Virus antivirus 2009
Résolu/Fermé
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
-
2 déc. 2008 à 13:09
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 17 déc. 2008 à 15:36
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 17 déc. 2008 à 15:36
A voir également:
- Virus antivirus 2009
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- Youtu.be virus - Accueil - Guide virus
- Desactiver antivirus windows 10 - Guide
- Svchost.exe virus - Guide
87 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
6 déc. 2008 à 19:22
6 déc. 2008 à 19:22
Bonjour,
c'est à la fois une vérification (mise à jour) et un moyen de nettoyer des fichiers résiduels.
c'est à la fois une vérification (mise à jour) et un moyen de nettoyer des fichiers résiduels.
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
8 déc. 2008 à 08:10
8 déc. 2008 à 08:10
Voila le rapport....
Merci encore, il a encore supprimé des fichiers dans system32 ?
ComboFix 08-12-06.06 - YannBeley 2008-12-08 8:06:18.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1471 [GMT 1:00]
Lancé depuis: c:\documents and settings\YannBeley\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
* Resident AV is active
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\ejigoreg.ini
c:\windows\system32\rezubeza.dll
c:\windows\system32\ugijikak.ini
----- BITS: Il y a peut-être des sites infectés -----
hxxp://77.74.48.105
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.
2008-12-05 09:18 . 2008-12-05 09:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-05 09:18 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 09:18 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-03 09:14 . 2008-12-03 09:15 <REP> d-------- C:\rsit
2008-12-03 09:09 . 2008-12-03 09:09 2,724 ---hs---- c:\windows\system32\yugutoyi.dll
2008-12-02 17:31 . 2008-12-05 11:57 8,192 --ahs---- c:\windows\system32\Thumbs.db
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\program files\ESET
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET
2008-12-02 15:12 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-12-02 15:12 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-12-02 15:12 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-12-02 15:12 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe
2008-12-02 15:12 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-12-02 15:12 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-12-02 13:37 . 2008-12-02 13:37 <REP> d-------- c:\windows\ERUNT
2008-12-02 13:22 . 2008-12-02 13:22 <REP> d-------- c:\program files\Trend Micro
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\YannBeley\Application Data\Malwarebytes
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-02 10:52 . 2008-12-02 10:52 <REP> d-------- C:\Temp
2008-12-02 10:48 . 2008-12-02 10:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-12-02 09:24 . 2008-12-02 09:26 <REP> d-------- c:\program files\Navilog1
2008-12-02 01:29 . 2008-12-02 08:57 1,298,432 --a------ c:\windows\system32\ugijikak.tmp
2008-12-01 16:16 . 2008-12-01 16:20 2,644 --a------ c:\windows\system32\tmp.reg
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-11-24 10:00 . 2008-11-24 10:00 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-18 15:05 . 2008-11-18 16:34 <REP> d-------- c:\program files\PhotoModeler Lite
2008-11-18 15:05 . 2008-11-18 16:34 7,491 --a------ c:\windows\PmLite3.ini
2008-11-18 15:05 . 1999-03-22 09:31 1,862 --a------ c:\windows\PMStockCams.Ini
2008-11-18 10:08 . 2008-11-18 10:08 <REP> d-------- c:\program files\Institut Géographique National
2008-11-18 10:08 . 2008-11-18 14:29 2,115 --a------ c:\windows\Circe.ini
2008-11-18 10:05 . 2008-11-18 10:05 <REP> d-------- c:\documents and settings\YannBeley\WINDOWS
2008-11-18 10:05 . 1998-02-06 21:39 304,128 --a------ c:\windows\unin040c.exe
2008-11-18 09:38 . 2008-11-18 12:08 <REP> d-------- c:\program files\GT2002
2008-11-18 09:31 . 2005-02-09 11:44 22,528 --a------ c:\windows\exeshl.dll
2008-11-18 09:31 . 2008-11-18 09:31 9,719 --a------ c:\windows\GPS_MAPPER.LIC
2008-11-18 09:31 . 2008-11-18 09:31 95 --a------ c:\windows\netctrl.ini
2008-11-13 16:35 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-13 16:35 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 22:53 . 2008-11-13 17:52 <REP> d-------- c:\program files\FileZilla FTP Client
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 18:27 --------- d-----w c:\documents and settings\YannBeley\Application Data\FileZilla
2008-12-02 16:01 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-24 08:59 --------- d-----w c:\program files\Java
2008-11-14 08:21 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-30 16:25 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-30 14:03 98,304 ----a-w c:\windows\DUMP6a33.tmp
2008-10-30 13:45 98,304 ----a-w c:\windows\DUMP6764.tmp
2008-10-30 13:43 --------- d-----w c:\program files\Windows Media Connect 2
2008-10-30 13:41 98,304 ----a-w c:\windows\DUMPa150.tmp
2008-10-30 13:32 98,304 ----a-w c:\windows\DUMP71b5.tmp
2008-10-30 13:30 98,304 ----a-w c:\windows\DUMP71f3.tmp
2008-10-30 13:27 98,304 ----a-w c:\windows\DUMP6e4a.tmp
2008-10-28 16:59 --------- d-----w c:\program files\eMule
2008-10-28 16:30 --------- d-----w c:\program files\Macromedia
2008-10-28 16:30 --------- d-----w c:\program files\Fichiers communs\Macromedia
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 07:50 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-23 07:48 --------- d-----w c:\program files\MapInfo9
2008-10-21 13:12 --------- d-----w c:\program files\Microsoft.NET
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-09 15:14 --------- d-----w c:\program files\Fichiers communs\Macromedia Shared
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-04-30 16:25 0 ----a-w c:\documents and settings\YannBeley\Stellar Phoenix FAT & NTFS Scan.DAT
2008-04-13 17:34 60,416 --sha-w c:\windows\BricoPacks\SysFiles\80_msimn.exe
2008-05-19 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051920080520\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-25 8433664]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168]
"nwiz"="nwiz.exe" [2007-06-25 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HotKeyDriver.lnk - c:\program files\HotKey_Driver\HotKeyDriver.exe [2008-04-28 3506176]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-12-23 17:05 143360 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\GT2002\\gpstrack.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\ARCGIS.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Intel\\Wireless\\Bin\\EvtEng.exe"=
"c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\lmgrd.exe"=
"c:\\WINDOWS\\system32\\services.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312]
R2 ArcGIS License Manager;ArcGIS License Manager;c:\progra~1\ESRI\License\arcgis9x\lmgrd.exe [2008-05-20 467968]
R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [2008-04-28 24576]
R3 StkCMini;Syntek AVStream USB2.0 2M WebCam;c:\windows\system32\Drivers\StkCMini.sys [2008-04-28 1260288]
S4 Rdotstrsp;Rdotstrsp; []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e77ec52-bac1-11dd-b9d4-0090f5666f47}]
\Shell\AutoRun\command - H:\WDSetup.exe
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Tâches planifiées'
2008-12-05 c:\windows\Tasks\SyncBack YannBeley.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2005-05-04 13:40]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {78E389F6-046A-42AB-BDD6-6E7F558BFCB8} = 192.168.0.1
TCP: {C2A4B62B-534F-4AFA-8A16-4257B69AECAD} = 192.168.0.1
c:\windows\system32\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 08:08:33
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\YANNBE~1\LOCALS~1\Temp\mc21.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(1068)
c:\windows\system32\scecli.dll
.
Heure de fin: 2008-12-08 8:09:10
ComboFix-quarantined-files.txt 2008-12-08 07:09:02
Avant-CF: 61,150,457,856 octets libres
Après-CF: 61,182,918,656 octets libres
207 --- E O F --- 2008-11-14 08:21:56
Merci encore, il a encore supprimé des fichiers dans system32 ?
ComboFix 08-12-06.06 - YannBeley 2008-12-08 8:06:18.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1471 [GMT 1:00]
Lancé depuis: c:\documents and settings\YannBeley\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
* Resident AV is active
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\ejigoreg.ini
c:\windows\system32\rezubeza.dll
c:\windows\system32\ugijikak.ini
----- BITS: Il y a peut-être des sites infectés -----
hxxp://77.74.48.105
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.
2008-12-05 09:18 . 2008-12-05 09:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-05 09:18 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 09:18 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-03 09:14 . 2008-12-03 09:15 <REP> d-------- C:\rsit
2008-12-03 09:09 . 2008-12-03 09:09 2,724 ---hs---- c:\windows\system32\yugutoyi.dll
2008-12-02 17:31 . 2008-12-05 11:57 8,192 --ahs---- c:\windows\system32\Thumbs.db
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\program files\ESET
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET
2008-12-02 15:12 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-12-02 15:12 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-12-02 15:12 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-12-02 15:12 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe
2008-12-02 15:12 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-12-02 15:12 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-12-02 13:37 . 2008-12-02 13:37 <REP> d-------- c:\windows\ERUNT
2008-12-02 13:22 . 2008-12-02 13:22 <REP> d-------- c:\program files\Trend Micro
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\YannBeley\Application Data\Malwarebytes
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-02 10:52 . 2008-12-02 10:52 <REP> d-------- C:\Temp
2008-12-02 10:48 . 2008-12-02 10:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-12-02 09:24 . 2008-12-02 09:26 <REP> d-------- c:\program files\Navilog1
2008-12-02 01:29 . 2008-12-02 08:57 1,298,432 --a------ c:\windows\system32\ugijikak.tmp
2008-12-01 16:16 . 2008-12-01 16:20 2,644 --a------ c:\windows\system32\tmp.reg
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-11-24 10:00 . 2008-11-24 10:00 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-18 15:05 . 2008-11-18 16:34 <REP> d-------- c:\program files\PhotoModeler Lite
2008-11-18 15:05 . 2008-11-18 16:34 7,491 --a------ c:\windows\PmLite3.ini
2008-11-18 15:05 . 1999-03-22 09:31 1,862 --a------ c:\windows\PMStockCams.Ini
2008-11-18 10:08 . 2008-11-18 10:08 <REP> d-------- c:\program files\Institut Géographique National
2008-11-18 10:08 . 2008-11-18 14:29 2,115 --a------ c:\windows\Circe.ini
2008-11-18 10:05 . 2008-11-18 10:05 <REP> d-------- c:\documents and settings\YannBeley\WINDOWS
2008-11-18 10:05 . 1998-02-06 21:39 304,128 --a------ c:\windows\unin040c.exe
2008-11-18 09:38 . 2008-11-18 12:08 <REP> d-------- c:\program files\GT2002
2008-11-18 09:31 . 2005-02-09 11:44 22,528 --a------ c:\windows\exeshl.dll
2008-11-18 09:31 . 2008-11-18 09:31 9,719 --a------ c:\windows\GPS_MAPPER.LIC
2008-11-18 09:31 . 2008-11-18 09:31 95 --a------ c:\windows\netctrl.ini
2008-11-13 16:35 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-13 16:35 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 22:53 . 2008-11-13 17:52 <REP> d-------- c:\program files\FileZilla FTP Client
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 18:27 --------- d-----w c:\documents and settings\YannBeley\Application Data\FileZilla
2008-12-02 16:01 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-24 08:59 --------- d-----w c:\program files\Java
2008-11-14 08:21 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-30 16:25 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-30 14:03 98,304 ----a-w c:\windows\DUMP6a33.tmp
2008-10-30 13:45 98,304 ----a-w c:\windows\DUMP6764.tmp
2008-10-30 13:43 --------- d-----w c:\program files\Windows Media Connect 2
2008-10-30 13:41 98,304 ----a-w c:\windows\DUMPa150.tmp
2008-10-30 13:32 98,304 ----a-w c:\windows\DUMP71b5.tmp
2008-10-30 13:30 98,304 ----a-w c:\windows\DUMP71f3.tmp
2008-10-30 13:27 98,304 ----a-w c:\windows\DUMP6e4a.tmp
2008-10-28 16:59 --------- d-----w c:\program files\eMule
2008-10-28 16:30 --------- d-----w c:\program files\Macromedia
2008-10-28 16:30 --------- d-----w c:\program files\Fichiers communs\Macromedia
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 07:50 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-23 07:48 --------- d-----w c:\program files\MapInfo9
2008-10-21 13:12 --------- d-----w c:\program files\Microsoft.NET
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-09 15:14 --------- d-----w c:\program files\Fichiers communs\Macromedia Shared
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-04-30 16:25 0 ----a-w c:\documents and settings\YannBeley\Stellar Phoenix FAT & NTFS Scan.DAT
2008-04-13 17:34 60,416 --sha-w c:\windows\BricoPacks\SysFiles\80_msimn.exe
2008-05-19 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051920080520\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-25 8433664]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168]
"nwiz"="nwiz.exe" [2007-06-25 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HotKeyDriver.lnk - c:\program files\HotKey_Driver\HotKeyDriver.exe [2008-04-28 3506176]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-12-23 17:05 143360 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\GT2002\\gpstrack.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\ARCGIS.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Intel\\Wireless\\Bin\\EvtEng.exe"=
"c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\lmgrd.exe"=
"c:\\WINDOWS\\system32\\services.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312]
R2 ArcGIS License Manager;ArcGIS License Manager;c:\progra~1\ESRI\License\arcgis9x\lmgrd.exe [2008-05-20 467968]
R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [2008-04-28 24576]
R3 StkCMini;Syntek AVStream USB2.0 2M WebCam;c:\windows\system32\Drivers\StkCMini.sys [2008-04-28 1260288]
S4 Rdotstrsp;Rdotstrsp; []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e77ec52-bac1-11dd-b9d4-0090f5666f47}]
\Shell\AutoRun\command - H:\WDSetup.exe
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Tâches planifiées'
2008-12-05 c:\windows\Tasks\SyncBack YannBeley.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2005-05-04 13:40]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {78E389F6-046A-42AB-BDD6-6E7F558BFCB8} = 192.168.0.1
TCP: {C2A4B62B-534F-4AFA-8A16-4257B69AECAD} = 192.168.0.1
c:\windows\system32\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 08:08:33
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\YANNBE~1\LOCALS~1\Temp\mc21.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(1068)
c:\windows\system32\scecli.dll
.
Heure de fin: 2008-12-08 8:09:10
ComboFix-quarantined-files.txt 2008-12-08 07:09:02
Avant-CF: 61,150,457,856 octets libres
Après-CF: 61,182,918,656 octets libres
207 --- E O F --- 2008-11-14 08:21:56
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2008 à 09:24
8 déc. 2008 à 09:24
Bonjour,
encore des choses.
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de :
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
================
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
encore des choses.
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de :
77.74.48.105
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
================
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver:: Rdotstrsp File:: c:\windows\system32\yugutoyi.dll c:\windows\system32\ugijikak.tmp c:\windows\DUMP6a33.tmp c:\windows\DUMP6764.tmp c:\program files\Windows Media Connect 2 c:\windows\DUMPa150.tmp c:\windows\DUMP71b5.tmp c:\windows\DUMP71f3.tmp c:\windows\DUMP6e4a.tmp
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
8 déc. 2008 à 09:59
8 déc. 2008 à 09:59
re
voila le rapport a première vu il a rien trouvé...
Je dois faire la manip avec combofix ou pas ???
2008-12-08 ---- 9:59:13.35
----------------------------------
§§§§§§ [77.74.48.105] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
voila le rapport a première vu il a rien trouvé...
Je dois faire la manip avec combofix ou pas ???
2008-12-08 ---- 9:59:13.35
----------------------------------
§§§§§§ [77.74.48.105] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2008 à 10:15
8 déc. 2008 à 10:15
Re,
tu la fais avec ce script :
tu la fais avec ce script :
Driver:: Rdotstrsp File:: c:\windows\system32\yugutoyi.dll c:\windows\system32\ugijikak.tmp c:\windows\DUMP6a33.tmp c:\windows\DUMP6764.tmp c:\windows\DUMPa150.tmp c:\windows\DUMP71b5.tmp c:\windows\DUMP71f3.tmp c:\windows\DUMP6e4a.tmp
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
8 déc. 2008 à 14:44
8 déc. 2008 à 14:44
tiens voila le dernier rapport...
ComboFix 08-12-06.06 - YannBeley 2008-12-08 14:38:22.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1379 [GMT 1:00]
Lancé depuis: c:\documents and settings\YannBeley\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\YannBeley\Bureau\CFscript.txt.txt
* Un nouveau point de restauration a été créé
* Resident AV is active
FILE ::
c:\program files\Windows Media Connect 2
c:\windows\DUMP6764.tmp
c:\windows\DUMP6a33.tmp
c:\windows\DUMP6e4a.tmp
c:\windows\DUMP71b5.tmp
c:\windows\DUMP71f3.tmp
c:\windows\DUMPa150.tmp
c:\windows\system32\ugijikak.tmp
c:\windows\system32\yugutoyi.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\DUMP6764.tmp
c:\windows\DUMP6a33.tmp
c:\windows\DUMP6e4a.tmp
c:\windows\DUMP71b5.tmp
c:\windows\DUMP71f3.tmp
c:\windows\DUMPa150.tmp
c:\windows\system32\ugijikak.tmp
c:\windows\system32\yugutoyi.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_Rdotstrsp
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.
2008-12-05 09:18 . 2008-12-05 09:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-05 09:18 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 09:18 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-03 09:14 . 2008-12-03 09:15 <REP> d-------- C:\rsit
2008-12-02 17:31 . 2008-12-05 11:57 8,192 --ahs---- c:\windows\system32\Thumbs.db
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\program files\ESET
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET
2008-12-02 15:12 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-12-02 15:12 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-12-02 15:12 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-12-02 15:12 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe
2008-12-02 15:12 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-12-02 15:12 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-12-02 13:37 . 2008-12-02 13:37 <REP> d-------- c:\windows\ERUNT
2008-12-02 13:22 . 2008-12-02 13:22 <REP> d-------- c:\program files\Trend Micro
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\YannBeley\Application Data\Malwarebytes
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-02 10:52 . 2008-12-02 10:52 <REP> d-------- C:\Temp
2008-12-02 10:48 . 2008-12-02 10:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-12-02 09:24 . 2008-12-02 09:26 <REP> d-------- c:\program files\Navilog1
2008-12-01 16:16 . 2008-12-01 16:20 2,644 --a------ c:\windows\system32\tmp.reg
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-11-24 10:00 . 2008-11-24 10:00 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-18 15:05 . 2008-11-18 16:34 <REP> d-------- c:\program files\PhotoModeler Lite
2008-11-18 15:05 . 2008-11-18 16:34 7,491 --a------ c:\windows\PmLite3.ini
2008-11-18 15:05 . 1999-03-22 09:31 1,862 --a------ c:\windows\PMStockCams.Ini
2008-11-18 10:08 . 2008-11-18 10:08 <REP> d-------- c:\program files\Institut Géographique National
2008-11-18 10:08 . 2008-11-18 14:29 2,115 --a------ c:\windows\Circe.ini
2008-11-18 10:05 . 2008-11-18 10:05 <REP> d-------- c:\documents and settings\YannBeley\WINDOWS
2008-11-18 10:05 . 1998-02-06 21:39 304,128 --a------ c:\windows\unin040c.exe
2008-11-18 09:38 . 2008-11-18 12:08 <REP> d-------- c:\program files\GT2002
2008-11-18 09:31 . 2005-02-09 11:44 22,528 --a------ c:\windows\exeshl.dll
2008-11-18 09:31 . 2008-11-18 09:31 9,719 --a------ c:\windows\GPS_MAPPER.LIC
2008-11-18 09:31 . 2008-11-18 09:31 95 --a------ c:\windows\netctrl.ini
2008-11-13 16:35 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-13 16:35 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 22:53 . 2008-11-13 17:52 <REP> d-------- c:\program files\FileZilla FTP Client
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 18:27 --------- d-----w c:\documents and settings\YannBeley\Application Data\FileZilla
2008-12-02 16:01 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-24 08:59 --------- d-----w c:\program files\Java
2008-11-14 08:21 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-30 16:25 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-30 13:43 --------- d-----w c:\program files\Windows Media Connect 2
2008-10-28 16:59 --------- d-----w c:\program files\eMule
2008-10-28 16:30 --------- d-----w c:\program files\Macromedia
2008-10-28 16:30 --------- d-----w c:\program files\Fichiers communs\Macromedia
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 07:50 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-23 07:48 --------- d-----w c:\program files\MapInfo9
2008-10-21 13:12 --------- d-----w c:\program files\Microsoft.NET
2008-10-09 15:14 --------- d-----w c:\program files\Fichiers communs\Macromedia Shared
2008-04-30 16:25 0 ----a-w c:\documents and settings\YannBeley\Stellar Phoenix FAT & NTFS Scan.DAT
2008-04-13 17:34 60,416 --sha-w c:\windows\BricoPacks\SysFiles\80_msimn.exe
2008-05-19 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051920080520\index.dat
.
((((((((((((((((((((((((((((( snapshot@2008-12-08_ 8.08.47.67 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2008-12-08 13:41:06 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7c4.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-25 8433664]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168]
"nwiz"="nwiz.exe" [2007-06-25 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HotKeyDriver.lnk - c:\program files\HotKey_Driver\HotKeyDriver.exe [2008-04-28 3506176]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-12-23 17:05 143360 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\GT2002\\gpstrack.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\ARCGIS.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Intel\\Wireless\\Bin\\EvtEng.exe"=
"c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\lmgrd.exe"=
"c:\\WINDOWS\\system32\\services.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312]
R2 ArcGIS License Manager;ArcGIS License Manager;c:\progra~1\ESRI\License\arcgis9x\lmgrd.exe [2008-05-20 467968]
R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [2008-04-28 24576]
R3 StkCMini;Syntek AVStream USB2.0 2M WebCam;c:\windows\system32\Drivers\StkCMini.sys [2008-04-28 1260288]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e77ec52-bac1-11dd-b9d4-0090f5666f47}]
\Shell\AutoRun\command - H:\WDSetup.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-05 c:\windows\Tasks\SyncBack YannBeley.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2005-05-04 13:40]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {78E389F6-046A-42AB-BDD6-6E7F558BFCB8} = 192.168.0.1
TCP: {C2A4B62B-534F-4AFA-8A16-4257B69AECAD} = 192.168.0.1
c:\windows\system32\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 14:41:26
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\YANNBE~1\LOCALS~1\Temp\mc22.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(1072)
c:\windows\system32\scecli.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Intel\Wireless\Bin\WLKEEPER.exe
c:\windows\system32\Crypserv.exe
c:\progra~1\ESRI\License\arcgis9x\ARCGIS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2008-12-08 14:43:26 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-08 13:43:23
ComboFix2.txt 2008-12-08 07:09:11
Avant-CF: 61,148,663,808 octets libres
Après-CF: 61,044,518,912 octets libres
221 --- E O F --- 2008-11-14 08:21:56
ComboFix 08-12-06.06 - YannBeley 2008-12-08 14:38:22.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1379 [GMT 1:00]
Lancé depuis: c:\documents and settings\YannBeley\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\YannBeley\Bureau\CFscript.txt.txt
* Un nouveau point de restauration a été créé
* Resident AV is active
FILE ::
c:\program files\Windows Media Connect 2
c:\windows\DUMP6764.tmp
c:\windows\DUMP6a33.tmp
c:\windows\DUMP6e4a.tmp
c:\windows\DUMP71b5.tmp
c:\windows\DUMP71f3.tmp
c:\windows\DUMPa150.tmp
c:\windows\system32\ugijikak.tmp
c:\windows\system32\yugutoyi.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\DUMP6764.tmp
c:\windows\DUMP6a33.tmp
c:\windows\DUMP6e4a.tmp
c:\windows\DUMP71b5.tmp
c:\windows\DUMP71f3.tmp
c:\windows\DUMPa150.tmp
c:\windows\system32\ugijikak.tmp
c:\windows\system32\yugutoyi.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_Rdotstrsp
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.
2008-12-05 09:18 . 2008-12-05 09:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-05 09:18 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 09:18 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-03 09:14 . 2008-12-03 09:15 <REP> d-------- C:\rsit
2008-12-02 17:31 . 2008-12-05 11:57 8,192 --ahs---- c:\windows\system32\Thumbs.db
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\program files\ESET
2008-12-02 17:10 . 2008-12-02 17:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET
2008-12-02 15:12 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-12-02 15:12 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-12-02 15:12 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-12-02 15:12 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe
2008-12-02 15:12 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-12-02 15:12 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-12-02 13:37 . 2008-12-02 13:37 <REP> d-------- c:\windows\ERUNT
2008-12-02 13:22 . 2008-12-02 13:22 <REP> d-------- c:\program files\Trend Micro
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\YannBeley\Application Data\Malwarebytes
2008-12-02 13:02 . 2008-12-02 13:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-02 10:52 . 2008-12-02 10:52 <REP> d-------- C:\Temp
2008-12-02 10:48 . 2008-12-02 10:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-12-02 09:24 . 2008-12-02 09:26 <REP> d-------- c:\program files\Navilog1
2008-12-01 16:16 . 2008-12-01 16:20 2,644 --a------ c:\windows\system32\tmp.reg
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-25 10:58 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-11-24 10:00 . 2008-11-24 10:00 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-18 15:05 . 2008-11-18 16:34 <REP> d-------- c:\program files\PhotoModeler Lite
2008-11-18 15:05 . 2008-11-18 16:34 7,491 --a------ c:\windows\PmLite3.ini
2008-11-18 15:05 . 1999-03-22 09:31 1,862 --a------ c:\windows\PMStockCams.Ini
2008-11-18 10:08 . 2008-11-18 10:08 <REP> d-------- c:\program files\Institut Géographique National
2008-11-18 10:08 . 2008-11-18 14:29 2,115 --a------ c:\windows\Circe.ini
2008-11-18 10:05 . 2008-11-18 10:05 <REP> d-------- c:\documents and settings\YannBeley\WINDOWS
2008-11-18 10:05 . 1998-02-06 21:39 304,128 --a------ c:\windows\unin040c.exe
2008-11-18 09:38 . 2008-11-18 12:08 <REP> d-------- c:\program files\GT2002
2008-11-18 09:31 . 2005-02-09 11:44 22,528 --a------ c:\windows\exeshl.dll
2008-11-18 09:31 . 2008-11-18 09:31 9,719 --a------ c:\windows\GPS_MAPPER.LIC
2008-11-18 09:31 . 2008-11-18 09:31 95 --a------ c:\windows\netctrl.ini
2008-11-13 16:35 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-13 16:35 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 22:53 . 2008-11-13 17:52 <REP> d-------- c:\program files\FileZilla FTP Client
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 18:27 --------- d-----w c:\documents and settings\YannBeley\Application Data\FileZilla
2008-12-02 16:01 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-24 08:59 --------- d-----w c:\program files\Java
2008-11-14 08:21 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-30 16:25 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-30 13:43 --------- d-----w c:\program files\Windows Media Connect 2
2008-10-28 16:59 --------- d-----w c:\program files\eMule
2008-10-28 16:30 --------- d-----w c:\program files\Macromedia
2008-10-28 16:30 --------- d-----w c:\program files\Fichiers communs\Macromedia
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 07:50 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-23 07:48 --------- d-----w c:\program files\MapInfo9
2008-10-21 13:12 --------- d-----w c:\program files\Microsoft.NET
2008-10-09 15:14 --------- d-----w c:\program files\Fichiers communs\Macromedia Shared
2008-04-30 16:25 0 ----a-w c:\documents and settings\YannBeley\Stellar Phoenix FAT & NTFS Scan.DAT
2008-04-13 17:34 60,416 --sha-w c:\windows\BricoPacks\SysFiles\80_msimn.exe
2008-05-19 15:11 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051920080520\index.dat
.
((((((((((((((((((((((((((((( snapshot@2008-12-08_ 8.08.47.67 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2008-12-08 13:41:06 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7c4.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-25 8433664]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-08-18 1447168]
"nwiz"="nwiz.exe" [2007-06-25 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HotKeyDriver.lnk - c:\program files\HotKey_Driver\HotKeyDriver.exe [2008-04-28 3506176]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-12-23 17:05 143360 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\GT2002\\gpstrack.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\ARCGIS.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Intel\\Wireless\\Bin\\EvtEng.exe"=
"c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Program Files\\ESRI\\License\\arcgis9x\\lmgrd.exe"=
"c:\\WINDOWS\\system32\\services.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-08-18 34312]
R2 ArcGIS License Manager;ArcGIS License Manager;c:\progra~1\ESRI\License\arcgis9x\lmgrd.exe [2008-05-20 467968]
R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2008-08-18 468224]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [2008-04-28 24576]
R3 StkCMini;Syntek AVStream USB2.0 2M WebCam;c:\windows\system32\Drivers\StkCMini.sys [2008-04-28 1260288]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e77ec52-bac1-11dd-b9d4-0090f5666f47}]
\Shell\AutoRun\command - H:\WDSetup.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-05 c:\windows\Tasks\SyncBack YannBeley.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2005-05-04 13:40]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {78E389F6-046A-42AB-BDD6-6E7F558BFCB8} = 192.168.0.1
TCP: {C2A4B62B-534F-4AFA-8A16-4257B69AECAD} = 192.168.0.1
c:\windows\system32\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 14:41:26
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\YANNBE~1\LOCALS~1\Temp\mc22.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(1072)
c:\windows\system32\scecli.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Intel\Wireless\Bin\WLKEEPER.exe
c:\windows\system32\Crypserv.exe
c:\progra~1\ESRI\License\arcgis9x\ARCGIS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2008-12-08 14:43:26 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-08 13:43:23
ComboFix2.txt 2008-12-08 07:09:11
Avant-CF: 61,148,663,808 octets libres
Après-CF: 61,044,518,912 octets libres
221 --- E O F --- 2008-11-14 08:21:56
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2008 à 16:08
8 déc. 2008 à 16:08
Re,
ça a une bien meilleure tête.
Tu as (je suis sûr que non) ou tu as eu On line Armor d'installé ?
Tu as volontairement désactivé les mises à jour de Windows ? (ou leur notification)
Ton absence de parefeu contrôlant les connexions sortantes est un risque de sécurité.
Ouvre ce lien et choisis celui qui semble te convenir le mieux :
http://www.malekal.com/menu_tutorials_logiciels.php
J'ai l'impression que tes ports sont grand ouverts.
Ouvre ce lien et teste ta sécurité :
http://www.zebulon.fr/outils/scanports/test-securite.php
ça a une bien meilleure tête.
Tu as (je suis sûr que non) ou tu as eu On line Armor d'installé ?
Tu as volontairement désactivé les mises à jour de Windows ? (ou leur notification)
Ton absence de parefeu contrôlant les connexions sortantes est un risque de sécurité.
Ouvre ce lien et choisis celui qui semble te convenir le mieux :
http://www.malekal.com/menu_tutorials_logiciels.php
J'ai l'impression que tes ports sont grand ouverts.
Ouvre ce lien et teste ta sécurité :
http://www.zebulon.fr/outils/scanports/test-securite.php
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
8 déc. 2008 à 16:31
8 déc. 2008 à 16:31
salut et merci encore de ton aide par rapport à tes questions,
je ne sais pas ce qu'est on line armor, j'ai pas désavtivé les mises à jour windows (elles sont automatiques dans mon panneau de configuration) et mon par feu windows est en place. Je me dis donc que soit il y a un soucis dans le rapport, soit mes paramètres sécuritaires enregistrés ne sont pas effectifs.
Je vais faire les teste que tu me conseil.
encore merci, dis moi pour supprimer le centre de restauration de système (installé avant la manip combofix) au démarage je dois faire comment,
je ne sais pas ce qu'est on line armor, j'ai pas désavtivé les mises à jour windows (elles sont automatiques dans mon panneau de configuration) et mon par feu windows est en place. Je me dis donc que soit il y a un soucis dans le rapport, soit mes paramètres sécuritaires enregistrés ne sont pas effectifs.
Je vais faire les teste que tu me conseil.
encore merci, dis moi pour supprimer le centre de restauration de système (installé avant la manip combofix) au démarage je dois faire comment,
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
8 déc. 2008 à 16:39
8 déc. 2008 à 16:39
sur les deux liens que tu me propose, le premier me donne des liens vers des antivirus mais j'en ai un et un très performant récemmeny installé (eset NOD32 business edition)
pour le deuxième lien il me dit que j'ai des port TCP ouverts sur ma machine :
21
25
80
389
1026
1027
autant le 25 est logique autant les autres ne le sont pas. Je vais voir pour les fermer.
encore merci pour cette semaine d'assistance
pour le deuxième lien il me dit que j'ai des port TCP ouverts sur ma machine :
21
25
80
389
1026
1027
autant le 25 est logique autant les autres ne le sont pas. Je vais voir pour les fermer.
encore merci pour cette semaine d'assistance
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2008 à 17:41
8 déc. 2008 à 17:41
Re,
On line Armor est un parefeu.
Le lien sur le site de Malekal_morte comporte plus que des antivirus.
A mon avis, le parefeu Wondows est insuffisant : il contrôle ce qui entre mais pas ce qui sort.
C'est ça le risque de sécurité.
Pour les ports, tu as raison. Si tu as besoin d'infos, je peux t'aider, même si ce n'est pas ce que je connais le mieux.
On line Armor est un parefeu.
Le lien sur le site de Malekal_morte comporte plus que des antivirus.
A mon avis, le parefeu Wondows est insuffisant : il contrôle ce qui entre mais pas ce qui sort.
C'est ça le risque de sécurité.
Pour les ports, tu as raison. Si tu as besoin d'infos, je peux t'aider, même si ce n'est pas ce que je connais le mieux.
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
8 déc. 2008 à 18:11
8 déc. 2008 à 18:11
dis moi le windows bit defender ne suffit pas ???
Pour les ports je ne veux pas trop t'en demander, tu m'as deja été d'un tel secours.
Au fait dis moi a la vue du dernier rapport mon PC a l'air propre ???
Pour les ports je ne veux pas trop t'en demander, tu m'as deja été d'un tel secours.
Au fait dis moi a la vue du dernier rapport mon PC a l'air propre ???
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2008 à 21:17
8 déc. 2008 à 21:17
Re,
une bonne protection nécessite :
un antivirus. Bit defender est très bien.
un parefeu. Certaines versions de Bit Defender en ont un intégré.
un antispyware. AVG AS, Superantispyware, MBAM sont très bien.
Un antirootkit. De plus en plus d'antivirus l'intègre.
===========
Le PC est propre.
D'ailleurs, il faut nettoyer les outils :
* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
* Clique sur Recherche et laisse le scan se terminer.
* Clique, sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
une bonne protection nécessite :
un antivirus. Bit defender est très bien.
un parefeu. Certaines versions de Bit Defender en ont un intégré.
un antispyware. AVG AS, Superantispyware, MBAM sont très bien.
Un antirootkit. De plus en plus d'antivirus l'intègre.
===========
Le PC est propre.
D'ailleurs, il faut nettoyer les outils :
* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
* Clique sur Recherche et laisse le scan se terminer.
* Clique, sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
9 déc. 2008 à 10:06
9 déc. 2008 à 10:06
tiens voila le rapport
[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]
-->- Recherche:
C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
---------------------------------
-->- Suppression:
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]
-->- Recherche:
C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
---------------------------------
-->- Suppression:
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
9 déc. 2008 à 11:55
9 déc. 2008 à 11:55
Bonjour,
il reste à supprimer Toolscleane sur ton Bureau et C:\TCleaner.txt.
Je suis en train de rajouter des conseils systématiques que je donnerai en fin de chacune de mes désinfections.
En voici l'état actuel :
Voici quelques conseils pour mieux protéger ton ordi des malwares :
1) Mets à jour Windows en consultant régulièrement le site de mise à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
2) pour réduire les risques de réinfection, je te recommande fortement d'installer ces programmes gratuits :
- SpywareBlaster protège des ActiveX malicieux : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster
- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .
- Sécurise Internet Explorer
* Clique sur Démarrer puis Exécuter
* Tape Inetcpl.cpl dans la zone de saisie puis OK
* Clique sur l'onglet Sécurité
* Clique sur "Rétablir toutes les zones au niveau par défaut"
* Sélectionne Zone Internet et clique sur "Personaliser le niveau"
* Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX sognés et non sognés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés"
- ATF Cleaner nettoye les fichiers temporaires d'Internet Explorer et Windows (et Firefox), vide la corbeille et effectue quelques autres actions de nettoyage. Il améliore la vitesse et élimine les fichiers malveillants logés dans les fichiers temporaires : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
- Conserve une sauvegarde des fichiers importants. Ceco devient de plus en plus important. Cet article, en anglais, est rempli d'informations sur les solutions possibles : http://www.geekstogo.com/559/options-for-home-computer-data-backup-part-1/
- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.
- Il vaut mieux utiliser un navigateur alternatif à Internet Explorer. Je recommande celui de Mozilla, Firefox, très agréable, mieux sécurisé et doté d'un très bon bloqueur de pop-ups. lien de téléchargement : http://www.commentcamarche.net/telecharger/telecharger 111 firefox
3) Si tu lis l'anglais, cet article de Tony Klein comporte d'excellentes suggestions : http://www.geekstogo.com/how-did-i-get-infected-in-the-first-place
4)ERUNT (Emergency Recovery Utility NT) permet de prendre une sauvegarde de la base de registre et de la restaurer en cas de besoin. La copie de sauvegarde du registre effectuée par Windows n'est pas complète : http://www.commentcamarche.net/telecharger/telecharger 34055395 erunt
5)Console de récupération Face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution. Un tutoriel ici : https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm . N'hésite pas à poser des questions si nécessaire.
=========
Bon surf
il reste à supprimer Toolscleane sur ton Bureau et C:\TCleaner.txt.
Je suis en train de rajouter des conseils systématiques que je donnerai en fin de chacune de mes désinfections.
En voici l'état actuel :
Voici quelques conseils pour mieux protéger ton ordi des malwares :
1) Mets à jour Windows en consultant régulièrement le site de mise à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
2) pour réduire les risques de réinfection, je te recommande fortement d'installer ces programmes gratuits :
- SpywareBlaster protège des ActiveX malicieux : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster
- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .
- Sécurise Internet Explorer
* Clique sur Démarrer puis Exécuter
* Tape Inetcpl.cpl dans la zone de saisie puis OK
* Clique sur l'onglet Sécurité
* Clique sur "Rétablir toutes les zones au niveau par défaut"
* Sélectionne Zone Internet et clique sur "Personaliser le niveau"
* Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX sognés et non sognés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés"
- ATF Cleaner nettoye les fichiers temporaires d'Internet Explorer et Windows (et Firefox), vide la corbeille et effectue quelques autres actions de nettoyage. Il améliore la vitesse et élimine les fichiers malveillants logés dans les fichiers temporaires : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
- Conserve une sauvegarde des fichiers importants. Ceco devient de plus en plus important. Cet article, en anglais, est rempli d'informations sur les solutions possibles : http://www.geekstogo.com/559/options-for-home-computer-data-backup-part-1/
- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.
- Il vaut mieux utiliser un navigateur alternatif à Internet Explorer. Je recommande celui de Mozilla, Firefox, très agréable, mieux sécurisé et doté d'un très bon bloqueur de pop-ups. lien de téléchargement : http://www.commentcamarche.net/telecharger/telecharger 111 firefox
3) Si tu lis l'anglais, cet article de Tony Klein comporte d'excellentes suggestions : http://www.geekstogo.com/how-did-i-get-infected-in-the-first-place
4)ERUNT (Emergency Recovery Utility NT) permet de prendre une sauvegarde de la base de registre et de la restaurer en cas de besoin. La copie de sauvegarde du registre effectuée par Windows n'est pas complète : http://www.commentcamarche.net/telecharger/telecharger 34055395 erunt
5)Console de récupération Face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution. Un tutoriel ici : https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm . N'hésite pas à poser des questions si nécessaire.
=========
Bon surf
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
10 déc. 2008 à 09:58
10 déc. 2008 à 09:58
encore merci pour tout, je suis en train de faire certaines choses que tu me conseil.
Une dernière question, comment faire pour supprimer la console de récupération de mon PC.
Une dernière question, comment faire pour supprimer la console de récupération de mon PC.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
10 déc. 2008 à 10:05
10 déc. 2008 à 10:05
Re,
avant de répondre à ta question, tu as le CD de Windows ?
avant de répondre à ta question, tu as le CD de Windows ?
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
10 déc. 2008 à 10:15
10 déc. 2008 à 10:15
oui je l'ai
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
10 déc. 2008 à 10:44
10 déc. 2008 à 10:44
Re,
copie le contenu de ton boot.ini ici et je te donne la réponse.
copie le contenu de ton boot.ini ici et je te donne la réponse.
macmannus
Messages postés
54
Date d'inscription
mercredi 17 janvier 2007
Statut
Membre
Dernière intervention
17 décembre 2008
10 déc. 2008 à 10:57
10 déc. 2008 à 10:57
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
10 déc. 2008 à 11:21
10 déc. 2008 à 11:21
Re,
il ne te propose pas de démarrer sur la console ?
========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
.
=======================================
cherche et supprime le répertoire c:\cmdcons et le fichier c:\cmldr
[Décoche] « afficher les dossiers et fichiers cachés »
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
il ne te propose pas de démarrer sur la console ?
========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
.
=======================================
cherche et supprime le répertoire c:\cmdcons et le fichier c:\cmldr
[Décoche] « afficher les dossiers et fichiers cachés »
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
