl7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [Windows Servicepacket] winsp3.exe
O4 - HKLM\..\RunServices: [Windows Servicepacket] winsp3.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\Windows\System32\NMSSvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

Certaines lignes faisant référence à winsp3.exe me semblent douteuses !!!

CLEAN

12/07/2008 a 13:50:35,53

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\Windows\

*** Recherche des fichiers dans C:\Windows\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Avast a trouvé 7 infections et les a supprimées
Spybot en a trouvé à peu près autant et les a supprimées aussi
Un nettoyage avec Ccleaner a été fait

Merci de vos conseils

Lucovitch

4 réponses

Réponse 1 / 4
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
slt ton windows n'est pas a jour depuis des années pourquoi????

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
0
Réponse 2 / 4
lucovitch Messages postés 56 Statut Membre 8
 
Bonjour,

Oui, je suis resté sur une version assez ancienne à cause d'une base de données sous Paradox qui ne digère pas le SP2. Par ailleurs, suite à un gros soucis sur mon ancien DD, j'ai réinstallé le système avec le CD RESTORE de Compaq (j'ai un D510).
J'avais déjà fait un FDfix qui m'avais décelé 3 Trojan. Voici le rapport aprés suppression (le problème reste toutefois inchangé):
[b]SDFix: Version 1.204 [/b]
Run by Administrateur on 11/07/2008 at 17:34

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\Windows\system32\TFTP3716 - Deleted
C:\Windows\system32\dllcache\mravsc32.exe - Deleted
C:\Windows\system32\i - Deleted

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 17:39:44
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??'Ÿ".ÅÎ^%S<O?Z??''""--~TS>O?ZYÿ­½œÏ¾Ýõù¸¦®ªð©îŽ"="DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??'Ÿ".ÅÎ^%S<O?Z??''""--~TS>O?ZYÿ­½œÏ¾Ýõù¸¦®ªð©îŽ:*:Enabled:Windows Servicepacket"

[b]Remaining Files [/b]:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 11 Jul 2008 328,704 ..SHR --- "C:\WINDOWS\system32\winsp3.exe"

[b]Finished![/b]

Ton avis sur winsp3.exe ?
0
Réponse 3 / 4
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

______________________

Téléchargez ceci (de gchris) : http://gchrisftp.free.fr/divers/Ad-Fix/Ad-Fix.zip
Dézippez-le sur votre bureau (clic droit -> extraire tout).
Vérifiez que vous êtes bien connecté à internet.
Dans le dossier créé, double-cliquez sur le fichier "Ad-Fix.bat" ou "Ad-fix"
Choisissez l'option 1.
Si vous avez un message de votre pare-feu qui vous demande si vous voulez autoriser le fichier URL2FILE.EXE à
se connecter à Internet, Autorisez, c'est nécessaire à ad-fix pour vérifier la version.
Quand c'est finit (cela peut prendre plusieurs minutes), un rapport s'ouvre avec le bloc-notes.
Merci de faire un copier/coller ici du contenu du rapport (Ad-Fix.txt)

0
lucovitch
 
Bonjur jlpjlp

Voici le rapport:

ComboFix 08-07-12.4 - Administrateur 2008-07-14 13:51:25.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.193 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\Outils\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-14 to 2008-07-14 ))))))))))))))))))))))))))))))))))))
.

2008-07-13 20:49 . 2008-07-13 20:49 241 --a------ C:\WINDOWS\Dynaview.ini
2008-07-12 14:48 . 2008-07-12 14:48 <REP> d-------- C:\Fraps
2008-07-12 13:51 . 2008-07-12 13:51 1,518,060 --a------ C:\upload_moi_D510.tar.gz
2008-07-12 13:44 . 2008-07-12 13:44 <REP> d-------- C:\Program Files\Trend Micro
2008-07-12 13:39 . 2008-07-12 13:39 <REP> d-------- C:\VundoFix Backups
2008-07-11 17:31 . 2008-07-11 17:31 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-11 17:28 . 2008-07-12 13:32 <REP> d-------- C:\SDFix
2008-07-11 17:05 . 2008-07-14 08:50 100,448 --a------ C:\WINDOWS\system32\drivers\pctfw1.sys
2008-07-11 17:05 . 2008-07-14 08:50 55,904 --a------ C:\WINDOWS\system32\drivers\pctfw.sys
2008-07-11 09:32 . 2008-07-11 09:32 328,704 -r-hs---- C:\WINDOWS\system32\winsp3.exe
2008-07-10 19:40 . 2008-07-10 19:40 <REP> d-------- C:\Program Files\THE Rename
2008-07-10 15:50 . 2008-07-10 15:53 <REP> d-a------ C:\test
2008-07-10 14:11 . 2008-07-10 14:19 <REP> d-------- C:\dossiers
2008-07-10 10:08 . 1999-11-12 06:11 184,320 --a------ C:\WINDOWS\system32\BDEADMIN.CPL
2008-07-10 10:06 . 2008-07-10 10:06 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-07-10 10:06 . 1999-03-23 09:12 304,128 --a------ C:\WINDOWS\unin040c.exe
2008-07-10 08:50 . 2008-07-10 08:50 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-07-06 06:13 . 2008-07-12 13:32 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-07-06 06:13 . 2008-07-12 13:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-07-02 20:01 . 2008-07-02 20:17 145 --a------ C:\WINDOWS\Eudcedit.ini
2008-07-01 10:33 . 2008-07-01 10:33 <REP> d-------- C:\Program Files\CCleaner
2008-06-29 20:17 . 2008-06-29 20:17 <REP> d-------- C:\WINDOWS\LastGood.Tmp
2008-06-28 16:01 . 2008-06-29 20:18 <REP> d-------- C:\Program Files\Picasa2
2008-06-27 14:38 . 2008-07-13 20:55 13,030 --a------ C:\PDOXUSRS.NET
2008-06-27 14:37 . 2008-06-27 14:37 195 --a------ C:\WINDOWS\Convert
2008-06-27 14:28 . 2008-06-27 14:28 <REP> d-------- C:\Program Files\Common Files
2008-06-27 14:28 . 2008-06-27 14:28 <REP> d-------- C:\Program Files\Borland
2008-06-27 14:28 . 2008-07-10 15:06 <REP> d-------- C:\Program Files\Alternative
2008-06-27 10:15 . 2008-06-29 20:18 <REP> d-------- C:\Program Files\Audacity
2008-06-24 08:49 . 2008-06-24 08:49 <REP> d-------- C:\Program Files\AxBx
2008-06-18 12:47 . 2008-06-18 12:47 268 --ah----- C:\sqmdata01.sqm
2008-06-18 12:47 . 2008-06-18 12:47 244 --ah----- C:\sqmnoopt01.sqm
2008-06-15 18:24 . 2008-06-15 18:24 <REP> d-------- C:\Program Files\VIA Technologies, INC
2008-06-15 18:19 . 2003-09-26 15:37 67,568 -ra------ C:\WINDOWS\system32\drivers\usbhub20.sys
2008-06-15 18:14 . 2008-07-11 17:06 <REP> d-------- C:\WINDOWS\LastGood
2008-06-15 18:14 . 2002-04-01 14:36 134,016 --a------ C:\WINDOWS\system32\dllcache\usbport.sys
2008-06-14 20:48 . 2008-06-14 20:48 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-06-14 20:42 . 2008-06-14 20:42 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2008-06-14 20:42 . 2008-06-14 20:42 <REP> d-------- C:\Program Files\Ahead
2008-06-14 20:42 . 2001-07-06 14:41 569,344 -ra------ C:\WINDOWS\system32\imagr5.dll
2008-06-14 20:42 . 2001-07-06 12:44 544,768 -ra------ C:\WINDOWS\system32\imagx5.dll
2008-06-14 20:42 . 2001-07-06 18:24 283,920 -ra------ C:\WINDOWS\system32\ImagXpr5.dll
2008-06-14 20:42 . 2001-07-09 11:50 155,648 -ra------ C:\WINDOWS\system32\NeroCheck.exe
2008-06-14 20:42 . 2001-06-26 08:15 38,912 -ra------ C:\WINDOWS\system32\picn20.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 06:50 --------- d-----w C:\Program Files\PC Tools Firewall Plus
2008-07-13 07:26 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Comptabilité et Facturation
2008-07-12 12:48 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-11 20:36 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-07-03 15:13 --------- d-----w C:\Program Files\Photocopier
2008-06-20 07:29 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-06-13 11:28 --------- d-----w C:\Program Files\AusLogics Disk Defrag
2008-06-12 11:52 --------- d-----w C:\Program Files\PDFCreator
2008-06-11 11:26 --------- d-----w C:\Program Files\SereneScreen
2008-06-11 06:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-11 06:11 --------- d-----w C:\Program Files\Fichiers communs\Python
2008-06-11 06:11 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\EPSON
2008-06-11 06:10 --------- d-----w C:\Program Files\EPSON
2008-06-11 06:00 --------- d-----w C:\Program Files\FreeGo
2008-06-07 16:30 --------- d-----w C:\Program Files\WinPcap
2008-06-06 14:41 --------- d-----w C:\Program Files\Java
2008-06-06 06:29 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Media Player Classic
2008-06-06 06:28 --------- d-----w C:\Program Files\Real Alternative
2008-06-06 06:11 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\vlc
2008-06-06 06:08 --------- d-----w C:\Program Files\VideoLAN
2008-06-05 07:48 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-06-04 21:12 --------- d-----w C:\Program Files\Fichiers communs\Pervasive Software Shared
2008-06-04 21:11 544,816 ----a-w C:\Windows\system32\pscl.dll
2008-06-04 21:11 43,760 ----a-w C:\Windows\system32\nwlocale.dll
2008-06-04 21:11 254,002 ----a-w C:\Windows\system32\pscore.dll
2008-06-04 21:11 146,976 ----a-w C:\Windows\system32\mfcoleui.dll
2008-06-04 21:11 --------- d-----w C:\Program Files\EBP
2008-06-04 21:11 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\EBP
2008-06-04 21:06 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-06-04 14:39 --------- d-----w C:\Program Files\JCollab
2008-06-04 09:43 --------- d-----w C:\Program Files\MSN Messenger
2008-06-04 08:56 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\PCToolsFirewallPlus
2008-06-04 08:04 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-06-04 08:03 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-04 06:04 --------- d-----w C:\Program Files\Alwil Software
2008-06-04 06:02 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-06-04 06:01 --------- d-----w C:\Program Files\Hewlett-Packard
2008-06-04 05:51 --------- d-----w C:\Program Files\InterVideo
2008-06-04 05:51 --------- d-----w C:\Program Files\intel
2008-06-04 05:50 --------- d-----w C:\Program Files\COMPAQ
2008-06-04 05:50 --------- d-----w C:\Program Files\Analog Devices
2008-06-04 05:46 155,995 ----a-w C:\Windows\java\Packages\PZZXJD7F.ZIP
2008-06-04 05:45 --------- d-----w C:\Program Files\Raccourcis de programmes
2008-06-04 05:36 --------- d-----w C:\Program Files\Services en ligne
2008-06-04 05:36 --------- d-----w C:\Program Files\microsoft frontpage
.

((((((((((((((((((((((((((((( snapshot@2008-07-14_13.44.23.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-14 11:40:33 16,384 ------w C:\Windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-14 11:50:50 16,384 ------w C:\Windows\system32\config\systemprofile\Cookies\index.dat
- 2008-07-14 11:40:33 32,768 ------w C:\Windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-07-14 11:50:50 32,768 ------w C:\Windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-07-14 11:40:33 32,768 ------w C:\Windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-14 11:50:50 32,768 ------w C:\Windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-07-14 08:49 2610744]
"PROMon.exe"="PROMon.exe" [2002-03-25 11:36 73728 C:\WINDOWS\system32\PROMon.exe]
"Windows Servicepacket"="winsp3.exe" [2008-07-11 09:32 328704 C:\WINDOWS\system32\winsp3.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Servicepacket"="winsp3.exe" [2008-07-11 09:32 328704 C:\WINDOWS\system32\winsp3.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\Windows\System32\CTFMON.EXE" [2001-08-23 17:47 13312]

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=C:\Windows\pss\OpenOffice.org 2.4.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^Suppr.bat]
path=C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Suppr.bat
backup=C:\Windows\pss\Suppr.batStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\Windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\Windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ChkAdmin]
--a------ 2002-01-24 18:03 81920 C:\PROGRA~1\COMPAQ\COMPAQ~1\Chkadmin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CPQEASYACC]
--a------ 2001-12-14 15:01 32768 C:\Program Files\COMPAQ\Easy Access Button Support\STARTEAK.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2002-04-24 15:20 106496 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2002-08-30 03:32 188416 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2002-04-24 15:28 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
-ra------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
--a------ 2002-01-30 18:01 81920 C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Servicepacket]
-r-hs---- 2008-07-11 09:32 328704 C:\WINDOWS\system32\winsp3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WIN32SL"=2 (0x2)
"rpcapd"=3 (0x3)
"cpqWebDmi"=2 (0x2)
"cpqdmi"=2 (0x2)
"CpqDfwWebAgent"=2 (0x2)
"CPQALERT"=2 (0x2)
"AClient"=2 (0x2)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~€‚ƒ„…†‡ˆ‰Š‹ŒŽ‘’“”•–—˜™Š›ŒŽŸ ¡¢£¤¥¦§¨©ª«¬­®¯Äü"=
"%windir%\\system32\\wbtserv.exe"=

R1 aswSP;avast! Self Protection;C:\Windows\System32\drivers\aswSP.sys [2008-05-16 01:20]
R1 ClntMgmt;Compaq Client Management Driver;C:\Windows\System32\Drivers\ClntMgmt.sys [2002-01-16 14:48]
S2 ousbehci;%OWC_USBEHCD.DeviceDesc%;C:\Windows\System32\Drivers\ousbehci.sys [2002-03-01 14:22]
S3 usbscan;Pilote de scanneur USB;C:\Windows\System32\DRIVERS\usbscan.sys [2001-08-17 21:53]
S3 USBSTOR;Pilote de stockage de masse USB;C:\Windows\System32\DRIVERS\USBSTOR.SYS [2001-08-17 22:03]
S4 CpqDfwWebAgent;Compaq Remote Diagnostics Enabling Agent;C:\Windows\Cpqdiag\Cpqdfwag.exe [2001-10-25 17:56]
S4 cpqWebDmi;Compaq DMI Web Agent;C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe [2002-01-24 18:09]

*Newly Created Service* - CATCHME
*Newly Created Service* - NMSCFG
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-14 13:53:07
Windows 5.1.2600 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-14 13:54:59
ComboFix-quarantined-files.txt 2008-07-14 11:54:44
ComboFix2.txt 2008-07-14 11:45:51

Pre-Run: 69,017,296,896 octets libres
Post-Run: 69,007,052,800 octets libres

194
0
Réponse 4 / 4
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.
_______________

Téléchargez ceci (de gchris) : http://gchrisftp.free.fr/divers/Ad-Fix/Ad-Fix.zip
Dézippez-le sur votre bureau (clic droit -> extraire tout).
Vérifiez que vous êtes bien connecté à internet.
Dans le dossier créé, double-cliquez sur le fichier "Ad-Fix.bat" ou "Ad-fix"
Choisissez l'option 1.
Si vous avez un message de votre pare-feu qui vous demande si vous voulez autoriser le fichier URL2FILE.EXE à
se connecter à Internet, Autorisez, c'est nécessaire à ad-fix pour vérifier la version.
Quand c'est finit (cela peut prendre plusieurs minutes), un rapport s'ouvre avec le bloc-notes.
Merci de faire un copier/coller ici du contenu du rapport (Ad-Fix.txt)
0

Discussions similaires

PB retour sur site marchand après validation du paiement
fanny -
Sylviane17 -

3 réponses
Retour à la ligne tchat.
sartorius1108 -
momolapince -

5 réponses
Retour en arrière avec Pages sur Mac ?
alex 2510 -
emma.plv -

13 réponses
Comment faire un retour à la ligne automatique d'un texte long en php ou sql?
Mash10 -
jordane45 -

2 réponses
Aller à la ligne lors de la rédaction d'un message
fididicccm -
fididicccm -

2 réponses