A 3 c mieux...
Résolu
diname
Messages postés
2318
Date d'inscription
Statut
Contributeur
Dernière intervention
-
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour, mes loulous
ComboFix 08-09-15.01 - ASTER 2008-09-15 22:11:09.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.164 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\ASTER\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-15 au 2008-09-15 ))))))))))))))))))))))))))))))))))))
.
2008-09-15 20:49 . 2008-09-15 20:49 <REP> d-------- C:\WINDOWS\LastGood
2008-09-15 20:49 . 2008-09-15 21:25 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-09-15 19:58 . 2008-09-15 19:58 <REP> d-------- C:\Program Files\FindyKill
2008-09-15 19:41 . 2008-09-15 19:41 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-15 19:32 . 2008-09-15 19:45 <REP> d-------- C:\SDFix
2008-09-15 18:49 . 2008-09-15 18:50 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\ASTER\Application Data\Comodo
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-09-15 18:38 . 2008-05-27 18:10 212 --a------ C:\boot.ini.comodofirewall
2008-09-15 18:37 . 2008-09-15 18:37 <REP> d-------- C:\Program Files\Comodo
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Program Files\Avira
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-04 07:47 . 2008-09-15 20:04 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-04 07:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-04 07:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 17:47 --------- d-----w C:\Program Files\Trend Micro
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\ASTER\Application Data\Malwarebytes
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-28 13:41 --------- d-----w C:\Documents and Settings\ASTER\Application Data\U3
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-10-29 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2008-09-15 1115728]
"VTTimer"="VTTimer.exe" [2008-02-26 C:\WINDOWS\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2008-02-26 C:\WINDOWS\system32\S3Trayp.exe]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 C:\WINDOWS\system32\HdAShCut.exe]
C:\Documents and Settings\ASTER\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers ASTER.lnk - C:\ASTER\ASTER.exe [2008-05-07 1210687]
Tecmoto.LNK - C:\LGF\Tecmoto.exe [2007-05-15 479232]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 11264]
R1 NmPar;MosChip Unusable Parallel Port;C:\WINDOWS\system32\DRIVERS\NmPar.sys [2007-12-04 76416]
R1 nmserial;MosChip PCI Serial Port;C:\WINDOWS\system32\DRIVERS\nmserial.sys [2007-12-04 60032]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2008-02-26 616960]
S0 3wDrv100;3wDrv100;C:\WINDOWS\system32\drivers\3wDrv100.sys [2007-06-15 49152]
S0 3wFlt100;3wFlt100;C:\WINDOWS\system32\drivers\3wFlt100.sys [2007-06-15 8192]
S0 8wareDrv;8wareDrv;C:\WINDOWS\system32\drivers\8wareDrv.sys [2007-07-13 82184]
S0 fttxr52P;fttxr52P;C:\WINDOWS\system32\drivers\fttxr52P.sys [2007-06-18 150528]
S3 ITHEA;Actikey(R) Ithea USB Driver;C:\WINDOWS\system32\Drivers\ithea.sys [2005-09-20 13120]
S4 10wareDr;10wareDr;C:\WINDOWS\system32\drivers\10wareDr.sys [2007-07-30 72704]
S4 a320raid;a320raid;C:\WINDOWS\system32\drivers\a320raid.sys [2005-10-25 233984]
S4 aac;aac;C:\WINDOWS\system32\drivers\aac.sys [2005-04-07 52088]
S4 aaccin;aaccin;C:\WINDOWS\system32\drivers\aaccin.dll [2005-04-07 23371]
S4 bccfg;bccfg;C:\WINDOWS\system32\drivers\bccfg.sys [2005-10-17 10240]
S4 bcraid;bcraid;C:\WINDOWS\system32\drivers\bcraid.sys [2005-10-17 377344]
S4 raidsrc;raidsrc;C:\WINDOWS\system32\drivers\raidsrc.sys [2004-08-25 41118]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02e81435-5c98-11dd-a241-001e8c4cbc82}]
\Shell\AutoRun\command - G:\RavMon.exe
\Shell\explore\Command - G:\RavMon.exe -e
\Shell\open\Command - G:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09032192-4d0f-11dd-a224-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c1ae57a-2c79-11dd-a216-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6d8ed42-4d92-11dd-a226-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfcd6030-2c06-11dd-a215-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9fa88dc-79b6-11dd-a258-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
.
.
------- File Associations -------
.
VBSFile=cScript.exe //nologo "%1" %*
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 22:12:17
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-09-15 22:12:57
ComboFix-quarantined-files.txt 2008-09-15 20:12:52
ComboFix2.txt 2008-09-15 20:03:45
ComboFix3.txt 2008-09-15 20:00:14
ComboFix4.txt 2008-09-15 19:45:32
Avant-CF: 36,696,952,832 octets libres
AprŠs-CF: 36,692,467,712 octets libres
ComboFix 08-09-15.01 - ASTER 2008-09-15 22:11:09.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.164 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\ASTER\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-15 au 2008-09-15 ))))))))))))))))))))))))))))))))))))
.
2008-09-15 20:49 . 2008-09-15 20:49 <REP> d-------- C:\WINDOWS\LastGood
2008-09-15 20:49 . 2008-09-15 21:25 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-09-15 19:58 . 2008-09-15 19:58 <REP> d-------- C:\Program Files\FindyKill
2008-09-15 19:41 . 2008-09-15 19:41 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-15 19:32 . 2008-09-15 19:45 <REP> d-------- C:\SDFix
2008-09-15 18:49 . 2008-09-15 18:50 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\ASTER\Application Data\Comodo
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-09-15 18:38 . 2008-05-27 18:10 212 --a------ C:\boot.ini.comodofirewall
2008-09-15 18:37 . 2008-09-15 18:37 <REP> d-------- C:\Program Files\Comodo
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Program Files\Avira
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-04 07:47 . 2008-09-15 20:04 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-04 07:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-04 07:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 17:47 --------- d-----w C:\Program Files\Trend Micro
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\ASTER\Application Data\Malwarebytes
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-28 13:41 --------- d-----w C:\Documents and Settings\ASTER\Application Data\U3
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-10-29 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2008-09-15 1115728]
"VTTimer"="VTTimer.exe" [2008-02-26 C:\WINDOWS\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2008-02-26 C:\WINDOWS\system32\S3Trayp.exe]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 C:\WINDOWS\system32\HdAShCut.exe]
C:\Documents and Settings\ASTER\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers ASTER.lnk - C:\ASTER\ASTER.exe [2008-05-07 1210687]
Tecmoto.LNK - C:\LGF\Tecmoto.exe [2007-05-15 479232]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 11264]
R1 NmPar;MosChip Unusable Parallel Port;C:\WINDOWS\system32\DRIVERS\NmPar.sys [2007-12-04 76416]
R1 nmserial;MosChip PCI Serial Port;C:\WINDOWS\system32\DRIVERS\nmserial.sys [2007-12-04 60032]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2008-02-26 616960]
S0 3wDrv100;3wDrv100;C:\WINDOWS\system32\drivers\3wDrv100.sys [2007-06-15 49152]
S0 3wFlt100;3wFlt100;C:\WINDOWS\system32\drivers\3wFlt100.sys [2007-06-15 8192]
S0 8wareDrv;8wareDrv;C:\WINDOWS\system32\drivers\8wareDrv.sys [2007-07-13 82184]
S0 fttxr52P;fttxr52P;C:\WINDOWS\system32\drivers\fttxr52P.sys [2007-06-18 150528]
S3 ITHEA;Actikey(R) Ithea USB Driver;C:\WINDOWS\system32\Drivers\ithea.sys [2005-09-20 13120]
S4 10wareDr;10wareDr;C:\WINDOWS\system32\drivers\10wareDr.sys [2007-07-30 72704]
S4 a320raid;a320raid;C:\WINDOWS\system32\drivers\a320raid.sys [2005-10-25 233984]
S4 aac;aac;C:\WINDOWS\system32\drivers\aac.sys [2005-04-07 52088]
S4 aaccin;aaccin;C:\WINDOWS\system32\drivers\aaccin.dll [2005-04-07 23371]
S4 bccfg;bccfg;C:\WINDOWS\system32\drivers\bccfg.sys [2005-10-17 10240]
S4 bcraid;bcraid;C:\WINDOWS\system32\drivers\bcraid.sys [2005-10-17 377344]
S4 raidsrc;raidsrc;C:\WINDOWS\system32\drivers\raidsrc.sys [2004-08-25 41118]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02e81435-5c98-11dd-a241-001e8c4cbc82}]
\Shell\AutoRun\command - G:\RavMon.exe
\Shell\explore\Command - G:\RavMon.exe -e
\Shell\open\Command - G:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09032192-4d0f-11dd-a224-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c1ae57a-2c79-11dd-a216-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6d8ed42-4d92-11dd-a226-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfcd6030-2c06-11dd-a215-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9fa88dc-79b6-11dd-a258-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
.
.
------- File Associations -------
.
VBSFile=cScript.exe //nologo "%1" %*
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 22:12:17
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-09-15 22:12:57
ComboFix-quarantined-files.txt 2008-09-15 20:12:52
ComboFix2.txt 2008-09-15 20:03:45
ComboFix3.txt 2008-09-15 20:00:14
ComboFix4.txt 2008-09-15 19:45:32
Avant-CF: 36,696,952,832 octets libres
AprŠs-CF: 36,692,467,712 octets libres
130
ComboFix 08-09-15.01 - ASTER 2008-09-15 22:11:09.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.164 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\ASTER\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-15 au 2008-09-15 ))))))))))))))))))))))))))))))))))))
.
2008-09-15 20:49 . 2008-09-15 20:49 <REP> d-------- C:\WINDOWS\LastGood
2008-09-15 20:49 . 2008-09-15 21:25 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-09-15 19:58 . 2008-09-15 19:58 <REP> d-------- C:\Program Files\FindyKill
2008-09-15 19:41 . 2008-09-15 19:41 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-15 19:32 . 2008-09-15 19:45 <REP> d-------- C:\SDFix
2008-09-15 18:49 . 2008-09-15 18:50 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\ASTER\Application Data\Comodo
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-09-15 18:38 . 2008-05-27 18:10 212 --a------ C:\boot.ini.comodofirewall
2008-09-15 18:37 . 2008-09-15 18:37 <REP> d-------- C:\Program Files\Comodo
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Program Files\Avira
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-04 07:47 . 2008-09-15 20:04 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-04 07:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-04 07:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 17:47 --------- d-----w C:\Program Files\Trend Micro
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\ASTER\Application Data\Malwarebytes
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-28 13:41 --------- d-----w C:\Documents and Settings\ASTER\Application Data\U3
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-10-29 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2008-09-15 1115728]
"VTTimer"="VTTimer.exe" [2008-02-26 C:\WINDOWS\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2008-02-26 C:\WINDOWS\system32\S3Trayp.exe]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 C:\WINDOWS\system32\HdAShCut.exe]
C:\Documents and Settings\ASTER\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers ASTER.lnk - C:\ASTER\ASTER.exe [2008-05-07 1210687]
Tecmoto.LNK - C:\LGF\Tecmoto.exe [2007-05-15 479232]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 11264]
R1 NmPar;MosChip Unusable Parallel Port;C:\WINDOWS\system32\DRIVERS\NmPar.sys [2007-12-04 76416]
R1 nmserial;MosChip PCI Serial Port;C:\WINDOWS\system32\DRIVERS\nmserial.sys [2007-12-04 60032]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2008-02-26 616960]
S0 3wDrv100;3wDrv100;C:\WINDOWS\system32\drivers\3wDrv100.sys [2007-06-15 49152]
S0 3wFlt100;3wFlt100;C:\WINDOWS\system32\drivers\3wFlt100.sys [2007-06-15 8192]
S0 8wareDrv;8wareDrv;C:\WINDOWS\system32\drivers\8wareDrv.sys [2007-07-13 82184]
S0 fttxr52P;fttxr52P;C:\WINDOWS\system32\drivers\fttxr52P.sys [2007-06-18 150528]
S3 ITHEA;Actikey(R) Ithea USB Driver;C:\WINDOWS\system32\Drivers\ithea.sys [2005-09-20 13120]
S4 10wareDr;10wareDr;C:\WINDOWS\system32\drivers\10wareDr.sys [2007-07-30 72704]
S4 a320raid;a320raid;C:\WINDOWS\system32\drivers\a320raid.sys [2005-10-25 233984]
S4 aac;aac;C:\WINDOWS\system32\drivers\aac.sys [2005-04-07 52088]
S4 aaccin;aaccin;C:\WINDOWS\system32\drivers\aaccin.dll [2005-04-07 23371]
S4 bccfg;bccfg;C:\WINDOWS\system32\drivers\bccfg.sys [2005-10-17 10240]
S4 bcraid;bcraid;C:\WINDOWS\system32\drivers\bcraid.sys [2005-10-17 377344]
S4 raidsrc;raidsrc;C:\WINDOWS\system32\drivers\raidsrc.sys [2004-08-25 41118]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02e81435-5c98-11dd-a241-001e8c4cbc82}]
\Shell\AutoRun\command - G:\RavMon.exe
\Shell\explore\Command - G:\RavMon.exe -e
\Shell\open\Command - G:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09032192-4d0f-11dd-a224-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c1ae57a-2c79-11dd-a216-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6d8ed42-4d92-11dd-a226-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfcd6030-2c06-11dd-a215-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9fa88dc-79b6-11dd-a258-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
.
.
------- File Associations -------
.
VBSFile=cScript.exe //nologo "%1" %*
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 22:12:17
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-09-15 22:12:57
ComboFix-quarantined-files.txt 2008-09-15 20:12:52
ComboFix2.txt 2008-09-15 20:03:45
ComboFix3.txt 2008-09-15 20:00:14
ComboFix4.txt 2008-09-15 19:45:32
Avant-CF: 36,696,952,832 octets libres
AprŠs-CF: 36,692,467,712 octets libres
ComboFix 08-09-15.01 - ASTER 2008-09-15 22:11:09.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.164 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\ASTER\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-15 au 2008-09-15 ))))))))))))))))))))))))))))))))))))
.
2008-09-15 20:49 . 2008-09-15 20:49 <REP> d-------- C:\WINDOWS\LastGood
2008-09-15 20:49 . 2008-09-15 21:25 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-09-15 19:58 . 2008-09-15 19:58 <REP> d-------- C:\Program Files\FindyKill
2008-09-15 19:41 . 2008-09-15 19:41 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-15 19:32 . 2008-09-15 19:45 <REP> d-------- C:\SDFix
2008-09-15 18:49 . 2008-09-15 18:50 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\ASTER\Application Data\Comodo
2008-09-15 18:39 . 2008-09-15 18:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-09-15 18:38 . 2008-05-27 18:10 212 --a------ C:\boot.ini.comodofirewall
2008-09-15 18:37 . 2008-09-15 18:37 <REP> d-------- C:\Program Files\Comodo
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Program Files\Avira
2008-09-15 18:26 . 2008-09-15 18:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-04 07:47 . 2008-09-15 20:04 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-04 07:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-04 07:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 17:47 --------- d-----w C:\Program Files\Trend Micro
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\ASTER\Application Data\Malwarebytes
2008-07-28 13:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-28 13:41 --------- d-----w C:\Documents and Settings\ASTER\Application Data\U3
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-10-29 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2008-09-15 1115728]
"VTTimer"="VTTimer.exe" [2008-02-26 C:\WINDOWS\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2008-02-26 C:\WINDOWS\system32\S3Trayp.exe]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 C:\WINDOWS\system32\HdAShCut.exe]
C:\Documents and Settings\ASTER\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers ASTER.lnk - C:\ASTER\ASTER.exe [2008-05-07 1210687]
Tecmoto.LNK - C:\LGF\Tecmoto.exe [2007-05-15 479232]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 11264]
R1 NmPar;MosChip Unusable Parallel Port;C:\WINDOWS\system32\DRIVERS\NmPar.sys [2007-12-04 76416]
R1 nmserial;MosChip PCI Serial Port;C:\WINDOWS\system32\DRIVERS\nmserial.sys [2007-12-04 60032]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2008-02-26 616960]
S0 3wDrv100;3wDrv100;C:\WINDOWS\system32\drivers\3wDrv100.sys [2007-06-15 49152]
S0 3wFlt100;3wFlt100;C:\WINDOWS\system32\drivers\3wFlt100.sys [2007-06-15 8192]
S0 8wareDrv;8wareDrv;C:\WINDOWS\system32\drivers\8wareDrv.sys [2007-07-13 82184]
S0 fttxr52P;fttxr52P;C:\WINDOWS\system32\drivers\fttxr52P.sys [2007-06-18 150528]
S3 ITHEA;Actikey(R) Ithea USB Driver;C:\WINDOWS\system32\Drivers\ithea.sys [2005-09-20 13120]
S4 10wareDr;10wareDr;C:\WINDOWS\system32\drivers\10wareDr.sys [2007-07-30 72704]
S4 a320raid;a320raid;C:\WINDOWS\system32\drivers\a320raid.sys [2005-10-25 233984]
S4 aac;aac;C:\WINDOWS\system32\drivers\aac.sys [2005-04-07 52088]
S4 aaccin;aaccin;C:\WINDOWS\system32\drivers\aaccin.dll [2005-04-07 23371]
S4 bccfg;bccfg;C:\WINDOWS\system32\drivers\bccfg.sys [2005-10-17 10240]
S4 bcraid;bcraid;C:\WINDOWS\system32\drivers\bcraid.sys [2005-10-17 377344]
S4 raidsrc;raidsrc;C:\WINDOWS\system32\drivers\raidsrc.sys [2004-08-25 41118]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02e81435-5c98-11dd-a241-001e8c4cbc82}]
\Shell\AutoRun\command - G:\RavMon.exe
\Shell\explore\Command - G:\RavMon.exe -e
\Shell\open\Command - G:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09032192-4d0f-11dd-a224-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c1ae57a-2c79-11dd-a216-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6d8ed42-4d92-11dd-a226-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfcd6030-2c06-11dd-a215-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9fa88dc-79b6-11dd-a258-001e8c4cbc82}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
.
.
------- File Associations -------
.
VBSFile=cScript.exe //nologo "%1" %*
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 22:12:17
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-09-15 22:12:57
ComboFix-quarantined-files.txt 2008-09-15 20:12:52
ComboFix2.txt 2008-09-15 20:03:45
ComboFix3.txt 2008-09-15 20:00:14
ComboFix4.txt 2008-09-15 19:45:32
Avant-CF: 36,696,952,832 octets libres
AprŠs-CF: 36,692,467,712 octets libres
130
A voir également:
- A 3 c mieux...
- Ai suite 3 - Télécharger - Optimisation
- Picasa 3 - Télécharger - Albums photo
- Photorecit 3 - Télécharger - Visionnage & Diaporama
- Tableau à 3 entrées - Forum Excel
- Samsung kies galaxy tab 3 ✓ - Forum Mobile
44 réponses
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Destrio5, :)
Pas couché non plus on dirait, moi dodo 4 heures, JE SUIS FATIGUE!!!! Vivement ce soir! :o)
Sioux chéri, Je parle pour la manip Rav (désinfection), mais à la rigueur la vaccination doit se faire sur un pc sain ou non?
Pas couché non plus on dirait, moi dodo 4 heures, JE SUIS FATIGUE!!!! Vivement ce soir! :o)
Sioux chéri, Je parle pour la manip Rav (désinfection), mais à la rigueur la vaccination doit se faire sur un pc sain ou non?
Re
Pour Rav, fait la sur le PC que l'on vient d'assainir, tu peux aussi verifier tes autres PCs du taff si la clef source du problème a été branchée dessus ...
La vaccination ne se fait que sur les clefs ou DD externes.
La désactivation de l'auto run peut se faire sur tous les PCs.
Bisous.
Pour Rav, fait la sur le PC que l'on vient d'assainir, tu peux aussi verifier tes autres PCs du taff si la clef source du problème a été branchée dessus ...
La vaccination ne se fait que sur les clefs ou DD externes.
La désactivation de l'auto run peut se faire sur tous les PCs.
Bisous.
Ok :)
Justement un pc est vérolé suite au transfert via usb, si cela te dis je peux t'envoyer un rapport ;)
A moins que tu sois trop fatigué de ta nuit passé ;)))
Justement un pc est vérolé suite au transfert via usb, si cela te dis je peux t'envoyer un rapport ;)
A moins que tu sois trop fatigué de ta nuit passé ;)))
Re
A moins que tu sois trop fatigué de ta nuit passé ;))) --> Non, cela va ;)
Vas y ça le fait encore ;)
A moins que tu sois trop fatigué de ta nuit passé ;))) --> Non, cela va ;)
Vas y ça le fait encore ;)
Ok :)
Par contre simple question, j'ai lancé le flash disinfector puis le rav antivirus.Pour ce qui est de la vaccination j'attends que le pc soit sain? désolé pour la question, mais la journée va être longue (mode fatigué) :)
Sinon voici un rapport hijackt du P.C
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:49:31, on 16/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Program Files\Trend Micro\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SuperProServer - Unknown owner - C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
Merci d'avance :o)
Par contre simple question, j'ai lancé le flash disinfector puis le rav antivirus.Pour ce qui est de la vaccination j'attends que le pc soit sain? désolé pour la question, mais la journée va être longue (mode fatigué) :)
Sinon voici un rapport hijackt du P.C
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:49:31, on 16/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Program Files\Trend Micro\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SuperProServer - Unknown owner - C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
Merci d'avance :o)
Re kikou
Ton rapport HijackThis ne montre rien de néfaste.
(Un vrai pare-feu et un contrôleur d'intégrité seraient les bienvenues, masi si c'est le PC du taff, renseigne toi sui tu es autorisé à installer ce genre de programmes)
Tu peux vacciner tes clefs USBune fois celle-ci clean et tu peux désactiver l'autorun des PCs.
@ plus.
Ton rapport HijackThis ne montre rien de néfaste.
(Un vrai pare-feu et un contrôleur d'intégrité seraient les bienvenues, masi si c'est le PC du taff, renseigne toi sui tu es autorisé à installer ce genre de programmes)
Tu peux vacciner tes clefs USBune fois celle-ci clean et tu peux désactiver l'autorun des PCs.
@ plus.
Je suis surprise, tu veux dire que rav antivirus à suffit?
Chouette je me demandais combien de temps ça allais prendre :)
Chouette je me demandais combien de temps ça allais prendre :)
Re
Flashdésinfector shoote Ravmon en deux temps, trois mouvements ;)
Exécute quand même aussi le reg ici (afin de virer les clefs restantes)
http://www.commentcamarche.net/forum/affich 8444999 a 3 c mieux#13
@ pluche.
Flashdésinfector shoote Ravmon en deux temps, trois mouvements ;)
Exécute quand même aussi le reg ici (afin de virer les clefs restantes)
http://www.commentcamarche.net/forum/affich 8444999 a 3 c mieux#13
@ pluche.
Ok grand Chef, merci mille fois! Sincérement :)))
T'aime la Guinness? La prochaine fois c moi qui réga!l ;o)
Noc si tu lis ça! je compte sur ta présence aussi (Merci) :o)
T'aime la Guinness? La prochaine fois c moi qui réga!l ;o)
Noc si tu lis ça! je compte sur ta présence aussi (Merci) :o)
Re
Content d'avoir pu t'aider miss. :)
J'aime pas la guiness, du sang de bœuf, ... lol Mais on se prendra une Leffe ;)
Bisous, @ plus.
Content d'avoir pu t'aider miss. :)
J'aime pas la guiness, du sang de bœuf, ... lol Mais on se prendra une Leffe ;)
Bisous, @ plus.
Re
Oups, j'oubliais mlle...
=====================================================================
=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain":
* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu’à ce que cela soit marqué "Désactivé" puis clique sur OK.
* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
Appliquer attends que cela soit à nouveau sur "Surveillance" puis clique sur OK.
=====================================================================
=> Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html
=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).
=====================================================================
=> Il te faut impérativement tenir à jour régulièrement Windows:
Via Internet Explorer, rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.
Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Paramètres / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis surOK
=====================================================================
=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :
Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.
Cas de la console java : Il faut désinstaller les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de configuration / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
=====================================================================
=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :
ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html
-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html
=====================================================================
=> Pour sécuriser ta navigation
-- Une protection préventive avec <gras>SpyBot-Search & Destroy 1.6 (scan passif moyen mais protection préventive efficace avec ses 2 résidents, ses vaccinations et sa liste Hosts )
-- Lien téléchargement : https://www.safer-networking.org/
-- démo d’utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
-- Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm
--Essaye et adopte le navigateur Firefox plus sûr /sécurisé qu’IE
-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/
Firefox n’utilise pas le dangereux protocole ActiveX
Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html
S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html
=====================================================================
=> Pour optimiser un peu ton PC
* Pense à lancer une défragmentation.
Tuto : http://www.linternaute.com/hightech/nettoyagepc/nettoyagepc1.shtml
* Utilise CCleaner fonction nettoyeur de manière journalière.
Un petit complément d’info sur celui-ci :
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
(Attention toutefois à l'utilisation de la fonction Erreur , sauvegarder les changements faits dans le Registre par sécurité.)
=====================================================================
=> Prévention sur types d'infection d'actualité :
MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544
=====================================================================
=> Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"
Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = Ver Ravmon
---> https://malwarecomplaints.info/
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)
Indique aussi le nom du Forum qui t'a aidé CCM
Tuto http://www.malekal.com/malwarecomplaints.html
=====================================================================
Voila bon courage et bonnes lectures.
Content d'avoir pu t'aider.
Salut.
Oups, j'oubliais mlle...
=====================================================================
=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain":
* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu’à ce que cela soit marqué "Désactivé" puis clique sur OK.
* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
Appliquer attends que cela soit à nouveau sur "Surveillance" puis clique sur OK.
=====================================================================
=> Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html
=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).
=====================================================================
=> Il te faut impérativement tenir à jour régulièrement Windows:
Via Internet Explorer, rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.
Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Paramètres / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis surOK
=====================================================================
=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :
Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.
Cas de la console java : Il faut désinstaller les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de configuration / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
=====================================================================
=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :
ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html
-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html
=====================================================================
=> Pour sécuriser ta navigation
-- Une protection préventive avec <gras>SpyBot-Search & Destroy 1.6 (scan passif moyen mais protection préventive efficace avec ses 2 résidents, ses vaccinations et sa liste Hosts )
-- Lien téléchargement : https://www.safer-networking.org/
-- démo d’utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
-- Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm
--Essaye et adopte le navigateur Firefox plus sûr /sécurisé qu’IE
-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/
Firefox n’utilise pas le dangereux protocole ActiveX
Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html
S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html
=====================================================================
=> Pour optimiser un peu ton PC
* Pense à lancer une défragmentation.
Tuto : http://www.linternaute.com/hightech/nettoyagepc/nettoyagepc1.shtml
* Utilise CCleaner fonction nettoyeur de manière journalière.
Un petit complément d’info sur celui-ci :
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
(Attention toutefois à l'utilisation de la fonction Erreur , sauvegarder les changements faits dans le Registre par sécurité.)
=====================================================================
=> Prévention sur types d'infection d'actualité :
MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544
=====================================================================
=> Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"
Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = Ver Ravmon
---> https://malwarecomplaints.info/
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)
Indique aussi le nom du Forum qui t'a aidé CCM
Tuto http://www.malekal.com/malwarecomplaints.html
=====================================================================
Voila bon courage et bonnes lectures.
Content d'avoir pu t'aider.
Salut.
Merci jeune homme! ,)
Excuse moi de n'avoir pu répondre plus tôt, mais je devais avancer sur mon boulot en parallèle. :)
Enfin voilà, j'ai crée un point de restauration, installé spybot, lancé un ccleaner. :)
Mais, ba oui! Tu croyais pas que j'allais te laisser filer aussi facilement :p
Je me suis permis un scan malwarebytes histoire d'être rassuré, et patatra, il m'a trouvé une infection, je te dépose le rapport, c peut être rien de grave....
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1159
Windows 5.1.2600 Service Pack 3
16/09/2008 12:55:29
mbam-log-2008-09-16 (12-55-29).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 123468
Temps écoulé: 27 minute(s), 44 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
et histoire de, un ch'ti hijack!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:42, on 16/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SuperProServer - Unknown owner - C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
Excuse moi de n'avoir pu répondre plus tôt, mais je devais avancer sur mon boulot en parallèle. :)
Enfin voilà, j'ai crée un point de restauration, installé spybot, lancé un ccleaner. :)
Mais, ba oui! Tu croyais pas que j'allais te laisser filer aussi facilement :p
Je me suis permis un scan malwarebytes histoire d'être rassuré, et patatra, il m'a trouvé une infection, je te dépose le rapport, c peut être rien de grave....
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1159
Windows 5.1.2600 Service Pack 3
16/09/2008 12:55:29
mbam-log-2008-09-16 (12-55-29).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 123468
Temps écoulé: 27 minute(s), 44 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
et histoire de, un ch'ti hijack!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:42, on 16/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SuperProServer - Unknown owner - C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
Kikou Diname
Ok ;)
Vide la quarantaine de Malwarebytes' Anti-Malware :
Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, clique sur "Tout supprimer"
Rapport HijackThis OK.
Tu peux faire un scan en ligne pour finir de te rassurer, même manip qu'ici :
http://www.commentcamarche.net/forum/affich 8444999 a 3 c mieux#25
@ plus.
Ok ;)
Vide la quarantaine de Malwarebytes' Anti-Malware :
Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, clique sur "Tout supprimer"
Rapport HijackThis OK.
Tu peux faire un scan en ligne pour finir de te rassurer, même manip qu'ici :
http://www.commentcamarche.net/forum/affich 8444999 a 3 c mieux#25
@ plus.
