Infecté par backdoor.Graybird.MR, quoi faire?
Résolu
<yassou>
Messages postés
589
Date d'inscription
Statut
Membre
Dernière intervention
-
<yassou> Messages postés 589 Date d'inscription Statut Membre Dernière intervention -
<yassou> Messages postés 589 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
je suis infectée par un backdoor graybird.mr et je ne sais plus quoi faire et j'ai peur qu'on prenne le controle de mon odrinateur avant que je ne régle ce problème, et là ça sera la cata pour moi !
ça fait 2 jours que je cherche des logiciels pouvant m'éradiquer graybird.mr, 2 jours que j'installe, scanne et désinstalle pour installer autre chose, et scanne et rebelote ... la boucle est bouclée !
bref, j'ai pas chomé, et je suis à court d'idées
pour un premier post j'ai fait court, mais voulez vous que je vous racconte tout ce que j'ai fait ? ou connaissez vous le moyen de me débarasser de cette infection ?
j'attends vos reponses avec beaucoup d'impatience, je vous en remercie d'avance
je suis infectée par un backdoor graybird.mr et je ne sais plus quoi faire et j'ai peur qu'on prenne le controle de mon odrinateur avant que je ne régle ce problème, et là ça sera la cata pour moi !
ça fait 2 jours que je cherche des logiciels pouvant m'éradiquer graybird.mr, 2 jours que j'installe, scanne et désinstalle pour installer autre chose, et scanne et rebelote ... la boucle est bouclée !
bref, j'ai pas chomé, et je suis à court d'idées
pour un premier post j'ai fait court, mais voulez vous que je vous racconte tout ce que j'ai fait ? ou connaissez vous le moyen de me débarasser de cette infection ?
j'attends vos reponses avec beaucoup d'impatience, je vous en remercie d'avance
A voir également:
- Infecté par backdoor.Graybird.MR, quoi faire?
- Alerte windows ordinateur infecté - Accueil - Arnaque
- L'ordinateur de simon a été infecté par un virus répertorié récemment ✓ - Forum Virus
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment - Forum Virus
- Mustapha - Forum Windows
- L'ordinateur de samantha a ete infecte par un virus - Forum Virus
32 réponses
Attention
En fonction de ce que tu décides pour Spybot, il faut alors modifier le CFSript.
Idem pour SiSPower
As-tu encore cette alerte backdoor.Graybird.MR ?
En fonction de ce que tu décides pour Spybot, il faut alors modifier le CFSript.
Idem pour SiSPower
As-tu encore cette alerte backdoor.Graybird.MR ?
Bonjour
Télécharge combofix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
• Assure toi que tous les programmes sont fermés avant de commencer.
• ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
• ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
• Double-clique combofix.exe afin de l'exécuter.
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
• Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
• Laisse se dérouler le scan.
• /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.
• Le rapport se trouve dans : C:\Combofix.txt (si jamais).
Merci
Al
Télécharge combofix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
• Assure toi que tous les programmes sont fermés avant de commencer.
• ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
• ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
• Double-clique combofix.exe afin de l'exécuter.
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
• Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
• Laisse se dérouler le scan.
• /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.
• Le rapport se trouve dans : C:\Combofix.txt (si jamais).
Merci
Al
d'accord merci beaucoup de m'avoir répondue aussi rapidement je vais faire ce que tu me demandes
à +
à +
OK
Avec le rapport de ComboFix que tu feras parvenir ici, cite-moi les apllications que tu avais déjà lancées, SVP.
Merci
Avec le rapport de ComboFix que tu feras parvenir ici, cite-moi les apllications que tu avais déjà lancées, SVP.
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voilà le rapport combofix :
ComboFix 08-09-10.04 - Client 2008-09-12 8:30:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1019 [GMT 1:00]
Endroit: E:\documentations\informatique décisionnelle\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\dao350.dll
.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 ))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:37 . 2008-09-12 07:44 12,288 --a------ C:\Documents and Settings\Client\spydb.dat
2008-09-12 00:01 . 2008-09-12 00:01 <REP> d-------- C:\SpySoapBin
2008-09-11 22:13 . 2008-09-11 22:13 <REP> d-------- C:\Documents and Settings\Client\Application Data\SUPERAntiSpyware.com
2008-09-11 22:13 . 2008-09-11 22:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-09-11 22:12 . 2008-09-11 22:12 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-11 05:33 . 2008-09-12 08:25 <REP> d--h----- C:\$AVG8.VAULT$
2008-09-11 05:17 . 2008-09-11 05:23 <REP> d-------- C:\Documents and Settings\Client\.smplayer
2008-09-11 05:09 . 2008-09-11 05:09 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-09-11 02:07 . 2008-09-12 02:44 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-09-11 02:07 . 2008-09-11 05:50 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-11 02:07 . 2008-09-11 05:50 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-09-11 02:07 . 2008-09-11 05:50 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-09-11 00:57 . 2008-09-11 01:54 <REP> d-------- C:\Documents and Settings\Client\Application Data\AVGTOOLBAR
2008-09-11 00:57 . 2008-09-11 02:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-09-10 23:27 . 2008-09-10 23:27 173 --a------ C:\curr_ver.tmp
2008-09-09 00:06 . 2008-09-09 00:06 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-09-09 00:06 . 2008-09-09 00:06 52,191 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-09-08 23:51 . 2008-09-09 00:06 4,835 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-09-08 23:49 . 2008-09-08 23:49 <REP> d-------- C:\WINDOWS\BricoPacks
2008-09-08 22:49 . 2007-08-22 07:55 2,759,438 --a------ C:\WINDOWS\Sim AQUARIUM 2.scr
2008-09-08 18:48 . 2008-09-12 07:37 <REP> d-------- C:\Documents and Settings\Client\Application Data\IDM
2008-09-08 18:48 . 2008-09-12 08:33 <REP> d-------- C:\Documents and Settings\Client\Application Data\DMCache
2008-09-07 03:38 . 2008-09-07 03:38 <REP> d-------- C:\Documents and Settings\Client\Application Data\3M
2008-09-07 03:18 . 2008-09-07 03:36 <REP> d-------- C:\Documents and Settings\Client\Application Data\GetRightToGo
2008-09-06 04:15 . 2008-09-06 04:15 <REP> d-------- C:\Documents and Settings\Client\Application Data\Apple Computer
2008-09-04 22:53 . 2008-09-04 22:53 <REP> d-------- C:\Documents and Settings\Client\Application Data\Malwarebytes
2008-09-04 22:53 . 2008-09-04 22:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-04 22:53 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-04 22:53 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 13:56 . 2008-07-09 15:34 206,256 --a------ C:\WINDOWS\system32\idmmbc.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:33 75,362,336 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-12 04:51 878,636 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-12 01:54 --------- d-----w C:\Documents and Settings\Client\Application Data\Skype
2008-09-12 00:26 --------- d-----w C:\Documents and Settings\Client\Application Data\skypePM
2008-09-11 12:16 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-11 05:55 --------- d-----w C:\Documents and Settings\Client\Application Data\Free Download Manager
2008-09-08 23:06 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-09-07 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-07 04:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-06 07:00 444,928 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-08-28 16:40 198,656 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-08-24 14:18 124,416 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-08-23 03:07 197,632 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-08-18 03:23 828,416 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-08-18 03:23 1,422,848 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-07-30 01:51 --------- d-----w C:\Program Files\EsetOnlineScanner
2008-07-29 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-07-21 17:46 201,728 ----a-w C:\WINDOWS\system32\Les Simpson - Le film.scr
2008-07-16 08:47 --------- d-----w C:\Documents and Settings\Client\Application Data\dvdcss
2008-07-09 08:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 08:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2008-07-09 08:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2008-07-09 08:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-07-09 08:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-07-09 08:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"L08FXLRD_2306265"="C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE" [2007-06-12 351000]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="D:\Mes Programmes\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"IDMan"="D:\Mes Programmes\Internet Download Manager\IDMan.exe" [2008-09-01 2610608]
"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600]
"SUPERAntiSpyware"="D:\Mes Programmes\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSRaid"="C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe" [2005-05-18 905216]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-07-10 188416]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 75520]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-07-11 20480]
"tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [2007-04-21 270336]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2007-05-10 835584]
"ZoneAlarm Client"="D:\Mes Programmes\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"AVG8_TRAY"="D:\MESPRO~1\AVG\AVG8\avgtray.exe" [2008-09-11 1235736]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SpySoap_tray"="D:\Mes Programmes\SpySoap\tray.exe" [2008-04-16 425984]
"SpySoap_schedules"="D:\Mes Programmes\SpySoap\schedules.exe" [2008-04-16 64512]
"SiSPower"="SiSPower.dll" [2005-08-25 C:\WINDOWS\system32\SiSPower.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2008-06-02 262144]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Mes Programmes\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 D:\Mes Programmes\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll
"msacm.divxa32"= DivXa32.acm
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Mes Programmes\\AVG\\AVG8\\avgupd.exe"=
"D:\\Mes Programmes\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-11 97928]
R2 avg8emc;AVG8 E-mail Scanner;D:\MESPRO~1\AVG\AVG8\avgemc.exe [2008-09-11 875288]
R2 avg8wd;AVG8 WatchDog;D:\MESPRO~1\AVG\AVG8\avgwdsvc.exe [2008-09-11 231704]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-11 76040]
R2 SpySoapSysGuardService;System Guard(SpySoap);D:\Mes Programmes\SpySoap\SysGuard.exe [2008-04-16 186368]
R3 SpySoapSysGuardDriver;SpySoapSysGuardDriver;D:\Mes Programmes\SpySoap\sysGuard.sys [2008-04-16 13824]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Client\Application Data\Mozilla\Firefox\Profiles\a1acxl8q.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava11.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava13.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava14.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava32.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJPI150_12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPOJI610.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM1.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM2.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM3.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM4.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM5.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM6.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npdsplay.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npfdm.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npwmsdrm.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 08:33:36
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"D:\Mes Programmes\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"D:\Mes Programmes\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
Temps d'accomplissement: 2008-09-12 8:37:01
ComboFix-quarantined-files.txt 2008-09-12 07:35:54
Pre-Run: 4,247,281,664 octets libres
Post-Run: 4,284,170,240 octets libres
175 --- E O F --- 2008-08-02 09:29:30
ComboFix 08-09-10.04 - Client 2008-09-12 8:30:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1019 [GMT 1:00]
Endroit: E:\documentations\informatique décisionnelle\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\dao350.dll
.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 ))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:37 . 2008-09-12 07:44 12,288 --a------ C:\Documents and Settings\Client\spydb.dat
2008-09-12 00:01 . 2008-09-12 00:01 <REP> d-------- C:\SpySoapBin
2008-09-11 22:13 . 2008-09-11 22:13 <REP> d-------- C:\Documents and Settings\Client\Application Data\SUPERAntiSpyware.com
2008-09-11 22:13 . 2008-09-11 22:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-09-11 22:12 . 2008-09-11 22:12 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-11 05:33 . 2008-09-12 08:25 <REP> d--h----- C:\$AVG8.VAULT$
2008-09-11 05:17 . 2008-09-11 05:23 <REP> d-------- C:\Documents and Settings\Client\.smplayer
2008-09-11 05:09 . 2008-09-11 05:09 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-09-11 02:07 . 2008-09-12 02:44 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-09-11 02:07 . 2008-09-11 05:50 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-11 02:07 . 2008-09-11 05:50 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-09-11 02:07 . 2008-09-11 05:50 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-09-11 00:57 . 2008-09-11 01:54 <REP> d-------- C:\Documents and Settings\Client\Application Data\AVGTOOLBAR
2008-09-11 00:57 . 2008-09-11 02:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-09-10 23:27 . 2008-09-10 23:27 173 --a------ C:\curr_ver.tmp
2008-09-09 00:06 . 2008-09-09 00:06 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-09-09 00:06 . 2008-09-09 00:06 52,191 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-09-08 23:51 . 2008-09-09 00:06 4,835 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-09-08 23:49 . 2008-09-08 23:49 <REP> d-------- C:\WINDOWS\BricoPacks
2008-09-08 22:49 . 2007-08-22 07:55 2,759,438 --a------ C:\WINDOWS\Sim AQUARIUM 2.scr
2008-09-08 18:48 . 2008-09-12 07:37 <REP> d-------- C:\Documents and Settings\Client\Application Data\IDM
2008-09-08 18:48 . 2008-09-12 08:33 <REP> d-------- C:\Documents and Settings\Client\Application Data\DMCache
2008-09-07 03:38 . 2008-09-07 03:38 <REP> d-------- C:\Documents and Settings\Client\Application Data\3M
2008-09-07 03:18 . 2008-09-07 03:36 <REP> d-------- C:\Documents and Settings\Client\Application Data\GetRightToGo
2008-09-06 04:15 . 2008-09-06 04:15 <REP> d-------- C:\Documents and Settings\Client\Application Data\Apple Computer
2008-09-04 22:53 . 2008-09-04 22:53 <REP> d-------- C:\Documents and Settings\Client\Application Data\Malwarebytes
2008-09-04 22:53 . 2008-09-04 22:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-04 22:53 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-04 22:53 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 13:56 . 2008-07-09 15:34 206,256 --a------ C:\WINDOWS\system32\idmmbc.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:33 75,362,336 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-12 04:51 878,636 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-12 01:54 --------- d-----w C:\Documents and Settings\Client\Application Data\Skype
2008-09-12 00:26 --------- d-----w C:\Documents and Settings\Client\Application Data\skypePM
2008-09-11 12:16 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-11 05:55 --------- d-----w C:\Documents and Settings\Client\Application Data\Free Download Manager
2008-09-08 23:06 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-09-07 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-07 04:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-06 07:00 444,928 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-08-28 16:40 198,656 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-08-24 14:18 124,416 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-08-23 03:07 197,632 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-08-18 03:23 828,416 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-08-18 03:23 1,422,848 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-07-30 01:51 --------- d-----w C:\Program Files\EsetOnlineScanner
2008-07-29 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-07-21 17:46 201,728 ----a-w C:\WINDOWS\system32\Les Simpson - Le film.scr
2008-07-16 08:47 --------- d-----w C:\Documents and Settings\Client\Application Data\dvdcss
2008-07-09 08:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 08:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2008-07-09 08:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2008-07-09 08:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-07-09 08:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-07-09 08:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"L08FXLRD_2306265"="C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE" [2007-06-12 351000]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="D:\Mes Programmes\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"IDMan"="D:\Mes Programmes\Internet Download Manager\IDMan.exe" [2008-09-01 2610608]
"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600]
"SUPERAntiSpyware"="D:\Mes Programmes\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSRaid"="C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe" [2005-05-18 905216]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-07-10 188416]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 75520]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-07-11 20480]
"tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [2007-04-21 270336]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2007-05-10 835584]
"ZoneAlarm Client"="D:\Mes Programmes\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"AVG8_TRAY"="D:\MESPRO~1\AVG\AVG8\avgtray.exe" [2008-09-11 1235736]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SpySoap_tray"="D:\Mes Programmes\SpySoap\tray.exe" [2008-04-16 425984]
"SpySoap_schedules"="D:\Mes Programmes\SpySoap\schedules.exe" [2008-04-16 64512]
"SiSPower"="SiSPower.dll" [2005-08-25 C:\WINDOWS\system32\SiSPower.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2008-06-02 262144]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Mes Programmes\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 D:\Mes Programmes\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll
"msacm.divxa32"= DivXa32.acm
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Mes Programmes\\AVG\\AVG8\\avgupd.exe"=
"D:\\Mes Programmes\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-11 97928]
R2 avg8emc;AVG8 E-mail Scanner;D:\MESPRO~1\AVG\AVG8\avgemc.exe [2008-09-11 875288]
R2 avg8wd;AVG8 WatchDog;D:\MESPRO~1\AVG\AVG8\avgwdsvc.exe [2008-09-11 231704]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-11 76040]
R2 SpySoapSysGuardService;System Guard(SpySoap);D:\Mes Programmes\SpySoap\SysGuard.exe [2008-04-16 186368]
R3 SpySoapSysGuardDriver;SpySoapSysGuardDriver;D:\Mes Programmes\SpySoap\sysGuard.sys [2008-04-16 13824]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Client\Application Data\Mozilla\Firefox\Profiles\a1acxl8q.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava11.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava13.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava14.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava32.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJPI150_12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPOJI610.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM1.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM2.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM3.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM4.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM5.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM6.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npdsplay.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npfdm.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npwmsdrm.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 08:33:36
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"D:\Mes Programmes\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"D:\Mes Programmes\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
Temps d'accomplissement: 2008-09-12 8:37:01
ComboFix-quarantined-files.txt 2008-09-12 07:35:54
Pre-Run: 4,247,281,664 octets libres
Post-Run: 4,284,170,240 octets libres
175 --- E O F --- 2008-08-02 09:29:30
les applications que j'ai lancé sont :
- au debut, j'ai fait un scan avec antivir qui me l'a detecté mais ne l'a pas supprimé, j'ai refait le scan 2 fois c'était la même chose, l'infection est là
- je suis passée à avg qui ne l'a pas détecté dutout seulement des tracking cookies de opera
- j'ai fait un scan avec spybot toujours rien, il ne le detecte pas
- j'ai essayé superantispyware, rien non plus, il ne detecte que les tracking cookies de opera
- j'ai essayé spy soap qui normalement peut supprimé ce backdoor, rien ! mais il a attiré mon attention sur une entrée du registre qui contient Rundll32.exe parmi les processus de démarrage de windows qui était rajoutée à une entrée pour un de mes utilitaires, je l'ai enlevé des processus de demarrage
en parallèle, mon parfeu zonealarme m'a hier demandé si j'autorisais l'accès à internet à Rundll32.exe bien sure j'ai refusé, rundll32.exe n'a rien à faire de internet, ça c'est propre aux spywares, j'ai ensuite lancé le gestionnaire de taches et arrété ce rundll32.exe sans problème
- j'ai aussi remarqué qu'il m'était impossible d'ouvrir System Volume Information,le repertoire qui stocke les points de restauration, comme je sais que les virus aiment bien se balader dedans j'ai essayé de l'ouvrir avec windows rien, j'ai essayé avec winrar et toujours rien, alors je suis passée au dos, et j'ai fait le nettoyage des fichiers de restauration avec les commandes dos, s'était facile de reconnaitre les maichants fichiers
voilà, normalement j'ai rien oublié, c'est ce que j'ai fait, et ce qui m'a mis la puce à l'oreil c'est la lenteur de ma connexion
- j'oubliais j'ai aussi lancé malwarebytes' rien non plus
voilà voilà, et encore merci pour votre aide
- au debut, j'ai fait un scan avec antivir qui me l'a detecté mais ne l'a pas supprimé, j'ai refait le scan 2 fois c'était la même chose, l'infection est là
- je suis passée à avg qui ne l'a pas détecté dutout seulement des tracking cookies de opera
- j'ai fait un scan avec spybot toujours rien, il ne le detecte pas
- j'ai essayé superantispyware, rien non plus, il ne detecte que les tracking cookies de opera
- j'ai essayé spy soap qui normalement peut supprimé ce backdoor, rien ! mais il a attiré mon attention sur une entrée du registre qui contient Rundll32.exe parmi les processus de démarrage de windows qui était rajoutée à une entrée pour un de mes utilitaires, je l'ai enlevé des processus de demarrage
en parallèle, mon parfeu zonealarme m'a hier demandé si j'autorisais l'accès à internet à Rundll32.exe bien sure j'ai refusé, rundll32.exe n'a rien à faire de internet, ça c'est propre aux spywares, j'ai ensuite lancé le gestionnaire de taches et arrété ce rundll32.exe sans problème
- j'ai aussi remarqué qu'il m'était impossible d'ouvrir System Volume Information,le repertoire qui stocke les points de restauration, comme je sais que les virus aiment bien se balader dedans j'ai essayé de l'ouvrir avec windows rien, j'ai essayé avec winrar et toujours rien, alors je suis passée au dos, et j'ai fait le nettoyage des fichiers de restauration avec les commandes dos, s'était facile de reconnaitre les maichants fichiers
voilà, normalement j'ai rien oublié, c'est ce que j'ai fait, et ce qui m'a mis la puce à l'oreil c'est la lenteur de ma connexion
- j'oubliais j'ai aussi lancé malwarebytes' rien non plus
voilà voilà, et encore merci pour votre aide
Re,
Merci.
Effectivement, on ne voit plus grand-chose.
==> "impossible d'ouvrir System Volume Information" As-tu affiché les fichiers cachés ?
Ton antivirus actif actuellement, est-ce ANTIVIR ou AVG Internet Security Suite ?
Qu'en est-il de ce AVG Internet Security Suite ? (licence ?)
Ton pare-feu ZoneLabsFirewall est-il bien activé ?
Parce que je vois ceci :
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001 ==> désactivé ?
Note: Pour l'analyse par ComboFix, j'avais recommandé de désactiver les protections résidentes du PC.
Or, je note encore que le Tea-Timer de Spybot S&D est activé:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Mes Programmes\Spybot - Search & Destroy\TeaTimer.exe"
Supprime ce D:\Mes Programmes\SpySoap
Appliquer ces mises à jour de sécurité:
1°- ton C:\Program Files\Adobe\Reader; comme ceci:
https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.
2°- ta console JAVA; comme ceci:
Dernière version Java Runtime Environment 1.6.0.7 disponible ici :
https://filehippo.com/download_jre_32/?ex=CORE-116.0
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions
Utilises-tu une clé USB (disque amovible) ? Par ce que je vois ceci:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
Si OUI, fais ceci:
Désactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Coche "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider
Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuies ensuite sur OK, pour faire réapparaître le bureau.
S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.
Ensuite fais analyser par précaution ton pc par :
https://www.kaspersky.fr/downloads
Clic sur le bouton [Kaspersky Online Scanner] et laisse toi guider.
Comme cible d'analyse, choisis le « Poste de travail ».
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif
AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo)
Si le rapport n'indique aucune infection :
Réactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Décoche "désactiver la restauration système sur tous les lecteurs".
Clic sur ok pour valider.
Fais déjà ça.
Merci
Al.
Merci.
Effectivement, on ne voit plus grand-chose.
==> "impossible d'ouvrir System Volume Information" As-tu affiché les fichiers cachés ?
Ton antivirus actif actuellement, est-ce ANTIVIR ou AVG Internet Security Suite ?
Qu'en est-il de ce AVG Internet Security Suite ? (licence ?)
Ton pare-feu ZoneLabsFirewall est-il bien activé ?
Parce que je vois ceci :
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001 ==> désactivé ?
Note: Pour l'analyse par ComboFix, j'avais recommandé de désactiver les protections résidentes du PC.
Or, je note encore que le Tea-Timer de Spybot S&D est activé:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Mes Programmes\Spybot - Search & Destroy\TeaTimer.exe"
Supprime ce D:\Mes Programmes\SpySoap
Appliquer ces mises à jour de sécurité:
1°- ton C:\Program Files\Adobe\Reader; comme ceci:
https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.
2°- ta console JAVA; comme ceci:
Dernière version Java Runtime Environment 1.6.0.7 disponible ici :
https://filehippo.com/download_jre_32/?ex=CORE-116.0
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions
Utilises-tu une clé USB (disque amovible) ? Par ce que je vois ceci:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
Si OUI, fais ceci:
Désactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Coche "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider
Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuies ensuite sur OK, pour faire réapparaître le bureau.
S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.
Ensuite fais analyser par précaution ton pc par :
https://www.kaspersky.fr/downloads
Clic sur le bouton [Kaspersky Online Scanner] et laisse toi guider.
Comme cible d'analyse, choisis le « Poste de travail ».
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif
AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo)
Si le rapport n'indique aucune infection :
Réactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Décoche "désactiver la restauration système sur tous les lecteurs".
Clic sur ok pour valider.
Fais déjà ça.
Merci
Al.
excuse moi, j'ai oublié de repondre à tes questions :
- oui j'affiche toujours les fichiers cachés et les fichiers cryptés sous ntfs, je préfère ça, souvent c'est comme ça que je détecte les virus par moi même, je ne fais pas confiance aux anti virus
- l'antivirus actif en ce moment est avg anti virus free, c'est le dernier que j'ai essayé, je suis trop creuvée pour désinstaller ... redémarrer ... réinstaller ... redemarrer (je n'ai pas encore dormie de la nuit, trop de travail à faire)
- oui mon parfeu zonealarme est activé, je l'ai désactivé pour faire le scan combofix, mais je me rends compte que c'était spybot qu'il fallait désactiver et pas lui .... mauvaise manip, je suis trop creuvée !!!
- spysoap je l'ai désinstallé avg me l'a détecté comme un adware et puis j'ai ma dose d'anti spyware et d'autres anti ... n'importe quoi
- pour l'adobe j'étais en train de faire la mise à jour tout à l'heure mais j'ai tout arrété pour faire le scan
- je vais faire les mises à jour de java et adobe
- pour l'entrée du registre de la clé usb, oui j'utilise des clés usb, mais elles sont toutes nickel, je ferais quand même le scan
cette entrée c'est apparamment le dernier souvenir du virus ".vbs" que j'ai eu une fois mais que j'ai pu supprimer en supprimant manuellement (toujours à partir du dos) le fichier ".vbe" du repertoire System32, je vais voir ça
- je fais faire le scan en ligne, ça va prendre du temps, je metterai le rapport une fois terminé
encore merci Al
- oui j'affiche toujours les fichiers cachés et les fichiers cryptés sous ntfs, je préfère ça, souvent c'est comme ça que je détecte les virus par moi même, je ne fais pas confiance aux anti virus
- l'antivirus actif en ce moment est avg anti virus free, c'est le dernier que j'ai essayé, je suis trop creuvée pour désinstaller ... redémarrer ... réinstaller ... redemarrer (je n'ai pas encore dormie de la nuit, trop de travail à faire)
- oui mon parfeu zonealarme est activé, je l'ai désactivé pour faire le scan combofix, mais je me rends compte que c'était spybot qu'il fallait désactiver et pas lui .... mauvaise manip, je suis trop creuvée !!!
- spysoap je l'ai désinstallé avg me l'a détecté comme un adware et puis j'ai ma dose d'anti spyware et d'autres anti ... n'importe quoi
- pour l'adobe j'étais en train de faire la mise à jour tout à l'heure mais j'ai tout arrété pour faire le scan
- je vais faire les mises à jour de java et adobe
- pour l'entrée du registre de la clé usb, oui j'utilise des clés usb, mais elles sont toutes nickel, je ferais quand même le scan
cette entrée c'est apparamment le dernier souvenir du virus ".vbs" que j'ai eu une fois mais que j'ai pu supprimer en supprimant manuellement (toujours à partir du dos) le fichier ".vbe" du repertoire System32, je vais voir ça
- je fais faire le scan en ligne, ça va prendre du temps, je metterai le rapport une fois terminé
encore merci Al
finallement,je vais dormir un peu je ne tiens plus debout
j'ai installé adobereader9 je l'avais déjà téléchargé sans l'installer
le reste je le ferais tout à l'heure
merci beaucoup
Al
à +
j'ai installé adobereader9 je l'avais déjà téléchargé sans l'installer
le reste je le ferais tout à l'heure
merci beaucoup
Al
à +
yasmine,
Note:
As-tu vu que tu as reçu un MP.
Il doit y avoir un clignotant dans le coin supérieur droit de la page CCM.
Clique sur l'enveloppe pour l'ouvrir.
(La suite)
À appliquer uniquement après en avoir terminé avec ce qui a été demandé précédemment.
Notamment, avoir posté le rapport Kaspersky.
Merci.
A)- Il faudra faire analyser ce fichier C:\Documents and Settings\Client\.smplayer chez VirusTotal
Note: Remarque le point avant smplayer (?)
Tutoriel ici http://bibou0007.com/tutos-f45/tutorial-sur-virustotal-t190.htm
Vas là :< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur [Parcourir]
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin C:\Documents and Settings\Client du fichier .smplayer
c'est-à-dire via "Poste de travail" >
•- Tu ouvres le dossier "\Client", et quand tu y as trouvé le fichier .smplayer, tu cliques sur "Ouvrir" ( sur cette dernière page affichée)
•- le fichier .smplayer se retrouve alors ainsi dans la fenêtre de VirusTotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de VirusTotal )
•- et tu attends le résultat (il faut parfois patienter)
•- Dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => "Sélectionner tout" > puis encore clic-droit => Copier...
Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes ==> et le poster sur forum ici.
Refais la même chose pour ces fichiers
C:\WINDOWS\system32\SiSPower.dll
D:\Mes Programmes\MySQL\MySQL Server 5.0\my.ini
Note: Remarque que ce n'est pas le même chemin à suivre.
B)- 1°- AVG 8 est disponible en langue française en évaluation sur 30 jours
Est-ce bien celui que tu as mis dans ton PC ? (je préfère ANTIVIR).
Tutorial et Guide AVG8 Internet Security http://www.malekal.com/tutorial_AVG8.php
2°- ATTENTION: Le pare-feu de AVG8 Internet Security fait double emploi avec ZA.
3°- Comme antipywares sur ton PC, SUPERAntiSpyware suffit; pas besoin de Spybot S&D; de surcroît, le Tea-Timer de Spybot S&D ralenti le PC, n'est plus très efficace, et contrarie les désinfections.
Mais je crois que c'est la même rengaine ... gratuit, ses fonctions sont limitées.
C)- Tu as toujours l'icône de ComboFix sur le bureau
1°- PREALABLES :
A)-Désactiver le TeaTimer
==> Si tu n'as pas Spybot S&D, passe outre de cette partie !
==> Si tu as Spybot S&D.
•- Tout d'abord > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!
•- Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !
B)- Supprime également la protection en temps-réel (bouclier) de AVG ISS.
2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :
File::
C:\Documents and Settings\Client\spydb.dat
C:\curr_ver.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
Folder::
C:\Program Files\EsetOnlineScanner
C:\SpySoapBin
D:\Mes Programmes\SpySoap
D:\Mes Programmes\Spybot - Search & Destroy
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySoap_tray"=-
"SpySoap_schedules"=-
"SiSPower"=-
3°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >
4°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ gras>CFScript1.txt</gras> ” sur le fichier “ComboFix.exe”(Tristan.exe) comme sur la capture: < http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"
Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!
(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)
5°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt
6°- Arrêter puis redémarrer le PC
7°- Passe un coup de MalwareBytes ==> choisis le "scan complet", et "nettoyer tout ce qu'il trouve".
Branche les disques amovibles (clés USB) sans les ouvrir.
Télécharge et installe Malwarebyte's Anti-Malware
Je préfère le scan sous le MSE (=mode sans échec).
Aide : https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
Poste-moi le rapport généré à la fin dans ta prochaine réponse
8°- Poste un rapport d'analyse avec DiagHelp; comme ceci:
Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau
< http://img521.imageshack.us/img521/3341/screenshot426fc5.png >
- - Ne double-clic pas dessus !!
Clic sur l'icône DiagHelp.zip téléchargé sur le bureau > "clic-droit" sur le fichier .zip > "Ouvrir" > un nouveau dossier va être créé sous le nom DiagHelp sur une page qui s'affiche > sur cette page, clic sur "Fichier" > "Extraire tout" > Un assistant d'extraction s'ouvre ==> [Suivant] > [Suivant] (cocher la case devant "afficher les fichiers extraits") > [Terminer]
À nouveau, une page s'affiche avec le dossier DiagHelp > Ouvre-le et clic sur le fichier "go.cmd" < http://img392.imageshack.us/img392/9054/screenshot416to8.png > ----> et sur cette page, < http://img512.imageshack.us/img512/9692/screenshot427ci2.png > choisis l'option 1 (= tape 1 sur le petit clignotant, puis [Exécuter]
(NOTE : Si tu reçois cette page http://img257.imageshack.us/img257/2271/screenshot424jn0.png , c’est que les fichiers ne sont pas décompressés correctement)
Notes:
1)- Lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur "Agree"
2)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte".
3)- Pendant l'analyse, à la fin du rapport "catchme", il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas !
4- A la fin du scan tu seras dirigé vers la page de l'auteur afin d'expédier le fichier C:\upload_moi_xxxxx.zip ==> Envoie le fichier (c'est chez le concepteur) s’il te plaît.
(J'espère que ça passera --> beaucoup de souci à cette étape de ses jours-ci.)
Si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter], pour laisser terminer le scan et avoir accès au fichier texte
•- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur...
•- Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.
Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : « Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout > à nouveau menu Edition / copier > pour terminer dans un nouveau message ici, faire un clic droit / coller. »
- Tutoriel ici : < http://www.malekal.com/DiagHelp/DiagHelp.php >
Bonne chance
Je quitte un peu le PC.
Al.
Note:
As-tu vu que tu as reçu un MP.
Il doit y avoir un clignotant dans le coin supérieur droit de la page CCM.
Clique sur l'enveloppe pour l'ouvrir.
(La suite)
À appliquer uniquement après en avoir terminé avec ce qui a été demandé précédemment.
Notamment, avoir posté le rapport Kaspersky.
Merci.
A)- Il faudra faire analyser ce fichier C:\Documents and Settings\Client\.smplayer chez VirusTotal
Note: Remarque le point avant smplayer (?)
Tutoriel ici http://bibou0007.com/tutos-f45/tutorial-sur-virustotal-t190.htm
Vas là :< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur [Parcourir]
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin C:\Documents and Settings\Client du fichier .smplayer
c'est-à-dire via "Poste de travail" >
•- Tu ouvres le dossier "\Client", et quand tu y as trouvé le fichier .smplayer, tu cliques sur "Ouvrir" ( sur cette dernière page affichée)
•- le fichier .smplayer se retrouve alors ainsi dans la fenêtre de VirusTotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de VirusTotal )
•- et tu attends le résultat (il faut parfois patienter)
•- Dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => "Sélectionner tout" > puis encore clic-droit => Copier...
Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes ==> et le poster sur forum ici.
Refais la même chose pour ces fichiers
C:\WINDOWS\system32\SiSPower.dll
D:\Mes Programmes\MySQL\MySQL Server 5.0\my.ini
Note: Remarque que ce n'est pas le même chemin à suivre.
B)- 1°- AVG 8 est disponible en langue française en évaluation sur 30 jours
Est-ce bien celui que tu as mis dans ton PC ? (je préfère ANTIVIR).
Tutorial et Guide AVG8 Internet Security http://www.malekal.com/tutorial_AVG8.php
2°- ATTENTION: Le pare-feu de AVG8 Internet Security fait double emploi avec ZA.
3°- Comme antipywares sur ton PC, SUPERAntiSpyware suffit; pas besoin de Spybot S&D; de surcroît, le Tea-Timer de Spybot S&D ralenti le PC, n'est plus très efficace, et contrarie les désinfections.
Mais je crois que c'est la même rengaine ... gratuit, ses fonctions sont limitées.
C)- Tu as toujours l'icône de ComboFix sur le bureau
1°- PREALABLES :
A)-Désactiver le TeaTimer
==> Si tu n'as pas Spybot S&D, passe outre de cette partie !
==> Si tu as Spybot S&D.
•- Tout d'abord > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!
•- Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !
B)- Supprime également la protection en temps-réel (bouclier) de AVG ISS.
2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :
File::
C:\Documents and Settings\Client\spydb.dat
C:\curr_ver.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
Folder::
C:\Program Files\EsetOnlineScanner
C:\SpySoapBin
D:\Mes Programmes\SpySoap
D:\Mes Programmes\Spybot - Search & Destroy
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySoap_tray"=-
"SpySoap_schedules"=-
"SiSPower"=-
3°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >
4°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ gras>CFScript1.txt</gras> ” sur le fichier “ComboFix.exe”(Tristan.exe) comme sur la capture: < http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"
Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!
(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)
5°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt
6°- Arrêter puis redémarrer le PC
7°- Passe un coup de MalwareBytes ==> choisis le "scan complet", et "nettoyer tout ce qu'il trouve".
Branche les disques amovibles (clés USB) sans les ouvrir.
Télécharge et installe Malwarebyte's Anti-Malware
Je préfère le scan sous le MSE (=mode sans échec).
Aide : https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
Poste-moi le rapport généré à la fin dans ta prochaine réponse
8°- Poste un rapport d'analyse avec DiagHelp; comme ceci:
Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau
< http://img521.imageshack.us/img521/3341/screenshot426fc5.png >
- - Ne double-clic pas dessus !!
Clic sur l'icône DiagHelp.zip téléchargé sur le bureau > "clic-droit" sur le fichier .zip > "Ouvrir" > un nouveau dossier va être créé sous le nom DiagHelp sur une page qui s'affiche > sur cette page, clic sur "Fichier" > "Extraire tout" > Un assistant d'extraction s'ouvre ==> [Suivant] > [Suivant] (cocher la case devant "afficher les fichiers extraits") > [Terminer]
À nouveau, une page s'affiche avec le dossier DiagHelp > Ouvre-le et clic sur le fichier "go.cmd" < http://img392.imageshack.us/img392/9054/screenshot416to8.png > ----> et sur cette page, < http://img512.imageshack.us/img512/9692/screenshot427ci2.png > choisis l'option 1 (= tape 1 sur le petit clignotant, puis [Exécuter]
(NOTE : Si tu reçois cette page http://img257.imageshack.us/img257/2271/screenshot424jn0.png , c’est que les fichiers ne sont pas décompressés correctement)
Notes:
1)- Lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur "Agree"
2)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte".
3)- Pendant l'analyse, à la fin du rapport "catchme", il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas !
4- A la fin du scan tu seras dirigé vers la page de l'auteur afin d'expédier le fichier C:\upload_moi_xxxxx.zip ==> Envoie le fichier (c'est chez le concepteur) s’il te plaît.
(J'espère que ça passera --> beaucoup de souci à cette étape de ses jours-ci.)
Si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter], pour laisser terminer le scan et avoir accès au fichier texte
•- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur...
•- Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.
Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : « Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout > à nouveau menu Edition / copier > pour terminer dans un nouveau message ici, faire un clic droit / coller. »
- Tutoriel ici : < http://www.malekal.com/DiagHelp/DiagHelp.php >
Bonne chance
Je quitte un peu le PC.
Al.
Bonsoir,
le scan en ligne de kaspersky est en court, je viens de lire ton dernier post :
- en ce qui concèrne le répertoire .smplayer, il fait partie des fichiers d'installation du lecteur SMPlayer, il contient le fichier smplayer.ini qui stocke toutes les informations concernant sur la dernière selection qu'il a lu, parce que smplayer a la particularité de retenir où il s'est arrété lors de sa dernière executin (très pratique, je le ferme et quand je l'ouvre je retrouve ma liste et la chanson que j'écoutais) -> ça explique pourquoi .ini
en plus je l'ai ouvert ce n'est pas un autorun, il ne contient rien de maichant, juste des paramètres de volume, le chemin du fichier mp3
- pour SiSPower c'est un des utilitaires que j'ai eu avec mon cd driver du pc, mais je n'ai toujours pas compris à quoi il sert exactement, et j'ai jamais essayé de comprendre, je vais le scanner aussi, c'est plus sure
- my.ini appartient au SGBD mysql c'est normal
- le chemin est different, c'est moi qui ai choisis ce chemin, j'ai un "petit" disk qui ne me suffit pas (40 Gb seulement) et pour ne pas saturer une partition et avoir une bonne organisation et aussi pour pouvoir défragmenter mon disk, comme il ne me reste que 3 GB dans le C, je mets le reste des logiciels que j'installe dans la partition D, le reste c'est de la documentation ... beaucoup de documentations !, des applications que j'ai développé, de la musique .... tu comprends que 40 Gb c'est l'enfer à gérer et encore j'ai gravé des trucs sur dvd
- pour l'antivirus, j'avais antivir mais à cause de ce backdoor j'ai essayé pour voir si avg pouvait faire quelque chose, je crois que je vais essayer kaspersky je l'ai trouvé en free, j'ai toujours eu un faible pour kaspersky, surtout son journal d'évènement, il affiche tout ce qu'il vérifie, alors même si il ne reconnait pas de virus je le reconnais moi même sur mon flash disque (ensuite je le supprime sans ouvrir mon flash, avec rechercher je l'affiche et je le supprime, bon parfois ça marche pas, je passe au dos)
- pour spybot, tea timer me plait bien, je sais ce qui se passe même si empêcher la modification du registre ne nous débarrasse pas de l'infection mais au moins je pense limiter les dégâts, superantispywre je ne le connais pas bien, je ne l'ai installé qu'hier, et à première vue il ne me convint pas trop
- j'attends la fin du scan pour faire la suite
merci et à tout à l'heure
le scan en ligne de kaspersky est en court, je viens de lire ton dernier post :
- en ce qui concèrne le répertoire .smplayer, il fait partie des fichiers d'installation du lecteur SMPlayer, il contient le fichier smplayer.ini qui stocke toutes les informations concernant sur la dernière selection qu'il a lu, parce que smplayer a la particularité de retenir où il s'est arrété lors de sa dernière executin (très pratique, je le ferme et quand je l'ouvre je retrouve ma liste et la chanson que j'écoutais) -> ça explique pourquoi .ini
en plus je l'ai ouvert ce n'est pas un autorun, il ne contient rien de maichant, juste des paramètres de volume, le chemin du fichier mp3
- pour SiSPower c'est un des utilitaires que j'ai eu avec mon cd driver du pc, mais je n'ai toujours pas compris à quoi il sert exactement, et j'ai jamais essayé de comprendre, je vais le scanner aussi, c'est plus sure
- my.ini appartient au SGBD mysql c'est normal
- le chemin est different, c'est moi qui ai choisis ce chemin, j'ai un "petit" disk qui ne me suffit pas (40 Gb seulement) et pour ne pas saturer une partition et avoir une bonne organisation et aussi pour pouvoir défragmenter mon disk, comme il ne me reste que 3 GB dans le C, je mets le reste des logiciels que j'installe dans la partition D, le reste c'est de la documentation ... beaucoup de documentations !, des applications que j'ai développé, de la musique .... tu comprends que 40 Gb c'est l'enfer à gérer et encore j'ai gravé des trucs sur dvd
- pour l'antivirus, j'avais antivir mais à cause de ce backdoor j'ai essayé pour voir si avg pouvait faire quelque chose, je crois que je vais essayer kaspersky je l'ai trouvé en free, j'ai toujours eu un faible pour kaspersky, surtout son journal d'évènement, il affiche tout ce qu'il vérifie, alors même si il ne reconnait pas de virus je le reconnais moi même sur mon flash disque (ensuite je le supprime sans ouvrir mon flash, avec rechercher je l'affiche et je le supprime, bon parfois ça marche pas, je passe au dos)
- pour spybot, tea timer me plait bien, je sais ce qui se passe même si empêcher la modification du registre ne nous débarrasse pas de l'infection mais au moins je pense limiter les dégâts, superantispywre je ne le connais pas bien, je ne l'ai installé qu'hier, et à première vue il ne me convint pas trop
- j'attends la fin du scan pour faire la suite
merci et à tout à l'heure
merci
c'est bien juste ce que tu dis, j'ai des tonnes de boulot et tout ce que j'ai fait ces 2 derniers jours c'est tourner en rond pour me débarrasser de ce backdoor, une véritable perte de temps
tu préconises ccleaner et spyware terminator, je ne les ai encore jamais testé, ok je vais faire ça
pour l'anti virus c'est sure qu'un kaspersky avec licence payante protège mieux, mais je me tourne vers le free car je ne peux avoir que ça, donc je vais tester la version free si ça me convient pas je reprends antivir.
pour le scan kaspersky ça traine toujours (81%) mais il n'a rien détécté pour le moment et il a dépassé la partition c, il n'a rien trouvé dans les fichiers système
encore merci de m'aider, j'espère que je ne t'ai pas fait trop perdre ton temps, je m'en excuse si tel est le cas
c'est bien juste ce que tu dis, j'ai des tonnes de boulot et tout ce que j'ai fait ces 2 derniers jours c'est tourner en rond pour me débarrasser de ce backdoor, une véritable perte de temps
tu préconises ccleaner et spyware terminator, je ne les ai encore jamais testé, ok je vais faire ça
pour l'anti virus c'est sure qu'un kaspersky avec licence payante protège mieux, mais je me tourne vers le free car je ne peux avoir que ça, donc je vais tester la version free si ça me convient pas je reprends antivir.
pour le scan kaspersky ça traine toujours (81%) mais il n'a rien détécté pour le moment et il a dépassé la partition c, il n'a rien trouvé dans les fichiers système
encore merci de m'aider, j'espère que je ne t'ai pas fait trop perdre ton temps, je m'en excuse si tel est le cas
(suite)
SpySoap is a rogue security program that shows false Warning messages. It also shows misleading scan Results. It may use aggressive advertising and can also install through Trojan exploits.
C:\Program Files\SpySoap\image\spydb.dat [12288 Bytes] DAT File
Il faut absolument que tu exécutes le CFSript du post # 11
Mais attention !!
Il faut le modifier ==> En fonction de ce que tu décides pour Spybot, et pour SiSPower
Le CFSript devient
File::
C:\Documents and Settings\Client\spydb.dat
C:\curr_ver.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
Folder::
C:\Program Files\EsetOnlineScanner
C:\SpySoapBin
D:\Mes Programmes\SpySoap
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySoap_tray"=-
"SpySoap_schedules"=-
As-tu encore cette alerte backdoor.Graybird.MR ?
Il reste des applications demandées à terminer et dans l'ordre demandé, SVP.
On se revoit quand tu as tout terminé.
Merci
Bonne chance
Al.
SpySoap is a rogue security program that shows false Warning messages. It also shows misleading scan Results. It may use aggressive advertising and can also install through Trojan exploits.
C:\Program Files\SpySoap\image\spydb.dat [12288 Bytes] DAT File
Il faut absolument que tu exécutes le CFSript du post # 11
Mais attention !!
Il faut le modifier ==> En fonction de ce que tu décides pour Spybot, et pour SiSPower
Le CFSript devient
File::
C:\Documents and Settings\Client\spydb.dat
C:\curr_ver.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
Folder::
C:\Program Files\EsetOnlineScanner
C:\SpySoapBin
D:\Mes Programmes\SpySoap
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySoap_tray"=-
"SpySoap_schedules"=-
As-tu encore cette alerte backdoor.Graybird.MR ?
Il reste des applications demandées à terminer et dans l'ordre demandé, SVP.
On se revoit quand tu as tout terminé.
Merci
Bonne chance
Al.
je sais qu'il faut faire attention avec tea timer, mais bon je suis curieuse quand même
j'ai essayé de voir ce qu'est cfscript mais je n'ai pas compris qu'est ce que c'est ?
pour backdoor, j'aurais du installer antivir avant de lancer le scan en ligne, j'ai avg en ce moment et lui il ne le détecte pas, en tout cas ma connexion me parait bien en ce moment et je n'ai pas d'alertes de zonealarme de demande d'accès de rundll32.exe
le scan n'est pas fini, on verra ce qu'il en ait dans le rapport, en attendant je vais un peu faire le tour de mes fichiers système pour voir s'il y a quelque chose qui cloche
merci de donner suite à mes messages rapidement, et je m'excuse d'être lente à te répondre
j'ai essayé de voir ce qu'est cfscript mais je n'ai pas compris qu'est ce que c'est ?
pour backdoor, j'aurais du installer antivir avant de lancer le scan en ligne, j'ai avg en ce moment et lui il ne le détecte pas, en tout cas ma connexion me parait bien en ce moment et je n'ai pas d'alertes de zonealarme de demande d'accès de rundll32.exe
le scan n'est pas fini, on verra ce qu'il en ait dans le rapport, en attendant je vais un peu faire le tour de mes fichiers système pour voir s'il y a quelque chose qui cloche
merci de donner suite à mes messages rapidement, et je m'excuse d'être lente à te répondre
* * voici le rapport de malwarebytes', il n'a rien trouvé :
Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1103
Windows 5.1.2600 Service Pack 2
13/09/2008 00:29:34
mbam-log-2008-09-13 (00-29-34).txt
Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 104430
Temps écoulé: 1 hour(s), 3 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1103
Windows 5.1.2600 Service Pack 2
13/09/2008 00:29:34
mbam-log-2008-09-13 (00-29-34).txt
Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 104430
Temps écoulé: 1 hour(s), 3 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
quant à diaghelp, avg me l'a détecté comme un trojan backdoor.VB.AEV
je ne cours pas le risque de l'utiliser, je ne vais pas faire cette dernière étape
encore merci pour tout
je ne cours pas le risque de l'utiliser, je ne vais pas faire cette dernière étape
encore merci pour tout
Bonjour
Je vois que la confiance règne. ;)
Je ne suis pas ici pour polluer ton PC. (tu fais ça mieux que moi) ;)
NOTE: Le rapport ComboFix est incomplet, il me faut tout y compris les clés.
Dans la procédure DiagHelp, j'écrivais ceci:
« 2)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte". »
Ce qui est valable pour le pare-feu est valable pour tout autre protection de ton PC.
Donc désactive la protection résidente de AVG durant l'analyse par DiagHelp.
Et donne-moi ce rapport SVP.
RAPPEL (si je puis me permettre):
1°- AVG 8 est disponible en langue française en évaluation sur 30 jours
Est-ce bien celui que tu as mis dans ton PC ? (je préfère ANTIVIR).
Tutorial et Guide AVG8 Internet Security http://www.malekal.com/tutorial_AVG8.php
2°- ATTENTION: Le pare-feu de AVG8 Internet Security fait double emploi avec ZA.
3°- Comme antipywares sur ton PC, SUPERAntiSpyware suffit (pas besoin de Spybot S&D; de surcroît, le Tea-Timer de Spybot S&D ralenti le PC, n'est plus très efficace, et contrarie les désinfections) ; mais je crois que c'est la même rengaine ... gratuit, ses fonctions sont limitées.
J'ai SpywareTerminator avec sa protection en temps-réel gratuite !
Merci d'avoir désinfecté mon PC
Al.
Je vois que la confiance règne. ;)
Je ne suis pas ici pour polluer ton PC. (tu fais ça mieux que moi) ;)
NOTE: Le rapport ComboFix est incomplet, il me faut tout y compris les clés.
Dans la procédure DiagHelp, j'écrivais ceci:
« 2)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte". »
Ce qui est valable pour le pare-feu est valable pour tout autre protection de ton PC.
Donc désactive la protection résidente de AVG durant l'analyse par DiagHelp.
Et donne-moi ce rapport SVP.
RAPPEL (si je puis me permettre):
1°- AVG 8 est disponible en langue française en évaluation sur 30 jours
Est-ce bien celui que tu as mis dans ton PC ? (je préfère ANTIVIR).
Tutorial et Guide AVG8 Internet Security http://www.malekal.com/tutorial_AVG8.php
2°- ATTENTION: Le pare-feu de AVG8 Internet Security fait double emploi avec ZA.
3°- Comme antipywares sur ton PC, SUPERAntiSpyware suffit (pas besoin de Spybot S&D; de surcroît, le Tea-Timer de Spybot S&D ralenti le PC, n'est plus très efficace, et contrarie les désinfections) ; mais je crois que c'est la même rengaine ... gratuit, ses fonctions sont limitées.
J'ai SpywareTerminator avec sa protection en temps-réel gratuite !
Merci d'avoir désinfecté mon PC
Al.
