Sujet Précédent Sujet Suivant

Antispywareexpert, fausse alerte sécurité

Résolu
infected agent Messages postés 10 Statut Membre -  
infected agent Messages postés 10 Statut Membre -
Bonjour,

j'ai constaté hier la présence d'hotes indésirables sur mon micro, dont antispywareexpert et sans doute des adware (quelques pop-up). Impossible d'installer les logiciels de nettoyage souvent recommandés (petit sablier, puis plus rien), fenêtres intempestives me demandant (ben voyons!) d'acheter les supers antispyware qui tuent!
J'ai un rapport hijack, mais j'y comprend rien!
Que faire!
Merci de m'aider!

Inf Agt
A voir également:

51 réponses

Précédent
Réponse 21 / 51
Utilisateur anonyme
 
ça me dit queleques chose, pourquoi a quoi penses tu ?

en mp si tu veux

à+
0
Réponse 22 / 51
infected agent
 
Voici le rapport DSS :

Deckard's System Scanner v20071014.68
Run by IA on 2008-08-01 19:42:10
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]Total Physical Memory: 480 MiB (512 MiB recommended).[/color]

-- HijackThis (run as Pxxxx.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:20, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\STDSB.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Documents and Settings\Pedro\Application Data\U3\0DC0F86161D1BC4A\LaunchPad.exe
C:\Documents and Settings\Pedro\Bureau\dss.exe
C:\DOCUME~1\Pedro\MESDOC~1\AntiVIR\Pedro.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {28030FA8-2428-4DE6-B0F3-CE9494E1A412} - C:\WINDOWS\system32\awtuuUnk.dll
O2 - BHO: QXK Olive - {73DBA9DC-3633-4958-9034-01132EE94A9D} - C:\WINDOWS\nfavxwdbxgd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {70df87c9-e9f7-edc8-5c24-5916864f842d} - {d248f468-6195-42c5-8cde-7f9e9c78fd07} - C:\WINDOWS\system32\crcpgf.dll
O2 - BHO: (no name) - {E4A8A0EF-BD45-42F6-9C62-80B81005DD7C} - C:\WINDOWS\system32\nnnkIxxW.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [fc2a600c] rundll32.exe "C:\WINDOWS\system32\rjldawsl.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-kazemule-00\index.html (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://03sig.cm-silves.pt/gl_silves/mgaxctrl.cab
O16 - DPF: {B9907873-6560-4A36-B76B-9DADE84A7F55} (FnacmusicDnl.DnlManager) - https://www.fnacmusic.com/telechargementFnacmusic/FnacmusicDnl.CAB
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: awtuuUnk - C:\WINDOWS\SYSTEM32\awtuuUnk.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
0
Réponse 23 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Je regarde ça.

réponse vers 21 h.

A+
0
Réponse 24 / 51
infected agent
 
Hello,

je viens de voir au" chapitre files created between 01 juillet et 01 aout" qu'il y a des créations qui datent du 30 juillet vers 16h20, or c'est là que tout à commencé! J'essayais de télécharger un jeu et tout est partie en live! Je me souviens précisément de l'heure car je devais partir à 16h30 précise et cette idiotie s'est déclanchée 10 minutes avnt mon départ!!!

Est-ce une info utile?

A+

IA
0
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Oui, très utile.

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
On va essayer de réutiliser ComBofix, mais pas en mode sans échec.

1) Ouvre le bloc-notes et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.
Enregistre le fichier sur le bureau et nomme-le CFScript.txt.

File::
C:\WINDOWS\system32\rjldawsl.dll
C:\WINDOWS\system32\crcpgf.dll
C:\WINDOWS\system32\dcrvsmas.dll
C:\WINDOWS\system32\xfbyojkk.dll
C:\WINDOWS\system32\gcnmcb.dll
C:\WINDOWS\system32\aelqtvlh.dll
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\nrknmbvj.dll
C:\WINDOWS\system32\npwiiy.dll
C:\WINDOWS\system32\WxxIknnn.ini2
C:\WINDOWS\system32\nnnkIxxW.dll
C:\WINDOWS\wnslvxtf.dll
C:\WINDOWS\nfavxwdbxgd.dll
C:\WINDOWS\eqvwamkl.dll
C:\WINDOWS\system32\wvUoNGAr.dll
C:\WINDOWS\system32\awtuuUnk.dll
C:\WINDOWS\system32\SR2.dat
C:\WINDOWS\system32\crcpgf.dll
c:\windows\winlogon.exe

Folder::
C:\Program Files\Flop
C:\Program Files\XP SecurityCenter

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28030FA8-2428-4DE6-B0F3-CE9494E1A412}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d248f468-6195-42c5-8cde-7f9e9c78fd07}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E4A8A0EF-BD45-42F6-9C62-80B81005DD7C}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
"fc2a600c"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winlogon"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{28030FA8-2428-4DE6-B0F3-CE9494E1A412}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuuUnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=-

2) Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
Glisse/dépose le script sur ComBoFix.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Ton bureau va disparaître à plusieurs reprises. Normal.
L'ordinateur va redémarrer et un arrport sera crée.
tu enregistres le rapport et tu le postes avec un rapport Hijackthis.
Si tu ne le trouves pas, il est en C:\Combofix.txt.

A+
0
Réponse 26 / 51
infected agent
 
Le souci étant que combofix, que je viens de redéposer sur le bureau, ne s'ouvre désepérément pas!
0
Réponse 27 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
On passe à un autre outil :

Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
- Click sur Avenger.zip pour ouvrir le fichier
- Extraire avenger.exe sur le bureau

copie le texte ci-dessous dans la partie Input script here.

Files to delete:
C:\WINDOWS\system32\rjldawsl.dll
C:\WINDOWS\system32\nnnkIxxW.dll
C:\WINDOWS\system32\crcpgf.dll
C:\WINDOWS\nfavxwdbxgd.d
c:\windows\winlogon.exe
C:\WINDOWS\system32\awtuuUnk.dll
C:\WINDOWS\system32\wvUoNGAr.dll
C:\WINDOWS\eqvwamkl.dll
C:\WINDOWS\etbg.exe
C:\WINDOWS\grswptdl.exe
C:\WINDOWS\wnslvxtf.dll
C:\WINDOWS\system32\nnnkIxxW.dll
C:\WINDOWS\system32\WxxIknnn.ini2
C:\WINDOWS\system32\npwiiy.dll
C:\WINDOWS\system32\nrknmbvj.dll
C:\WINDOWS\system32\WinCtrl32.dll

Folders to delete:
C:\Program Files\Flop
C:\Program Files\XP SecurityCenter

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|fc2a600c
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify|WinCtrl32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify|awtuuUnk
HKEY_LOCAL_MACHINE\~\Browser Helper Objects|{28030FA8-2428-4DE6-B0F3-CE9494E1A412}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects|{d248f468-6195-42c5-8cde-7f9e9c78fd07}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects|{E4A8A0EF-BD45-42F6-9C62-80B81005DD7C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{28030FA8-2428-4DE6-B0F3-CE9494E1A412}
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa|Authentication Packages

Clique sur execute pour lancer l'outil.
L'outil va redémarrer automatiquement le système ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera le système 2 fois )
Tu verras apparaitre une fenêtre noire. c'est normal.

Après redémarrage, un rapport sera crée.
Si tu ne le trouves pas, il se trouve en C:\avenger.txt.

Une archive est crée également en C:\avenger\backup.zip.
0
Réponse 28 / 51
infected agent
 
Il semble que ça n'ai pas suffit. Voici le rapport (toujours cette fichue fausse icone windows sécurité dans la barre!):

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "clbdriver" found!
ImagePath: \??\globalroot\systemroot\system32\drivers\vmdesched.sys
Start Type: 1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\rjldawsl.dll" deleted successfully.
File "C:\WINDOWS\system32\nnnkIxxW.dll" deleted successfully.
File "C:\WINDOWS\system32\crcpgf.dll" deleted successfully.

Error: file "C:\WINDOWS\nfavxwdbxgd.d" not found!
Deletion of file "C:\WINDOWS\nfavxwdbxgd.d" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\winlogon.exe" not found!
Deletion of file "c:\windows\winlogon.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\awtuuUnk.dll" deleted successfully.
File "C:\WINDOWS\system32\wvUoNGAr.dll" deleted successfully.
File "C:\WINDOWS\eqvwamkl.dll" deleted successfully.
File "C:\WINDOWS\etbg.exe" deleted successfully.
File "C:\WINDOWS\grswptdl.exe" deleted successfully.
File "C:\WINDOWS\wnslvxtf.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\nnnkIxxW.dll" not found!
Deletion of file "C:\WINDOWS\system32\nnnkIxxW.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\WxxIknnn.ini2" deleted successfully.
File "C:\WINDOWS\system32\npwiiy.dll" deleted successfully.
File "C:\WINDOWS\system32\nrknmbvj.dll" deleted successfully.
File "C:\WINDOWS\system32\WinCtrl32.dll" deleted successfully.
Folder "C:\Program Files\Flop" deleted successfully.
Folder "C:\Program Files\XP SecurityCenter" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa|Authentication Packages" deleted successfully.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Abort!

Coriace le bougre!
0
Réponse 29 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
peux-tu reessayer maintenat ComBofix ?
pas la peine de le passer en mode sans échec.

A+
0
Réponse 30 / 51
infected agent
 
Salut,

cobofix ne marche toujours pas mais entre temps j'ai refait un scan DSS, voici le rapport:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:13, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\STDSB.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Documents and Settings\Pedro\Bureau\dss.exe
C:\DOCUME~1\Pedro\MESDOC~1\AntiVIR\Pedro.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {28030FA8-2428-4DE6-B0F3-CE9494E1A412} - C:\WINDOWS\system32\awtuuUnk.dll (file missing)
O2 - BHO: QXK Olive - {73DBA9DC-3633-4958-9034-01132EE94A9D} - C:\WINDOWS\nfavxwdbxgd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {70df87c9-e9f7-edc8-5c24-5916864f842d} - {d248f468-6195-42c5-8cde-7f9e9c78fd07} - C:\WINDOWS\system32\crcpgf.dll (file missing)
O2 - BHO: (no name) - {E4A8A0EF-BD45-42F6-9C62-80B81005DD7C} - C:\WINDOWS\system32\nnnkIxxW.dll (file missing)
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [fc2a600c] rundll32.exe "C:\WINDOWS\system32\rjldawsl.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-kazemule-00\index.html (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://03sig.cm-silves.pt/gl_silves/mgaxctrl.cab
O16 - DPF: {B9907873-6560-4A36-B76B-9DADE84A7F55} (FnacmusicDnl.DnlManager) - https://www.fnacmusic.com/telechargementFnacmusic/FnacmusicDnl.CAB
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: awtuuUnk - awtuuUnk.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
0
Réponse 31 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: (no name) - {28030FA8-2428-4DE6-B0F3-CE9494E1A412} - C:\WINDOWS\system32\awtuuUnk.dll (file missing)
O2 - BHO: {70df87c9-e9f7-edc8-5c24-5916864f842d} - {d248f468-6195-42c5-8cde-7f9e9c78fd07} - C:\WINDOWS\system32\crcpgf.dll (file missing)
O4 - HKLM\..\Run: [fc2a600c] rundll32.exe "C:\WINDOWS\system32\rjldawsl.dll",b
O20 - Winlogon Notify: awtuuUnk - awtuuUnk.dll (file missing)

Tu choisis l'option " Fixchecked" en bas de la page

2) Tu relances Avenger :
le texte à mettre dans la partie Input script here :

drivers to unload:
clb

files to delete:
C:\WINDOWS\nfavxwdbxgd.dll
c:\windows\winlogon.exe
C:\WINDOWS\system32\WinCtrl32.dll

Registry values to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects|{73DBA9DC-3633-4958-9034-01132EE94A9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run|winlogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify|WinCtrl32


Clique sur execute et poste le rapport.

A+
0
Réponse 32 / 51
infected agent
 
Salut,

voilà, tout semble rentrer dans l'ordre, en tout cas la fausse icone windows sécurité a enfin disparue!
Voici le rapport avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "clbdriver" found!
ImagePath: \??\globalroot\systemroot\system32\drivers\vmdesched.sys
Start Type: 1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\rjldawsl.dll" deleted successfully.
File "C:\WINDOWS\system32\nnnkIxxW.dll" deleted successfully.
File "C:\WINDOWS\system32\crcpgf.dll" deleted successfully.

Error: file "C:\WINDOWS\nfavxwdbxgd.d" not found!
Deletion of file "C:\WINDOWS\nfavxwdbxgd.d" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\winlogon.exe" not found!
Deletion of file "c:\windows\winlogon.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\awtuuUnk.dll" deleted successfully.
File "C:\WINDOWS\system32\wvUoNGAr.dll" deleted successfully.
File "C:\WINDOWS\eqvwamkl.dll" deleted successfully.
File "C:\WINDOWS\etbg.exe" deleted successfully.
File "C:\WINDOWS\grswptdl.exe" deleted successfully.
File "C:\WINDOWS\wnslvxtf.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\nnnkIxxW.dll" not found!
Deletion of file "C:\WINDOWS\system32\nnnkIxxW.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\WxxIknnn.ini2" deleted successfully.
File "C:\WINDOWS\system32\npwiiy.dll" deleted successfully.
File "C:\WINDOWS\system32\nrknmbvj.dll" deleted successfully.
File "C:\WINDOWS\system32\WinCtrl32.dll" deleted successfully.
Folder "C:\Program Files\Flop" deleted successfully.
Folder "C:\Program Files\XP SecurityCenter" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa|Authentication Packages" deleted successfully.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Abort!

Qu'en penses-tu? Clean ou pas tout ça?
0
Réponse 33 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.

C:\WINDOWS\system32\drivers\vmdesched.sys
C:\WINDOWS\system32\crcpgf.dll
C:\WINDOWS\system32\dcrvsmas.dll
C:\WINDOWS\system32\xfbyojkk.dll
C:\WINDOWS\system32\gcnmcb.dll
C:\WINDOWS\system32\aelqtvlh.dll
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\nfavxwdbxgd.dll
C:\WINDOWS\system32\SR2.dat
c:\windows\winlogon.exe

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

2) Ouvre le bloc-notes et copie le texte en citation.
Enregistre le sur le bureau et nomme le fix.txt

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{28030FA8-2428-4DE6-B0F3-CE9494E1A412}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28030FA8-2428-4DE6-B0F3-CE9494E1A412}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{73DBA9DC-3633-4958-9034-01132EE94A9D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d248f468-6195-42c5-8cde-7f9e9c78fd07}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuuUnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E4A8A0EF-BD45-42F6-9C62-80B81005DD7C}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winlogon"=-

Renomme le en fix.reg ( click droit --> renommer )
Click droit sur ce fichier --> choisis Fusionner.
0
Réponse 34 / 51
infected agent
 
Voici déjà le rapport OTMoveIt :

File/Folder C:\WINDOWS\system32\drivers\vmdesched.sys not found.
File/Folder C:\WINDOWS\system32\crcpgf.dll not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\dcrvsmas.dll
C:\WINDOWS\system32\dcrvsmas.dll NOT unregistered.
C:\WINDOWS\system32\dcrvsmas.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\xfbyojkk.dll
C:\WINDOWS\system32\xfbyojkk.dll NOT unregistered.
C:\WINDOWS\system32\xfbyojkk.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\gcnmcb.dll
C:\WINDOWS\system32\gcnmcb.dll NOT unregistered.
C:\WINDOWS\system32\gcnmcb.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\aelqtvlh.dll
C:\WINDOWS\system32\aelqtvlh.dll NOT unregistered.
C:\WINDOWS\system32\aelqtvlh.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dll NOT unregistered.
C:\WINDOWS\system32\WinCtrl32.dll moved successfully.
File/Folder C:\WINDOWS\nfavxwdbxgd.dll not found.
C:\WINDOWS\system32\SR2.dat moved successfully.
File/Folder c:\windows\winlogon.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08012008_233519

Ensuite, je crains de ne pas comprendre. Je suis sensé copier sur le bureau le texte du bloc note OTMoveit et le nommer fix.txt, c'est bien ça? Que dois-je faire avec le texte qui commence par REGEDIT4 ?
0
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
C'est le texte qui commence par REGEDIT4 et qui est en italique que tu dois copier dans le bloc-notes.

Poste un nouveau rapport Hijackthis.

Coriace mais on va l'avoir.

A+
0
Réponse 35 / 51
infected agent
 
Par ailleurs, je viens de découvrir que combofix démarre si je le renomme (c'est ce que j'ai fais aussi avec OTmoveIt qui ne voulait pas s'ouvrir...), y a donc encore du grabuge quelque part!
0
Réponse 36 / 51
infected agent
 
Voici le rapport hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:02, on 02/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\STDSB.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Documents and Settings\Pedro\Application Data\U3\0DC0F86161D1BC4A\LaunchPad.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\Pedro\Mes documents\AntiVIR\monHJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {E4A8A0EF-BD45-42F6-9C62-80B81005DD7C} - C:\WINDOWS\system32\nnnkIxxW.dll (file missing)
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-kazemule-00\index.html (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://03sig.cm-silves.pt/gl_silves/mgaxctrl.cab
O16 - DPF: {B9907873-6560-4A36-B76B-9DADE84A7F55} (FnacmusicDnl.DnlManager) - https://www.fnacmusic.com/telechargementFnacmusic/FnacmusicDnl.CAB
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

Ca avance, non?
0
Réponse 37 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Ca s'arrange.

Tu me disais que tu pouvais passer combofix en le renommant.
Essaie maintenant sans le renommer sinon tu le renommes et u me postes le rapport.

Tu me dis si on continue ou si alors on se revoie demain.

A+
0
Réponse 38 / 51
infected agent
 
Bon, combofix ne passe pas sans être renommé.
Il tourne en ce moment. Je te poste le rapport demain!
Bonne nuit et vraiment merci pour tes conseils et ta patience!

A demain donc,

IA
0
Réponse 39 / 51
infected agent
 
Bonjour,

voici le rapport comboxfix (qui s'active enfin sous son appellation naturelle depuis qu'il a scanné sous un pseudo...) :

ComboFix 08-07-31.04 - Pedro 2008-08-02 0:17:46.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.207 [GMT 2:00]
Endroit: C:\Documents and Settings\P\Bureau\ComibFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
C:\WINDOWS\cdmxtras
C:\WINDOWS\cdmxtras\uninst.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\cache329
C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\clbdll.old
C:\WINDOWS\system32\clbinit.dll
C:\WINDOWS\system32\drivers\clbdriver.sys
c:\windows\system32\Drivers\Winej16.sys
C:\WINDOWS\system32\lswadljr.ini
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\onsenrjl.ini
C:\WINDOWS\system32\uninstall.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Legacy_WINEJ16
-------\Service_Winej16

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-01 to 2008-08-01 ))))))))))))))))))))))))))))))))))))
.

2008-08-01 23:35 . 2008-08-01 23:35 <REP> d-------- C:\_OTMoveIt
2008-08-01 23:04 . 2008-08-01 23:04 61,440 --a------ C:\WINDOWS\system32\drivers\chrbx.sys
2008-08-01 19:17 . 2008-08-01 19:17 <REP> d-------- C:\Deckard
2008-08-01 19:05 . 2002-09-30 13:55 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-08-01 19:05 . 2002-09-30 13:55 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-08-01 19:05 . 2002-09-30 13:55 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-08-01 19:05 . 2002-09-30 13:55 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-08-01 19:05 . 2002-09-30 14:09 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-08-01 19:05 . 2002-09-30 13:55 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2008-08-01 19:05 . 2003-11-05 12:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2008-08-01 19:05 . 2008-08-01 19:05 <REP> d-------- C:\Documents and Settings\Administrateur
2008-08-01 15:03 . 2008-08-01 15:03 <REP> d-------- C:\Program Files\CCleaner
2008-08-01 13:00 . 2008-08-01 13:00 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-31 11:00 . 2008-07-31 11:00 <REP> d-------- C:\Program Files\Enigma Software Group
2008-07-31 09:19 . 2008-07-31 10:35 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-31 09:17 . 2008-07-31 09:17 <REP> d-------- C:\Program Files\Fichiers communs\PC Tools
2008-07-30 22:17 . 2008-07-30 22:37 <REP> d-------- C:\Program Files\Norton Security Scan
2008-07-30 20:48 . 2008-08-01 09:53 <REP> d-------- C:\Program Files\Symantec
2008-07-30 20:29 . 2008-07-30 20:29 0 --a------ C:\WINDOWS\Packard Bell Companion.INI
2008-07-30 16:29 . 2002-08-30 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-30 16:27 . 2008-08-01 22:01 3,889 --ahs---- C:\WINDOWS\system32\WxxIknnn.ini
2008-07-10 23:04 . 2008-07-21 23:37 665 --a------ C:\Documents and Settings\Pedro\Application Data\waver_2.95.dat
2008-07-10 23:00 . 2008-07-21 23:37 8 --a------ C:\WINDOWS\system32\qwolt.pdg

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-01 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-08-01 22:03 --------- d-----w C:\Documents and Settings\Pedro\Application Data\U3
2008-08-01 21:11 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-01 10:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-07-30 18:12 --------- d-----w C:\Program Files\Norton Internet Security
2008-07-21 21:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-17 17:00 30,424 ----a-w C:\Documents and Settings\Pedro\Application Data\GDIPFONTCACHEV1.DAT
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-08 11:26 --------- d-----w C:\Program Files\Google
2008-06-01 09:50 --------- d-----w C:\Program Files\2BrightSparks
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 19:16 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STDSB"="C:\WINDOWS\System32\STDSB.exe" [2002-02-27 20:30 28672]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-10-25 18:21 126976]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-10-25 18:20 561152]
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2002-06-07 13:34 299008]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-11-05 12:59 151597]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2003-07-15 14:36 54512]
"ccRegVfy"="C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" [2003-07-15 14:42 60344]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2003-11-05 12:58 77824]
"D-Link AirPlus XtremeG"="C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe" [2006-06-16 11:24 1323008]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-01 17:59 49152]
"SoundMan"="SOUNDMAN.EXE" [2003-01-07 19:09 46592 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2002-08-19 16:07 54888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Real\\RealOne Player\\realplay.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys [2002-06-07 13:38]
R2 MTC0003_STDSB;Scroll Bar Driver;C:\WINDOWS\system32\STDSB.sys [2002-06-19 13:23]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 13:17]
R3 ENE;ENE;C:\WINDOWS\system32\DRIVERS\EMCR7SK.sys [2002-12-23 10:47]
S0 kebcbso;kebcbso;C:\WINDOWS\system32\drivers\chut.sys []
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2006-05-11 14:11]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 15:23]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\WD_Windows_Tools\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0299a182-4a14-11dd-ada4-0040d04b54c6}]
\Shell\AutoRun\command - F:\WD_Windows_Tools\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e948e480-2e73-11dd-ad96-0040d04b54c6}]
\Shell\AutoRun\command - F:\wdsync.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-07-30 C:\WINDOWS\Tasks\Norton Security Scan.job
- C:\Program Files\Norton Security Scan\Nss.exe [2007-09-18 23:42]

2008-08-01 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2002-08-19 16:07]
.
- - - - ORPHANS REMOVED - - - -

BHO-{E4A8A0EF-BD45-42F6-9C62-80B81005DD7C} - C:\WINDOWS\system32\nnnkIxxW.dll
HKCU-Run-Symantec NetDriver Monitor - C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
HKCU-Run-CanalPlayer - C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
HKLM-Run-CleanEasyImg - c:\apps\easydvd\cleanall.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Pedro\Application Data\Mozilla\Firefox\Profiles\xopf955w.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 00:52:13
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Norton Internet Security\CCPXYSVC.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPWDSVC.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-02 0:56:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-01 22:56:12

Pre-Run: 14,325,907,456 octets libres
Post-Run: 14,247,272,448 octets libres

166 --- E O F --- 2008-07-15 08:29:00

Voilà, j'y comprend pas grand chose, mais il a tourné 57 minutes, alors que 10 sont suffisantes quand la machine n'est pas trop 'malsaine'...

A+

IA
0
Réponse 40 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
ComBofix peut prendre plus de temps si il doit scanner différents lecteurs.
Ce qui est le cas sur ton PC.

J'aurais besoin que tu ailles vérifier 3 fichiers.
Tu vas sur le site de VirusTotal .
https://www.virustotal.com/gui/

Tu cliques sur parcourir pour sélectionner le fichier sur ton disque dur.
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport des analyses ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

Chemin :
C:\WINDOWS\system32\drivers\chrbx.sys
C:\WINDOWS\system32\drivers\chut.sys
F:\WD_Windows_Tools\Setup.exe

Cela s'arrange, n'est ce pas.
Vérifie si tu peux ouvrir spybot ou malwareBytes ( sans le lancer, c'est inutile ).

A+
0

Discussions similaires

Sécurité de l'URL
ghaouar -
fiddy -

2 réponses
comment lire un message masqué????
linx33 -
linx33 -

6 réponses
La nouvelle messagerie du Boncoin....
Utilisateur anonyme -
Madabatro -

69 réponses
Message erreur : la sécurité s'arrête systématiquement
Pseudonymedemiss -
ALAIN -

229 réponses