Hijackthis suite a infection de mon PC.. Help

amandyinn -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:42, on 15/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\winsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Documents and Settings\Denis\Application Data\gadcom\gadcom.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.a2articles.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [winsvc] winsvc.exe
O4 - HKLM\..\Run: [987db58d] rundll32.exe "C:\WINDOWS\system32\hhtxuwos.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [55766670799998477189967236716708] C:\Program Files\A360\av360.exe
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\Denis\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810359A3E466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [Twain] C:\Documents and Settings\Denis\Application Data\Twain\Twain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: gutmyx.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

--
End of file - 6284 bytes
Configuration: Windows XP
Internet Explorer 6.0

9 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt il faudrait tenir a jour windows avec le sp3 et internet explorer avec la version 7 ....

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. amandyinn
       
      g suivi ton conseil et voila le rapport final:


      ComboFix 08-12-14.05 - Denis 2008-12-15 17:52:57.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.735.429 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Denis\Bureau\ComboFix.exe
      * Un nouveau point de restauration a été créé

      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Denis\Application Data\gadcom
      c:\documents and settings\Denis\Application Data\gadcom\gadcom.exe
      c:\documents and settings\Denis\Local Settings\Temporary Internet Files\fbk.sts
      c:\windows\system32\fjrtpmqi.ini
      c:\windows\system32\gutmyx.dll
      c:\windows\system32\hhtxuwos.dll
      c:\windows\system32\khfGaxYp.dll
      c:\windows\system32\mcrh.tmp
      c:\windows\system32\pmnmjHbc.dll
      c:\windows\system32\pYxaGfhk.ini
      c:\windows\system32\pYxaGfhk.ini2
      c:\windows\system32\qiifqvhx.ini
      c:\windows\system32\qoMeEUKE.dll
      c:\windows\system32\sowuxthh.ini
      c:\windows\system32\ssqOHayX.dll
      c:\windows\system32\ssqOHbYO.dll
      c:\windows\system32\tuvWpqNH.dll
      c:\windows\system32\vlggbmdn.dll
      c:\windows\system32\vtUliIAt.dll
      c:\windows\system32\wvUnKAqn.dll
      c:\windows\system32\xxywTmlm.dll
      c:\windows\system32\yayvUOiI.dll
      c:\windows\system32\ykkatwip.dll
      c:\windows\Tasks\tzinvhly.job

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-15 au 2008-12-15 ))))))))))))))))))))))))))))))))))))
      .

      2008-12-15 16:35 . 2008-12-15 16:35 <REP> d-------- c:\program files\Trend Micro
      2008-12-15 16:06 . 2008-12-15 17:50 <REP> d-------- c:\windows\system32\CatRoot2
      2008-12-15 14:09 . 2008-12-15 16:53 <REP> d-------- c:\windows\BDOSCAN8
      2008-12-13 15:32 . 2008-12-13 15:32 <REP> d-------- c:\documents and settings\Denis\Application Data\Twain
      2008-12-11 21:30 . 2008-12-11 21:30 62,514 --a------ C:\wow.exe
      2008-12-11 21:30 . 2008-12-11 21:30 62,514 -r-hs---- c:\windows\winsvc.exe
      2008-12-11 21:11 . 2008-12-11 21:11 1,025 --a------ C:\waxx.exe
      2008-12-11 18:39 . 2008-12-11 18:39 <REP> d-------- c:\program files\AxBx
      2008-12-11 17:23 . 2008-12-11 17:23 <REP> d-------- C:\ProgramData
      2008-12-11 17:23 . 2008-12-11 17:57 <REP> d-------- c:\program files\Angle Interactive
      2008-12-11 13:02 . 2008-12-11 19:31 1,025 --a------ C:\iri.exe
      2008-12-11 12:46 . 2008-12-13 15:41 69 --a------ c:\windows\NeroDigital.ini
      2008-12-11 12:03 . 2008-12-11 12:44 <REP> d-------- c:\documents and settings\Denis\Application Data\Ahead
      2008-12-11 11:58 . 2008-12-11 11:58 <REP> d-------- c:\program files\Nero
      2008-12-11 11:58 . 2008-12-11 11:58 <REP> d-------- c:\program files\Fichiers communs\Ahead
      2008-12-08 16:21 . 2008-12-08 16:21 <REP> dr-hs---- C:\SYSTEM
      2008-12-08 15:49 . 2008-12-08 15:51 73,216 --a------ C:\osy.exe
      2008-12-08 15:49 . 2008-12-11 12:50 664 --a------ c:\windows\system32\d3d9caps.dat
      2008-11-25 12:29 . 2008-11-25 12:42 <REP> d-------- c:\windows\system32\CatRoot_bak
      2008-11-25 12:28 . 2008-06-14 18:59 272,768 --------- c:\windows\system32\drivers\bthport.sys
      2008-11-25 12:28 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
      2008-11-25 12:27 . 2008-08-14 14:44 2,182,400 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
      2008-11-25 12:27 . 2008-08-14 14:44 2,138,112 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
      2008-11-25 12:27 . 2008-08-14 14:44 2,059,776 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
      2008-11-25 12:27 . 2008-08-14 14:44 2,017,792 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
      2008-11-25 12:27 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
      2008-11-24 12:27 . 2008-11-25 13:12 <REP> d--h----- c:\windows\$hf_mig$
      2008-11-24 09:00 . 2008-11-24 09:00 <REP> d-------- c:\program files\Maxis
      2008-11-24 08:56 . 2008-11-24 08:56 <REP> d-------- c:\documents and settings\Denis\WINDOWS
      2008-11-24 08:56 . 1998-01-23 12:20 305,664 --a------ c:\windows\IsUn040c.exe
      2008-11-24 08:37 . 2008-11-24 08:37 268 --ah----- C:\sqmdata00.sqm
      2008-11-24 08:37 . 2008-11-24 08:37 244 --ah----- C:\sqmnoopt00.sqm
      2008-11-24 08:35 . 2008-11-24 08:35 <REP> d----c--- c:\windows\system32\DRVSTORE
      2008-11-24 08:35 . 2008-11-24 08:35 <REP> d-------- c:\program files\MSN Messenger
      2008-11-23 19:49 . 2008-11-23 19:49 <REP> d-------- c:\program files\Windows Media Connect 2
      2008-11-23 19:48 . 2008-11-23 19:48 <REP> d-------- c:\windows\system32\LogFiles
      2008-11-23 19:48 . 2008-11-23 19:49 <REP> d-------- c:\windows\system32\drivers\UMDF
      2008-11-23 19:48 . 2006-09-25 17:58 23,856 --a------ c:\windows\system32\spupdsvc.exe
      2008-11-23 19:13 . 2008-11-23 19:13 <REP> d-------- c:\program files\Securitoo
      2008-11-23 19:12 . 2006-03-01 18:53 94,208 --a------ c:\windows\system32\w32n50.dll
      2008-11-23 19:12 . 2007-12-11 20:22 65,536 --a------ c:\windows\system32\Autodial2000.dll
      2008-11-23 19:12 . 2003-09-23 10:38 34,688 --a------ c:\windows\system32\pcampr5.sys
      2008-11-23 19:12 . 2006-03-01 18:53 32,128 --a------ c:\windows\system32\pcandis5.sys
      2008-11-23 19:11 . 2008-11-23 19:28 <REP> d-------- c:\program files\OrangeHSS
      2008-11-23 19:11 . 2008-11-23 19:11 <REP> d-------- c:\program files\Fichiers communs\France Telecom
      2008-11-23 19:11 . 2003-03-19 05:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
      2008-11-23 19:11 . 2003-09-16 08:07 499,712 --a------ c:\windows\system32\msvcp71.dll
      2008-11-23 19:11 . 2003-02-21 12:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
      2008-11-23 19:11 . 2003-03-19 03:05 89,088 --a------ c:\windows\system32\atl71.dll
      2008-11-23 14:39 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll
      2008-11-23 14:39 . 2008-11-23 14:39 385 --a------ c:\windows\ODBC.INI
      2008-11-23 14:38 . 2008-11-23 14:38 <REP> d-------- c:\program files\Microsoft.NET
      2008-11-23 14:37 . 2008-11-23 14:38 <REP> d-------- c:\windows\SHELLNEW
      2008-11-23 14:34 . 2008-11-23 14:34 <REP> dr-h----- C:\MSOCache
      2008-11-23 14:28 . 2008-11-23 14:28 <REP> d-------- c:\documents and settings\Denis\Contacts

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-12-15 16:56 --------- d-----w c:\program files\Symantec AntiVirus
      2008-12-13 14:50 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
      2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
      "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
      "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-06-19 94208]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-03-31 66656]
      "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2004-03-31 124128]
      "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
      "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=gutmyx.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      "AntiVirusOverride"=dword:00000001
      "FirewallOverride"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=

      R3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [2008-10-03 320384]
      R3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [2008-10-03 240000]
      S3 SavRoam;SAVRoam;"c:\program files\Symantec AntiVirus\SavRoam.exe" [2004-03-31 169192]

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67EFG7H6-8IJL-56YT-KLH4-76WE8D3RAM87}]
      c:\system\S-3-7-89-2225458569-9856321456-454423558-8896\\explorer.exe
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      BHO-{0FC7EDBA-5031-494C-A5E9-84F057139FD8} - c:\windows\system32\khfGaxYp.dll
      BHO-{ec4e1027-7b28-48ec-9648-3d67713943ab} - c:\windows\system32\gutmyx.dll
      HKCU-Run-55766670799998477189967236716708 - c:\program files\A360\av360.exe
      HKLM-Run-NWEReboot - (no file)


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.a2articles.com
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

      c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
      c:\windows\Downloaded Program Files\live.ini
      c:\windows\Downloaded Program Files\scanoptions.tsi
      c:\windows\Downloaded Program Files\lang.ini
      c:\windows\Downloaded Program Files\ipsupd.dll
      c:\windows\Downloaded Program Files\bdupd.dll
      c:\windows\Downloaded Program Files\libfn.dll
      c:\windows\Downloaded Program Files\bdcore.dll
      c:\windows\Downloaded Program Files\oscan8.ocx
      O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
      hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      c:\windows\Downloaded Program Files\oscan8.inf
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-15 17:56:49
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0[/u]\FTRTSVC.exe
      c:\program files\Symantec AntiVirus\Rtvscan.exe
      c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      c:\windows\system32\msiexec.exe
      c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\[u]0[/u]\AlertModule.exe
      c:\program files\OrangeHSS\Systray\SystrayApp.exe
      c:\program files\Symantec AntiVirus\DefWatch.exe
      .
      **************************************************************************
      .
      Heure de fin: 2008-12-15 17:59:30 - La machine a redémarré
      ComboFix-quarantined-files.txt 2008-12-15 16:59:27

      Avant-CF: 64 209 866 752 octets libres
      Après-CF: 64,719,757,312 octets libres

      185 --- E O F --- 2008-11-25 12:12:24
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok une partie virée

    Telecharge UsbFix sur ton bureau
    http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

    --> Lance l installation avec les parametres par default

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci UsbFix sur ton bureau

    --> Le pc va redémarer

    -->Apres redémarrage post le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

    puis remets un rapport hijakhcits
    0
    1. amandyinn
       
      -------------- UsbFix V2.413.4 ---------------

      * User : Denis - XXXXX-2FP1B6RBF
      * Outils mis a jours le 11/12/2008 par Chiquitine29 et Chimay8
      * Recherche effectuée à 19:46:04 le 15/12/2008
      * Windows Xp - Internet Explorer 6.0.2900.2180


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\DOCUME~1\Denis\LOCALS~1\Temp\1.tmp\b2e.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\PROGRA~1\SYMANT~1\VPTray.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Symantec AntiVirus\DefWatch.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      C:\Program Files\Symantec AntiVirus\Rtvscan.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\OrangeHSS\Launcher\Launcher.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\OrangeHSS\systray\systrayapp.exe
      C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
      C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
      C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
      C:\WINDOWS\system32\msiexec.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\MsiExec.exe
      C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      --------------- [ Informations lecteurs ] ----------------

      C: - Lecteur fixe


      --------------- [ Lecteur C ] ----------------

      C: - Lecteur fixe


      +- Listing des fichiers présents :

      [03/10/2008 07:47][--a------] C:\AUTOEXEC.BAT
      [03/08/2004 23:38][-rahs----] C:\NTDETECT.COM
      [11/12/2008 19:31][--a------] C:\iri.exe
      [11/12/2008 19:31][--a------] C:\osy.exe
      [11/12/2008 19:31][--a------] C:\waxx.exe
      [03/10/2008 10:27][---hs----] C:\boot.ini
      [15/12/2008 17:59][--a------] C:\ComboFix.txt
      [15/12/2008 17:59][--a------] C:\UsbFix.txt
      [03/10/2008 07:47][--a------] C:\CONFIG.SYS
      [03/10/2008 07:47][--a------] C:\IO.SYS
      [03/10/2008 07:47][--a------] C:\MSDOS.SYS
      [03/10/2008 07:47][--a------] C:\pagefile.sys

      --------------- [ Registre / Startup ] ----------------

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
      ORAHSSSessionManager=C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
      NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      Installed=1
      NoChange=1
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1

      --------------- [ Registre / Mountpoint2 ] ----------------


      -> Recherche négative.

      --------------- [ Nettoyage des disques ] ----------------

      Supprimé ! - [08/12/2008 15:51][--a------] C:\osy.exe

      --------------- [ Resumé ] ----------------

      -> /!\ Le resultat doit etre interprété par un spécialiste /!\

      [03/10/2008 07:47][--a------] C:\AUTOEXEC.BAT
      [03/08/2004 23:38][-rahs----] C:\NTDETECT.COM
      [11/12/2008 19:31][--a------] C:\iri.exe
      [11/12/2008 19:31][--a------] C:\waxx.exe
      [03/10/2008 10:27][---hs----] C:\boot.ini

      --------------- ! Fin du rapport ! ----------------
      0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    analyse ces deux fichiers sur virus total et colle nous les rapports: https://www.virustotal.com/gui/

    C:\iri.exe
    C:\waxx.exe

    et bien sûr un rapport hijakhcits
    0
    1. amandyinn
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:57:49, on 15/12/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\PROGRA~1\SYMANT~1\VPTray.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      C:\Program Files\Symantec AntiVirus\Rtvscan.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\OrangeHSS\Launcher\Launcher.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\OrangeHSS\systray\systrayapp.exe
      C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
      C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
      C:\WINDOWS\system32\msiexec.exe
      C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Symantec AntiVirus\DefWatch.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O15 - Trusted Zone: http://*.mappy.com
      O15 - Trusted Zone: http://*.orange.fr
      O15 - Trusted Zone: http://rw.search.ke.voila.fr
      O15 - Trusted Zone: http://orange.weborama.fr
      O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O20 - AppInit_DLLs: gutmyx.dll
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
      O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
      0
    2. amandyinn
       
      Fichier iri.exe reçu le 2008.12.15 20:03:05 (CET)
      Situation actuelle: terminé

      Résultat: 0/38 (0.00%)
      Formaté Impression des résultats
      Antivirus Version Dernière mise à jour Résultat
      AhnLab-V3 2008.12.16.0 2008.12.15 -
      AntiVir 7.9.0.45 2008.12.15 -
      Authentium 5.1.0.4 2008.12.15 -
      Avast 4.8.1281.0 2008.12.15 -
      AVG 8.0.0.199 2008.12.15 -
      BitDefender 7.2 2008.12.15 -
      CAT-QuickHeal 10.00 2008.12.15 -
      ClamAV 0.94.1 2008.12.15 -
      Comodo 754 2008.12.14 -
      DrWeb 4.44.0.09170 2008.12.15 -
      eSafe 7.0.17.0 2008.12.15 -
      eTrust-Vet 31.6.6261 2008.12.15 -
      Ewido 4.0 2008.12.15 -
      F-Prot 4.4.4.56 2008.12.15 -
      F-Secure 8.0.14332.0 2008.12.15 -
      Fortinet 3.117.0.0 2008.12.14 -
      GData 19 2008.12.15 -
      Ikarus T3.1.1.45.0 2008.12.15 -
      K7AntiVirus 7.10.554 2008.12.15 -
      Kaspersky 7.0.0.125 2008.12.15 -
      McAfee 5464 2008.12.14 -
      McAfee+Artemis 5464 2008.12.14 -
      Microsoft 1.4205 2008.12.15 -
      NOD32 3693 2008.12.15 -
      Norman 5.80.02 2008.12.15 -
      Panda 9.0.0.4 2008.12.15 -
      PCTools 4.4.2.0 2008.12.15 -
      Prevx1 V2 2008.12.15 -
      Rising 21.08.02.00 2008.12.15 -
      SecureWeb-Gateway 6.7.6 2008.12.15 -
      Sophos 4.36.0 2008.12.15 -
      Sunbelt 3.2.1801.2 2008.12.11 -
      Symantec 10 2008.12.15 -
      TheHacker 6.3.1.4.188 2008.12.14 -
      TrendMicro 8.700.0.1004 2008.12.15 -
      VBA32 3.12.8.10 2008.12.15 -
      ViRobot 2008.12.15.1518 2008.12.15 -
      VirusBuster 4.5.11.0 2008.12.15 -
      Information additionnelle
      File size: 1025 bytes
      MD5...: c0b1cc4832fff96dbbbbc5d1d48c3b22
      SHA1..: fce95a0d6148904d55b9ea0b8c14c09a9a3c9955
      SHA256: 09b44160f4a28cc324314ee385ab5ea82fcd876438caa053c044d17123399b47
      SHA512: 2897b9aaf95dbfbdc8f9f538998a5ac961e209e07c6723c235bfe0ec741a02e7
      0e1493b2b0096de2f4481a69ea625c85249bd5795cdd9e62d909bd3bc5398449

      ssdeep: 12:0L+RFWekzAPD/Weocz4DzRxho3sGxPV5OP7KkyLcghVg3ZaGgLSu:0a/Wed7W
      eXz6xho3Lxt8K/LYZyLSu

      PEiD..: -
      TrID..: File type identification
      Unknown!
      PEInfo: -
      0
  4. amandyinn
     
    Fichier waxx.exe reçu le 2008.12.15 20:06:44 (CET)
    Situation actuelle: terminé

    Résultat: 0/38 (0.00%)
    Formaté Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.12.16.0 2008.12.15 -
    AntiVir 7.9.0.45 2008.12.15 -
    Authentium 5.1.0.4 2008.12.15 -
    Avast 4.8.1281.0 2008.12.15 -
    AVG 8.0.0.199 2008.12.15 -
    BitDefender 7.2 2008.12.15 -
    CAT-QuickHeal 10.00 2008.12.15 -
    ClamAV 0.94.1 2008.12.15 -
    Comodo 754 2008.12.14 -
    DrWeb 4.44.0.09170 2008.12.15 -
    eSafe 7.0.17.0 2008.12.15 -
    eTrust-Vet 31.6.6261 2008.12.15 -
    Ewido 4.0 2008.12.15 -
    F-Prot 4.4.4.56 2008.12.15 -
    F-Secure 8.0.14332.0 2008.12.15 -
    Fortinet 3.117.0.0 2008.12.14 -
    GData 19 2008.12.15 -
    Ikarus T3.1.1.45.0 2008.12.15 -
    K7AntiVirus 7.10.554 2008.12.15 -
    Kaspersky 7.0.0.125 2008.12.15 -
    McAfee 5464 2008.12.14 -
    McAfee+Artemis 5464 2008.12.14 -
    Microsoft 1.4205 2008.12.15 -
    NOD32 3693 2008.12.15 -
    Norman 5.80.02 2008.12.15 -
    Panda 9.0.0.4 2008.12.15 -
    PCTools 4.4.2.0 2008.12.15 -
    Prevx1 V2 2008.12.15 -
    Rising 21.08.02.00 2008.12.15 -
    SecureWeb-Gateway 6.7.6 2008.12.15 -
    Sophos 4.36.0 2008.12.15 -
    Sunbelt 3.2.1801.2 2008.12.11 -
    Symantec 10 2008.12.15 -
    TheHacker 6.3.1.4.188 2008.12.14 -
    TrendMicro 8.700.0.1004 2008.12.15 -
    VBA32 3.12.8.10 2008.12.15 -
    ViRobot 2008.12.15.1518 2008.12.15 -
    VirusBuster 4.5.11.0 2008.12.15 -
    Information additionnelle
    File size: 1025 bytes
    MD5...: b2829431f954d14477cf9d4e518f1518
    SHA1..: a1b533012333dda90f9d379e239551bafd6c2679
    SHA256: ac6a4ece9904fa1a0aff9fd7e0a96ff189e671dad6c607d0d49c7ab3384597d5
    SHA512: 84cbdfe33bdb36437d9e0f93cd9089dc9a27c4b72979e95e57c27c4c65f277f3
    e6b56af68cae4f3085cd76b2ca3cabc1f649ec705535b7f68fc9281ecf323d13

    ssdeep: 12:0L+RFWekzAPD/Weocz4DzRxho3uGxPV5OP7KkyLcghVg3ZaGgLSu:0a/Wed7W
    eXz6xho3lxt8K/LYZyLSu

    PEiD..: -
    TrID..: File type identification
    Unknown!
    PEInfo: -
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=-

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    _______________________

    mettre a jour internet explorer
    https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

    puis

    mets a jour windows: DEMARRER puis tous les programmes puis windows update et installe le sp3

    __________________________

    encore des soucis???
    0
  7. amandyinn
     
    J'ai réussi a créer le document texte par contre l'icone de combofix sur mon bureau note juste combofix et pas combofix.exe du coup qd j'ai fais glisser le fichier ça m'a demander d'executer et combofix ne démarre pas tout seul.
    Ensuite je n'ai pas le message "Type 1 to continue, or 2 to abort".
    Ca me demande aussi si je veux télécharger la console de récupération, du coup g di non et voila le scan que j'obtiens

    ComboFix 08-12-15.01 - Denis 2008-12-15 21:22:07.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.735.410 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Denis\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Denis\Bureau\CFscript.txt
    * Un nouveau point de restauration a été créé

    [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-15 au 2008-12-15 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-15 20:32 . 2008-12-15 20:32 <REP> d-------- c:\windows\LastGood
    2008-12-15 20:32 . 2008-12-15 20:32 <REP> d-------- c:\program files\Panda Security
    2008-12-15 20:32 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
    2008-12-15 19:43 . 2008-12-15 19:53 <REP> d-------- c:\program files\UsbFix
    2008-12-15 16:35 . 2008-12-15 16:35 <REP> d-------- c:\program files\Trend Micro
    2008-12-15 16:06 . 2008-12-15 20:32 <REP> d-------- c:\windows\system32\CatRoot2
    2008-12-15 14:09 . 2008-12-15 19:35 <REP> d-------- c:\windows\BDOSCAN8
    2008-12-13 15:32 . 2008-12-13 15:32 <REP> d-------- c:\documents and settings\Denis\Application Data\Twain
    2008-12-11 21:11 . 2008-12-11 21:11 1,025 --a------ C:\waxx.exe
    2008-12-11 18:39 . 2008-12-11 18:39 <REP> d-------- c:\program files\AxBx
    2008-12-11 17:23 . 2008-12-11 17:23 <REP> d-------- C:\ProgramData
    2008-12-11 17:23 . 2008-12-11 17:57 <REP> d-------- c:\program files\Angle Interactive
    2008-12-11 13:02 . 2008-12-11 19:31 1,025 --a------ C:\iri.exe
    2008-12-11 12:46 . 2008-12-13 15:41 69 --a------ c:\windows\NeroDigital.ini
    2008-12-11 12:03 . 2008-12-11 12:44 <REP> d-------- c:\documents and settings\Denis\Application Data\Ahead
    2008-12-11 11:58 . 2008-12-11 11:58 <REP> d-------- c:\program files\Nero
    2008-12-11 11:58 . 2008-12-11 11:58 <REP> d-------- c:\program files\Fichiers communs\Ahead
    2008-12-08 16:21 . 2008-12-08 16:21 <REP> dr-hs---- C:\SYSTEM
    2008-12-08 15:49 . 2008-12-11 12:50 664 --a------ c:\windows\system32\d3d9caps.dat
    2008-11-25 12:29 . 2008-11-25 12:42 <REP> d-------- c:\windows\system32\CatRoot_bak
    2008-11-25 12:28 . 2008-06-14 18:59 272,768 --------- c:\windows\system32\drivers\bthport.sys
    2008-11-25 12:28 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
    2008-11-25 12:27 . 2008-08-14 14:44 2,182,400 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
    2008-11-25 12:27 . 2008-08-14 14:44 2,138,112 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
    2008-11-25 12:27 . 2008-08-14 14:44 2,059,776 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
    2008-11-25 12:27 . 2008-08-14 14:44 2,017,792 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
    2008-11-25 12:27 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
    2008-11-24 12:27 . 2008-12-15 18:40 <REP> d--h----- c:\windows\$hf_mig$
    2008-11-24 09:00 . 2008-11-24 09:00 <REP> d-------- c:\program files\Maxis
    2008-11-24 08:56 . 2008-11-24 08:56 <REP> d-------- c:\documents and settings\Denis\WINDOWS
    2008-11-24 08:56 . 1998-01-23 12:20 305,664 --a------ c:\windows\IsUn040c.exe
    2008-11-24 08:37 . 2008-11-24 08:37 268 --ah----- C:\sqmdata00.sqm
    2008-11-24 08:37 . 2008-11-24 08:37 244 --ah----- C:\sqmnoopt00.sqm
    2008-11-24 08:35 . 2008-11-24 08:35 <REP> d----c--- c:\windows\system32\DRVSTORE
    2008-11-24 08:35 . 2008-11-24 08:35 <REP> d-------- c:\program files\MSN Messenger
    2008-11-23 19:49 . 2008-11-23 19:49 <REP> d-------- c:\program files\Windows Media Connect 2
    2008-11-23 19:48 . 2008-11-23 19:48 <REP> d-------- c:\windows\system32\LogFiles
    2008-11-23 19:48 . 2008-11-23 19:49 <REP> d-------- c:\windows\system32\drivers\UMDF
    2008-11-23 19:48 . 2006-09-25 17:58 23,856 --a------ c:\windows\system32\spupdsvc.exe
    2008-11-23 19:13 . 2008-11-23 19:13 <REP> d-------- c:\program files\Securitoo
    2008-11-23 19:12 . 2006-03-01 18:53 94,208 --a------ c:\windows\system32\w32n50.dll
    2008-11-23 19:12 . 2007-12-11 20:22 65,536 --a------ c:\windows\system32\Autodial2000.dll
    2008-11-23 19:12 . 2003-09-23 10:38 34,688 --a------ c:\windows\system32\pcampr5.sys
    2008-11-23 19:12 . 2006-03-01 18:53 32,128 --a------ c:\windows\system32\pcandis5.sys
    2008-11-23 19:11 . 2008-11-23 19:28 <REP> d-------- c:\program files\OrangeHSS
    2008-11-23 19:11 . 2008-11-23 19:11 <REP> d-------- c:\program files\Fichiers communs\France Telecom
    2008-11-23 19:11 . 2003-03-19 05:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
    2008-11-23 19:11 . 2003-09-16 08:07 499,712 --a------ c:\windows\system32\msvcp71.dll
    2008-11-23 19:11 . 2003-02-21 12:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
    2008-11-23 19:11 . 2003-03-19 03:05 89,088 --a------ c:\windows\system32\atl71.dll
    2008-11-23 14:39 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll
    2008-11-23 14:39 . 2008-11-23 14:39 385 --a------ c:\windows\ODBC.INI
    2008-11-23 14:38 . 2008-11-23 14:38 <REP> d-------- c:\program files\Microsoft.NET
    2008-11-23 14:37 . 2008-11-23 14:38 <REP> d-------- c:\windows\SHELLNEW
    2008-11-23 14:34 . 2008-11-23 14:34 <REP> dr-h----- C:\MSOCache
    2008-11-23 14:28 . 2008-11-23 14:28 <REP> d-------- c:\documents and settings\Denis\Contacts

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-15 18:46 --------- d-----w c:\program files\Symantec AntiVirus
    2008-12-13 14:50 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
    2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-09-23 16:46 245,408 ----a-w c:\windows\system32\unicows.dll
    2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2008-12-15_17.58.47.95 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-06-30 09:39:58 128,256 ----a-w c:\windows\Downloaded Program Files\as2stubie.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
    "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-06-19 94208]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-03-31 66656]
    "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2004-03-31 124128]
    "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
    "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=gutmyx.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=

    R3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [2008-10-03 320384]
    R3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [2008-10-03 240000]
    S3 SavRoam;SAVRoam;"c:\program files\Symantec AntiVirus\SavRoam.exe" [2004-03-31 169192]

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67EFG7H6-8IJL-56YT-KLH4-76WE8D3RAM87}]
    c:\system\S-3-7-89-2225458569-9856321456-454423558-8896\\explorer.exe
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
    c:\windows\Downloaded Program Files\live.ini
    c:\windows\Downloaded Program Files\scanoptions.tsi
    c:\windows\Downloaded Program Files\lang.ini
    c:\windows\Downloaded Program Files\ipsupd.dll
    c:\windows\Downloaded Program Files\bdupd.dll
    c:\windows\Downloaded Program Files\libfn.dll
    c:\windows\Downloaded Program Files\bdcore.dll
    c:\windows\Downloaded Program Files\oscan8.ocx
    O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
    hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    c:\windows\Downloaded Program Files\oscan8.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-15 21:23:15
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2008-12-15 21:24:25
    ComboFix-quarantined-files.txt 2008-12-15 20:23:54
    ComboFix2.txt 2008-12-15 16:59:32

    Avant-CF: 64,344,915,968 octets libres
    Après-CF: 64,337,072,128 octets libres

    154 --- E O F --- 2008-12-15 17:39:29
    0
  8. amandyinn
     
    oui g encore un petit souci sans vouloir abuser dans le centre de sécurité g tjrs ma protection symantec antivirus qui est désactivée...du coup mon ordi affiche sans arret une demande pour que j'insère le CD de symantec. Pourtant symantec existe tjrs dans programme files est ce que je dois le réinstaller?
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    vire norton comme ceci et réinstalle le

    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
    0