Rapport de Spybot ou de hijackthis ??

banlieue 95 Messages postés 508 Statut Membre -  
ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,

J'ai un pc qui plante tros beuacoup tros alors j'ai demander de l'aide on m'a dit que c la pourssiére
j'ai nettoyer tt la tour et aucun résultat alors on m'a dit que c'est un pb de hard j'ai pas
d'autre que de mon pc c'est tous ce que j'ai essayer
Tester la mémoire vive barret par barret
toujours rien j'ai pas changer la carte g ou la carte m et le Cpu ou rien d'autre mais j'ai tester si les vontilo de gpu et de cpu tournent bien finalement ils tournenet nickel !finalement on m'a dit que c'est un programe mallveillent qui m'a infécter j'ai tout analysé avec kaspersky 2009 anti-virus rien trouver mais en revanche avec Spybot j'ai trouver un torjan et je pense que c'est lui le probléme parceque il se situe dans le system .

Je pense que c'est le probléme et j'ai eu des rapport de l'anti-spyware (spybot) a la fin d'analyse et on m'dit que il faut les donner a quelqun qui connais bien en les postent des le forum de sécurité mais avant je veut savoir quel est l'intéréssant le rapport de spybot ou de hijackthis ou les deux ??

MERCI D'AVENCE A TOUS QUI ESSAYRONT DE M'AIDER SA SERAI SUPER SYMPA DE LEUR PART ET ENCOR MERCI BEAUCOUP D'AVENCE @+
Configuration: Windows Vista
Opera 9.50

56 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des plantages répétés d'un PC amènent à suspecter une infection par un logiciel malveillant, malgré des tests matériels et de mémoire qui reviennent normaux et des vérifications des composants effectuées. Des analyses avec Spybot repèrent un trojan dans le système et conduisent à tester Malwarebytes, puis ComboFix, afin de supprimer les éléments persistants comme nobicyt.exe et le fichier comsa32.sys. En cas d'infection, les rapports générés par ces outils guident les utilisateurs à partager des extraits techniques et à suivre des tutoriels détaillés pour nettoyer le système. L'analyse mentionne des éléments persistants comme nobicyt.exe et comsa32.sys, indiquant une infection persistante qui peut nécessiter des nettoyages en mode sans échec et des outils spécialisés pour une suppression complète.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. banlieue 95 Messages postés 508 Statut Membre 31
     
    C bon ou c grave ??
    1
  2. banlieue 95 Messages postés 508 Statut Membre 31
     
    donc c trés grave merci je vais déco tt suit
    1
  3. banlieue 95 Messages postés 508 Statut Membre 31
     
    voila ce que le bloc note a poster dit c aussi grave ! c quoi comme infection je comprend rien

    Clean Navipromo version 3.6.0 commencé le 13/07/2008 à 22:13:05,16

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "Ibrahim"

    Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO

    Microsoft Windows Vista 6.0.6001
    Internet Explorer : 7.0.6001.18000
    Système de fichiers : NTFS

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Nettoyage exécuté au redémarrage de l'ordinateur

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\Windows\System32" *

    * Suppression dans "C:\Users\Ibrahim\AppData\Local\Microsoft" *

    * Suppression dans "C:\Users\Ibrahim\AppData\Local" *

    *** Suppression dossiers dans "C:\Windows" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    *** Suppression dossiers dans "C:\ProgramData" ***

    *** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Suppression dossiers dans c:\users\ibrahim\appdata\roaming\micros~1\windows\startm~1\programs ***

    *** Suppression dossiers dans "C:\Users\Ibrahim\AppData\Local\virtualstore\Program Files" ***

    *** Suppression dossiers dans "C:\Users\Ibrahim\AppData\Roaming" ***

    *** Suppression fichiers ***

    C:\Windows\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\Windows\Temp effectué !
    Nettoyage contenu C:\Users\Ibrahim\AppData\Local\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\Windows\system32" *

    * Dans "C:\Users\Ibrahim\AppData\Local\Microsoft" *

    * Dans "C:\Users\Ibrahim\AppData\Local" *

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !
    Certificat Electronic-Group supprimé !
    Certificat OOO-Favorit supprimé !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Nettoyage terminé le 13/07/2008 à 22:18:22,46 ***
    1
  4. banlieue 95 Messages postés 508 Statut Membre 31
     
    HELP PLZ :(
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. banlieue 95 Messages postés 508 Statut Membre 31
     
    J'attend aide moi stp stp stp
    1
  7. banlieue 95 Messages postés 508 Statut Membre 31
     
    AIDE MOI POURQUOI TU FAIT CA C EXPRE ??
    1
  8. totobetourne Messages postés 5677 Statut Membre 65
     
    c est bon . il a supprime de l infection.

    fais cela en complement
    Telecharges malwares bytes anti malwares :

    Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
    fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

    garde le et lance un scan tout les mois comme indique.
    1
  9. banlieue 95 Messages postés 508 Statut Membre 31
     
    Bonjour ca été grave ce qu'il a trouver ?? c t quoi comme infection ???et c'est elle qui causse le plantage ??
    1
    1. libellule210266 Messages postés 248 Statut Membre 8
       
      moi si jetais toi banlieue a lavenir je ferais attention aux sites sur lequels je vais afin de ne pas avoir de nouveaux soucis

      je pense que ton pc a accumulé des tas de saloperies qui ont ete supprimées, normalement il ne devrait plus planter

      logiqut avec tous les logs de surveillance et de nettoyage que tu as tu ne risque plus grand choses mais fait attn à ce que les mises a jour se fassent bien.

      bonne journée,
      libellule
      0
  10. banlieue 95 Messages postés 508 Statut Membre 31
     
    merci libelllule . ^^

    Pour toi totobetourne ton anti-malware est super merci beaucoup il a trouver 17 salope malware !!!!!!!!!

    voila le rapport :

    Malwarebytes' Anti-Malware 1.20
    Version de la base de données: 948
    Windows 6.0.6001 Service Pack 1

    07:19:46 14/07/2008
    mbam-log-7-14-2008 (07-19-46).txt

    Type de recherche: Examen complet (A:\|C:\|D:\|F:\|)
    Eléments examinés: 96566
    Temps écoulé: 19 minute(s), 48 second(s)

    Processus mémoire infecté(s): 4
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 8
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    C:\Windows\System32\afinding.exe (Trojan.Agent) -> Unloaded process successfully.
    C:\Windows\System32\wserving.exe (Trojan.Agent) -> Unloaded process successfully.
    C:\Windows\System32\routing.exe (Trojan.Agent) -> Unloaded process successfully.
    C:\Windows\System32\perfs.exe (Trojan.Downloader) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFinding (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Routing (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WServing (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\afinding (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wserving (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\routing (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\perfmons (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\perfmons (Trojan.Downloader) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\System32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Windows\System32\afinding.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Windows\System32\wserving.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Windows\System32\routing.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Windows\System32\perfs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    1
  11. libellule210266 Messages postés 248 Statut Membre 8
     
    MP..
    1
  12. totobetourne Messages postés 5677 Statut Membre 65
     
    refais un hijack pour que l on voit si c est bon.
    1
  13. banlieue 95 Messages postés 508 Statut Membre 31
     
    ca plante toujours :'( je vais refair un scan ac avast ! et un avec spybot et un avec anti-malware et ensuit un avec navilog01 et en fain un rapport avec jack this
    1
  14. banlieue 95 Messages postés 508 Statut Membre 31
     
    voila le rapport avec jackthis mais ca plante encore et plus vite que avant

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 09:23:59, on 14/07/2008
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18000)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\ZSSnp211.exe
    C:\Windows\Domino.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Windows\SYSTEM32\taskeng.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Opera\opera.exe
    C:\Users\Ibrahim\Downloads\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [ZSSnp211] C:\Windows\ZSSnp211.exe
    O4 - HKLM\..\Run: [Domino] C:\Windows\Domino.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\adob\reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EB79C95E-617F-49F7-AB43-198F5DD24563}: NameServer = 41.221.20.4 208.67.222.222
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\Windows\system32\Nobicyt.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    1
  15. totobetourne Messages postés 5677 Statut Membre 65
     
    avant , repond moi. malwarebyte tu l as effectue en mode normal ou en sans echec?

    il reste toujours une ligne qui doit etre infecte c est celle la
    O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\Windows\system32\Nobicyt.exe

    on va essayer de l enlever avec cet outil

    pour voir télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    1
  16. banlieue 95 Messages postés 508 Statut Membre 31
     
    j'ai analyser en mode normale (mode echéc)
    1
  17. totobetourne Messages postés 5677 Statut Membre 65
     
    le mode normal ce n est pas le mode sans echec.il y a confusion.
    ex en mode sans echec tu ne peux aller sur internet ou autres.lorsque tu m ecris tu es en mode normal.
    1
  18. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonjour
    les 023 ne s'enlève pas comme ça

    fait: Démarrer > Exécuter > tape cmd > Clique sur Ok

    - Dans la fenêtre DOS, tape la ligne suivante, en validant avec [Entrée] :

    sc stop NOBICYT [Entrée]

    sc delete NOBICYT [Entrée]

    Ensuite fait: Démarrer > Rechercher > Des fichiers ou des dossiers...
    recherche ce fichier et supprime.

    C:\Windows\system32\Nobicyt.exe <= celui qui est en gras

    @+
    1
  19. banlieue 95 Messages postés 508 Statut Membre 31
     
    oui j'ai dit en mode normale (MODE ECHEC)

    voila le rapport le pc n'a pas redémarer j'ai tout fait comme tu m'a dit déactiver les anti-logiciel mallveillents et se déconnecter et fermer tous le fênetres aprés l'analyse voici le rapport

    ComboFix 08-07-13.9 - Ibrahim 2008-07-14 9:52:48.1 - NTFSx86
    Microsoft® Windows Vista™ Édition Intégrale 6.0.6001.1.1252.1.1036.18.1368 [GMT 1:00]
    Endroit: C:\Users\Ibrahim\Downloads\ComboFix.exe
    * Création d'un nouveau point de restauration
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Windows\system32\comsa32.sys

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-14 to 2008-07-14 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-14 08:24 . 2008-07-14 08:24 <REP> d-------- C:\Program Files\Alwil Software
    2008-07-14 08:24 . 2003-03-18 22:20 1,060,864 --a------ C:\Windows\System32\MFC71.dll
    2008-07-14 08:24 . 2003-03-18 21:14 499,712 --a------ C:\Windows\System32\MSVCP71.dll
    2008-07-14 08:24 . 2003-02-21 05:42 348,160 --a------ C:\Windows\System32\MSVCR71.dll
    2008-07-14 08:24 . 2008-05-16 00:18 50,768 --a------ C:\Windows\System32\drivers\aswMonFlt.sys
    2008-07-14 07:27 . 2008-07-14 07:27 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-07-14 06:55 . 2008-07-14 06:55 <REP> d-------- C:\Users\Ibrahim\AppData\Roaming\Malwarebytes
    2008-07-14 06:55 . 2008-07-14 06:55 <REP> d-------- C:\Users\All Users\Malwarebytes
    2008-07-14 06:55 . 2008-07-14 06:55 <REP> d-------- C:\ProgramData\Malwarebytes
    2008-07-14 06:55 . 2008-07-14 06:55 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-07-14 06:55 . 2008-07-07 17:35 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys
    2008-07-14 06:55 . 2008-07-07 17:35 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
    2008-07-13 20:30 . 2008-07-13 23:12 <REP> d-------- C:\Program Files\Navilog1
    2008-07-13 18:24 . 2008-07-14 08:40 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy
    2008-07-13 18:24 . 2008-07-14 08:40 <REP> d-------- C:\ProgramData\Spybot - Search & Destroy
    2008-07-13 17:51 . 2008-07-13 17:51 <REP> d-------- C:\Program Files\Opera
    2008-07-13 17:22 . 2008-07-13 17:22 <REP> d-------- C:\Users\All Users\Kaspersky Lab Setup Files
    2008-07-13 17:22 . 2008-07-13 17:22 <REP> d-------- C:\ProgramData\Kaspersky Lab Setup Files
    2008-07-13 14:38 . 2008-07-13 14:38 <REP> d-------- C:\Users\Ibrahim\AppData\Roaming\DAEMON Tools
    2008-07-13 07:57 . 2008-07-13 14:38 717,296 --a------ C:\Windows\System32\drivers\sptd.sys
    2008-07-11 17:07 . 2008-07-11 17:07 <REP> d-------- C:\Program Files\MSXML 4.0
    2008-07-11 15:07 . 2008-06-26 02:45 12,240,896 --a------ C:\Windows\System32\NlsLexicons0007.dll
    2008-07-11 15:07 . 2008-06-26 02:45 2,644,480 --a------ C:\Windows\System32\NlsLexicons0009.dll
    2008-07-11 15:07 . 2008-06-26 04:29 801,280 --a------ C:\Windows\System32\NaturalLanguage6.dll
    2008-07-10 09:57 . 2008-07-10 09:58 <REP> d-------- C:\Users\All Users\Google
    2008-07-10 09:57 . 2008-07-13 17:47 <REP> d-------- C:\Program Files\Common Files\Real
    2008-07-09 19:57 . 2008-07-09 20:33 <REP> d-------- C:\Users\Ibrahim\AppData\Roaming\Ahead
    2008-07-09 19:47 . 2008-07-10 10:31 <REP> d-------- C:\Program Files\Common Files\Ahead
    2008-07-09 09:48 . 2008-04-26 09:25 3,600,952 --a------ C:\Windows\System32\ntkrnlpa.exe
    2008-07-09 09:48 . 2008-04-26 09:25 3,549,240 --a------ C:\Windows\System32\ntoskrnl.exe
    2008-07-09 09:48 . 2008-04-26 09:26 891,448 --a------ C:\Windows\System32\drivers\tcpip.sys
    2008-07-09 09:48 . 2008-04-12 04:32 784,896 --a------ C:\Windows\System32\rpcrt4.dll
    2008-07-09 09:48 . 2008-05-10 04:35 564,736 --a------ C:\Windows\System32\emdmgmt.dll
    2008-07-09 09:48 . 2008-04-05 02:21 72,192 --a------ C:\Windows\System32\drivers\pacer.sys
    2008-07-09 09:48 . 2008-04-05 04:34 15,360 --a------ C:\Windows\System32\pacerprf.dll
    2008-07-09 09:18 . 2008-05-08 22:59 430,080 --a------ C:\Windows\System32\vbscript.dll
    2008-07-09 09:18 . 2008-05-08 22:59 180,224 --a------ C:\Windows\System32\scrobj.dll
    2008-07-09 09:18 . 2008-05-08 22:59 172,032 --a------ C:\Windows\System32\scrrun.dll
    2008-07-09 09:18 . 2008-05-08 22:59 155,648 --a------ C:\Windows\System32\wscript.exe
    2008-07-09 09:18 . 2008-05-08 22:58 135,168 --a------ C:\Windows\System32\wshom.ocx
    2008-07-09 09:18 . 2008-05-08 22:58 135,168 --a------ C:\Windows\System32\cscript.exe
    2008-07-09 09:18 . 2008-05-08 22:59 90,112 --a------ C:\Windows\System32\wshext.dll
    2008-07-08 15:11 . 2008-07-08 15:11 <REP> d-------- C:\Program Files\Microsoft Works
    2008-07-08 15:09 . 2008-07-08 15:09 <REP> d-------- C:\Program Files\Microsoft.NET
    2008-07-08 15:06 . 2008-07-08 15:06 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8
    2008-07-08 15:05 . 2008-07-09 13:58 <REP> d-------- C:\Users\All Users\Microsoft Help
    2008-07-08 15:05 . 2008-07-09 13:58 <REP> d-------- C:\ProgramData\Microsoft Help
    2008-07-08 15:02 . 2008-07-08 15:02 <REP> dr-h----- C:\MSOCache
    2008-07-08 12:51 . 2007-03-24 02:59 171,136 -rahs---- C:\grldr
    2008-07-08 12:19 . 2008-07-08 12:51 <REP> d--hs---- C:\Boot
    2008-07-07 19:32 . 2008-07-07 19:32 0 --a------ C:\Windows\System32\SBRC.dat
    2008-07-07 19:32 . 2008-07-07 19:32 0 --a------ C:\Windows\System32\SBFC.dat
    2008-07-07 18:09 . 2008-07-07 18:09 <REP> d-------- C:\Users\Ibrahim\AppData\Roaming\Sunbelt Software
    2008-07-07 16:24 . 2008-07-07 16:24 <REP> d-------- C:\Users\All Users\Grisoft
    2008-07-07 16:24 . 2008-07-07 16:24 <REP> d-------- C:\ProgramData\Grisoft
    2008-07-07 11:35 . 2008-07-14 08:26 1,971,232 --ahs---- C:\Windows\System32\drivers\fidbox.dat
    2008-07-07 11:35 . 2008-07-14 08:26 352,288 --ahs---- C:\Windows\System32\drivers\fidbox2.dat
    2008-07-07 11:35 . 2008-07-14 08:26 21,720 --ahs---- C:\Windows\System32\drivers\fidbox.idx
    2008-07-07 11:35 . 2008-07-14 08:26 5,428 --ahs---- C:\Windows\System32\drivers\fidbox2.idx
    2008-07-06 20:52 . 2008-07-06 20:52 <REP> d-------- C:\Program Files\CCleaner
    2008-07-05 19:11 . 2008-07-08 12:38 1,887 --a------ C:\Windows\diagwrn.xml
    2008-07-05 19:11 . 2008-07-08 12:38 1,887 --a------ C:\Windows\diagerr.xml
    2008-07-03 11:52 . 2008-07-07 11:40 <REP> d-------- C:\Users\All Users\Avira
    2008-07-03 11:52 . 2008-07-07 11:40 <REP> d-------- C:\ProgramData\Avira
    2008-07-02 13:58 . 2008-07-11 17:01 45 --a------ C:\Windows\System32\initdebug.nfo
    2008-07-02 12:26 . 2008-04-23 05:42 428,544 --a------ C:\Windows\System32\EncDec.dll
    2008-07-02 12:26 . 2008-04-23 05:42 293,376 --a------ C:\Windows\System32\psisdecd.dll
    2008-07-02 12:26 . 2008-04-23 05:41 218,624 --a------ C:\Windows\System32\psisrndr.ax
    2008-07-02 12:26 . 2008-04-23 05:41 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
    2008-07-02 11:23 . 2008-03-08 03:08 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
    2008-07-02 11:23 . 2008-03-08 05:21 1,695,744 --a------ C:\Windows\System32\gameux.dll
    2008-07-02 10:04 . 2008-06-11 14:48 188,960 --a------ C:\Windows\System32\nvapps.xml
    2008-07-02 09:08 . 2008-07-02 15:12 <REP> d-------- C:\Program Files\Common Files\Adobe
    2008-07-02 08:35 . 2008-02-29 08:11 988,216 --a------ C:\Windows\System32\winload.exe
    2008-07-02 08:35 . 2008-02-29 08:11 927,288 --a------ C:\Windows\System32\winresume.exe
    2008-07-02 08:35 . 2008-02-22 06:05 615,992 --a------ C:\Windows\System32\ci.dll
    2008-07-02 08:35 . 2008-02-29 07:53 378,368 --a------ C:\Windows\System32\srcore.dll
    2008-07-02 08:35 . 2008-02-29 05:12 318,464 --a------ C:\Windows\System32\rstrui.exe
    2008-07-02 08:35 . 2008-02-29 07:53 46,592 --a------ C:\Windows\System32\setbcdlocale.dll
    2008-07-02 08:35 . 2008-02-29 07:53 40,960 --a------ C:\Windows\System32\srclient.dll
    2008-07-02 08:35 . 2008-02-29 08:14 19,000 --a------ C:\Windows\System32\kd1394.dll
    2008-07-02 08:35 . 2008-02-29 05:12 14,848 --a------ C:\Windows\System32\srdelayed.exe
    2008-07-02 08:35 . 2008-02-29 07:35 6,656 --a------ C:\Windows\System32\kbd106n.dll
    2008-07-02 08:27 . 2008-07-02 08:27 <REP> d-------- C:\Windows\PCHEALTH
    2008-07-01 23:16 . 2008-07-06 08:11 <REP> d-------- C:\Windows\System32\Macromed
    2008-07-01 22:00 . 2008-07-02 10:48 <REP> d-------- C:\Program Files\Common Files\Panda Software
    2008-07-01 21:32 . 2008-04-25 03:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
    2008-07-01 21:32 . 2008-04-25 05:35 826,880 --a------ C:\Windows\System32\wininet.dll
    2008-07-01 21:14 . 2008-07-11 09:39 <REP> d-------- C:\Program Files\Common Files\Blizzard Entertainment
    2008-07-01 21:05 . 2008-07-13 22:30 <REP> d-------- C:\Users\All Users\Google Updater
    2008-07-01 21:05 . 2008-07-13 22:30 <REP> d-------- C:\ProgramData\Google Updater
    2008-07-01 21:05 . 2008-07-12 08:39 <REP> d-------- C:\Program Files\Google
    2008-07-01 21:04 . 2008-07-06 13:29 <REP> d-------- C:\Windows\System32\athan
    2008-07-01 21:04 . 2008-07-07 09:17 <REP> d-------- C:\Program Files\Athan
    2008-07-01 21:04 . 2008-07-06 13:29 737,280 --a------ C:\Windows\iun6002.exe
    2008-07-01 21:03 . 2008-07-02 15:12 <REP> d-------- C:\Users\All Users\Adobe
    2008-07-01 20:40 . 2008-07-13 23:31 558 --a------ C:\Windows\DFC.INI
    2008-07-01 20:39 . 2008-07-01 20:39 <REP> d-------- C:\Users\All Users\sentinel
    2008-07-01 20:39 . 2008-07-01 20:39 <REP> d-------- C:\ProgramData\sentinel
    2008-07-01 20:26 . 2008-02-22 05:57 295,936 --a------ C:\Windows\System32\gdi32.dll
    2008-07-01 20:25 . 2008-05-10 02:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
    2008-07-01 20:24 . 2008-04-26 09:08 1,314,816 --a------ C:\Windows\System32\quartz.dll
    2008-07-01 19:56 . 2008-07-01 19:56 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
    2008-07-01 19:55 . 2008-07-02 08:27 <REP> d--hs---- C:\Program Files\Common Files\WindowsLiveInstaller
    2008-07-01 19:54 . 2008-07-14 08:06 <REP> d--hs---- C:\Windows\Installer
    2008-07-01 19:54 . 2008-07-02 08:22 <REP> d-------- C:\Users\All Users\WLInstaller
    2008-07-01 19:54 . 2008-07-02 08:22 <REP> d-------- C:\ProgramData\WLInstaller
    2008-07-01 19:54 . 2008-07-02 08:27 <REP> d-------- C:\Program Files\Windows Live
    2008-07-01 19:44 . 2008-02-29 05:21 2,032,128 --a------ C:\Windows\System32\win32k.sys
    2008-07-01 19:29 . 2004-11-11 12:28 18,004 --a------ C:\Windows\System32\drivers\slnt.sys
    2008-07-01 19:11 . 2008-07-02 10:49 <REP> d-------- C:\Users\All Users\NVIDIA
    2008-07-01 19:11 . 2008-07-02 10:49 <REP> d-------- C:\ProgramData\NVIDIA
    2008-07-01 19:09 . 2008-05-16 14:01 1,079,840 --a------ C:\Windows\System32\nvcpluir.dll
    2008-07-01 19:09 . 2008-05-16 14:01 768,544 --a------ C:\Windows\System32\nvcplui.exe
    2008-07-01 19:09 . 2008-05-16 14:01 420,384 --a------ C:\Windows\System32\nvcpl.cpl
    2008-07-01 19:09 . 2008-05-16 14:01 313,888 --a------ C:\Windows\System32\nvexpbar.dll
    2008-07-01 19:08 . 2008-07-01 19:08 <REP> d-------- C:\Program Files\XpertVision
    2008-07-01 19:08 . 2008-05-16 11:48 446,464 --a------ C:\Windows\System32\NVUNINST.EXE
    2008-07-01 19:08 . 2007-03-16 09:11 12,256 --a------ C:\Windows\System32\drivers\TBPanel.sys
    2008-07-01 19:00 . 2008-07-01 19:00 <REP> d-------- C:\Program Files\Vimicro
    2008-07-01 18:46 . 2008-07-01 18:46 <REP> d-------- C:\Program Files\Realtek
    2008-07-01 18:46 . 2007-01-12 09:54 520,192 -r------- C:\Windows\RtlExUpd.dll
    2008-07-01 18:46 . 2008-07-01 18:46 319,456 --a------ C:\Windows\DIFxAPI.dll
    2008-07-01 18:46 . 2008-07-01 18:46 315,392 --a------ C:\Windows\HideWin.exe
    2008-07-01 18:38 . 2006-11-16 22:40 18,804,736 -r------- C:\Windows\System32\alsndmgr.cpl

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-09 12:55 --------- d-----w C:\Program Files\Windows Mail
    2008-07-08 14:10 --------- d-----w C:\Program Files\MSBuild
    2008-07-01 16:15 --------- d-sh--w C:\ProgramData\Modèles
    2008-07-01 16:15 --------- d-sh--w C:\ProgramData\Menu Démarrer
    2008-07-01 16:15 --------- d-sh--w C:\ProgramData\Favoris
    2008-07-01 16:15 --------- d-sh--w C:\ProgramData\Bureau
    2008-07-01 16:15 --------- d-sh--w C:\Program Files\Fichiers communs
    2008-05-30 12:19 507,400 ----a-w C:\Windows\System32\XAudio2_1.dll
    2008-05-30 12:18 238,088 ----a-w C:\Windows\System32\xactengine3_1.dll
    2008-05-30 12:17 65,032 ----a-w C:\Windows\System32\XAPOFX1_0.dll
    2008-05-30 12:17 25,608 ----a-w C:\Windows\System32\X3DAudio1_4.dll
    2008-05-30 12:11 467,984 ----a-w C:\Windows\System32\d3dx10_38.dll
    2008-05-30 12:11 3,850,760 ----a-w C:\Windows\System32\D3DX9_38.dll
    2008-05-30 12:11 1,491,992 ----a-w C:\Windows\System32\D3DCompiler_38.dll
    2008-02-22 20:28 174 --sha-w C:\Program Files\desktop.ini
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]
    "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-01 21:05 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ZSSnp211"="C:\Windows\ZSSnp211.exe" [2006-08-19 10:37 49152]
    "Domino"="C:\Windows\Domino.exe" [2006-08-18 15:58 49152]
    "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-05-16 14:01 13535776]
    "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-05-16 14:01 92704]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 00:19 79224]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gainward]
    --a------ 2007-10-02 11:18 2165256 C:\Program Files\XpertVision\TBPANEL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    --a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    --a------ 2008-07-01 21:05 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
    "TCP Query User{70FA581D-CF67-4CC1-B11E-56C0BE6BAC0C}C:\\program files\\bitcomet\\bitcomet.exe"= UDP:C:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
    "UDP Query User{29BB12A9-C4E9-4202-9B24-C2266B00C883}C:\\program files\\bitcomet\\bitcomet.exe"= TCP:C:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
    "{AE85E406-B90A-4353-8BC1-77BCC1BA24C8}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
    "TCP Query User{2D31F748-C6E9-4ABD-A620-E24DCD921648}C:\\program files\\kaspersky 8\\setup.exe"= UDP:C:\program files\kaspersky 8\setup.exe:Programme d'installation de Kaspersky Internet Security 2009
    "UDP Query User{FA3417F5-B91F-4EF1-AF33-0D6EA02B9A70}C:\\program files\\kaspersky 8\\setup.exe"= TCP:C:\program files\kaspersky 8\setup.exe:Programme d'installation de Kaspersky Internet Security 2009
    "{2629E166-4918-432B-909E-C5001DBCF062}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
    "{7F8E3642-4EAB-4328-A0BF-25D2A6E543C2}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
    "TCP Query User{F624C279-A8FF-4D54-982A-DFC0B34F8628}D:\\world of warcraft\\repair.exe"= UDP:D:\world of warcraft\repair.exe:Blizzard Repair Utility
    "UDP Query User{C22AA3F4-7D11-4047-829E-4D3F0004C047}D:\\world of warcraft\\repair.exe"= TCP:D:\world of warcraft\repair.exe:Blizzard Repair Utility
    "TCP Query User{F34BDD4D-38C6-46A4-A801-585F11A8702B}D:\\world of warcraft\\wow-2.4.2-frfr-downloader.exe"= UDP:D:\world of warcraft\wow-2.4.2-frfr-downloader.exe:Blizzard Downloader
    "UDP Query User{3F4B8FD4-205F-47BB-9652-414A3F401E45}D:\\world of warcraft\\wow-2.4.2-frfr-downloader.exe"= TCP:D:\world of warcraft\wow-2.4.2-frfr-downloader.exe:Blizzard Downloader
    "TCP Query User{A562819B-E180-462B-AAF4-C83ADE35D0E8}C:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\french\\setup.exe"= UDP:C:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\french\setup.exe:Programme d'installation de Kaspersky Internet Security 7.0
    "UDP Query User{6D8B4A32-7733-4CC2-9317-5D15F4744E34}C:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\french\\setup.exe"= TCP:C:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\french\setup.exe:Programme d'installation de Kaspersky Internet Security 7.0

    R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-05-16 00:20]
    R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-05-16 00:16]
    R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-05-16 00:18]
    R2 NOBICYT;NOBICYT Service;C:\Windows\system32\Nobicyt.exe [2006-11-02 10:46]
    R3 slnt;Realtek Rtl-8139d PCI Fast Ethernet Adapter;C:\Windows\system32\DRIVERS\slnt.sys [2004-11-11 12:28]
    S3 Ph3xIB32;Philips 713x Inbox PCI TV Card;C:\Windows\system32\DRIVERS\Ph3xIB32.sys [2006-11-02 09:27]

    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-Adobe Reader Speed Launcher - D:\adob\reader 8.0\Reader\Reader_sl.exe
    MSConfigStartUp-AlcoholAutomount - C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe
    MSConfigStartUp-DAEMON Tools Lite - C:\Program Files\DAEMON Tools Lite\daemon.exe

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-14 09:56:46
    Windows 6.0.6001 Service Pack 1 NTFS

    Balayage processus cachés ...

    ¿ÿß÷üýqï¿ýçöïz)ï [-8429569] 0x85C70001
    ¿ÿß÷üýqï¿ýçöïz)ï [-8429569] 0x00E47D83
    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-14 9:58:36
    ComboFix-quarantined-files.txt 2008-07-14 08:58:29

    Pre-Run: 24,787,279,872 octets libres
    Post-Run: 24,535,953,408 octets libres

    220 --- E O F --- 2008-07-12 15:46:43
    1
  20. totobetourne Messages postés 5677 Statut Membre 65
     
    fait comme indique au message 37.le fichier comsa .sys reapparait , il devait etre eliminer avec malwarebyte .
    1
  21. banlieue 95 Messages postés 508 Statut Membre 31
     
    ok je vais fair un scan ac avast et un ac malware et un ac spybot pour tout enlever !!!
    1
  • 1
  • 2
  • 3