Sujet Précédent Sujet Suivant

Virus WORM_AUTORUN.DMS

Fermé
Gaël - 16 déc. 2008 à 14:14
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 22 déc. 2008 à 23:33
Bonjour,
ma clé est infecté par le virus WORM_AUTORUN.DMS ce qui m'empèche de visualiser et d'accéder à mes fichiers.
Y a-t-il un moyen de se débarasser de ce virus et récupérer mes dossiers ?
Merci d'avance pour votre aide.

24 réponses

  • 1
  • 2
Réponse 1 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 14:15
salut,

Telecharge UsbFix sur ton bureau

http://sd-1.archive-host.com/membres/up/1366464061/UsbFix.rar

dezip le sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

@+
0
Gaël
16 déc. 2008 à 15:12
Merci pour ton aide,
désolé j'ai encore un soucis :
quand je double click sur usbfix il m'affiche ce message :
"Version non supportée !!
UsbFix ne peux continuer a s'executer ..
Appuyez sur une touche pour quitter UsbFix."
Vois-tu une solution ?
+
0
Réponse 2 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 15:18
c´est bien embetant !
tu as bien un windows xp !c´est un 32 ou 64 bit ?
0
Gaël
16 déc. 2008 à 15:23
C'est un Windows 2000 professionnel 32 bit
0
Réponse 3 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 15:27
ok

telecharge ce fichier :

http://sd-1.archive-host.com/membres/up/1366464061/Scan.rar

puis dezip le sur ton bureau, et double click sur scan.bat et laisse le scanner, post le rapport list.txt stp

@+
0
Gaël
16 déc. 2008 à 15:35
Merci, voici le message obtenu (clé usb sur lecteur E) :

--------------- [ Lecteur C ] ----------------


+- Listing des fichiers présents :

[04/03/03 11:06 ][---h-----] C:\AUTOEXEC.BAT
[03/03/03 16:02 ][-rahs----] C:\NTDETECT.COM
[19/06/03 11:05 ][-rahs----] C:\arcldr.exe
[19/06/03 11:05 ][-rahs----] C:\arcsetup.exe
[25/01/07 08:36 ][---hs----] C:\boot.ini
[25/01/07 08:36 ][---hs----] C:\tmuninst.ini
[12/11/07 14:19 ][--a------] C:\COMLOG.txt
[12/11/07 14:19 ][--a------] C:\List.txt
[12/11/07 14:19 ][--a------] C:\test.txt
[03/03/03 14:47 ][---h-----] C:\CONFIG.SYS
[03/03/03 14:47 ][---h-----] C:\IO.SYS
[03/03/03 14:47 ][---h-----] C:\MSDOS.SYS
[03/03/03 14:47 ][---h-----] C:\pagefile.sys

--------------- [ Lecteur E ] ----------------


+- Listing des fichiers présents :


--------------- [ Lecteur M ] ----------------


+- Listing des fichiers présents :


--------------- [ Lecteur Q ] ----------------


+- Listing des fichiers présents :

[25/11/05 16:11 ][--a------] Q:\2005 11 25 fsupdate.exe
[25/11/05 16:11 ][--a------] Q:\JIM.exe
[26/02/08 15:07 ][--a------] Q:\tnsnames.ora.txt

--------------- [ Lecteur U ] ----------------


+- Listing des fichiers présents :


--------------- [ Lecteur V ] ----------------


+- Listing des fichiers présents :

[15/11/08 11:44 ][--a------] V:\IE7-WindowsXP-x86-fra.exe
0
Réponse 4 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 15:50
ok

j´ai besoin d´un scan supplementaire :

> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau.
- Double clique sur RSIT.exe
- Clique sur <continue> à l'écran "Disclaimer".
- Choisis lors de l'option <List files/folders created ...> : 3 months
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi.

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
Gaël
16 déc. 2008 à 16:12
Logfile of random's system information tool 1.04 (written by random/random)
Run by Superviseur at 2008-12-16 16:11:12
Microsoft Windows 2000 Professionnel Service Pack 4
System drive C: has 31 GB (82%) free of 38 GB
Total RAM: 502 MB (46% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - @msdxmLC.dll,-1@1036,&Radio - C:\WINNT\System32\msdxm.ocx [2003-09-18 848144]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"=mobsync.exe /logon []
"POINTER"=point32.exe []
"WinVNC"=C:\Program Files\ORL\VNC\WinVNC.exe [2000-05-23 208896]
"SoundMAXPnP"=C:\Program Files\Analog Devices\Core\smax4pnp.exe [2004-10-14 1404928]
"igfxtray"=C:\WINNT\system32\igfxtray.exe [2005-09-20 94208]
"igfxhkcmd"=C:\WINNT\system32\hkcmd.exe [2005-09-20 77824]
"igfxpers"=C:\WINNT\system32\igfxpers.exe [2005-09-20 114688]
"OfficeScanNT Monitor"=C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe [2005-11-18 335872]
"QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2007-09-28 286720]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"=C:\WINNT\system32\internat.exe [1999-12-16 20752]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Agent Program Neighborhood.lnk - C:\WINNT\Installer\{3F9F98A0-98CC-4D01-B461-CE0CF03D13A9}\Icon80951CEC.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINNT\system32\igfxdev.dll [2005-09-20 135168]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=149

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2008-12-16 16:08:38 ----D---- C:\rsit
2008-12-16 15:33:19 ----A---- C:\List.txt
2008-12-16 14:52:51 ----D---- C:\Program Files\UsbFix
2008-12-16 14:51:32 ----D---- C:\Documents and Settings\Superviseur\Application Data\ESTsoft
2008-12-16 14:51:28 ----D---- C:\Documents and Settings\All Users\Application Data\ESTsoft
2008-12-16 14:51:24 ----D---- C:\Program Files\ESTsoft
2008-12-16 14:50:30 ----D---- C:\Documents and Settings\Superviseur\Application Data\Citrix
2008-12-16 14:50:09 ----D---- C:\Documents and Settings\Superviseur\Application Data\Identities
2008-12-16 14:50:03 ----D---- C:\Documents and Settings\Superviseur\Application Data\4D
2008-12-16 14:50:03 ----ASD---- C:\Documents and Settings\Superviseur\Application Data\Microsoft
2008-12-16 14:50:03 ----AD---- C:\Documents and Settings\Superviseur\Application Data\Help
2008-11-19 07:27:28 ----D---- C:\WINNT\winsxs
2008-11-19 07:26:39 ----D---- C:\Documents and Settings\All Users\Application Data\Adobe

======List of files/folders modified in the last 1 months======

2008-12-16 16:11:12 ----D---- C:\Program Files\Trend Micro
2008-12-16 16:08:43 ----AD---- C:\WINNT\system32
2008-12-16 16:05:25 ----SD---- C:\WINNT\Cookies
2008-12-16 14:52:51 ----RAD---- C:\Program Files
2008-12-16 14:50:17 ----SD---- C:\WINNT\Historique
2008-12-16 14:50:15 ----SHD---- C:\WINNT\Installer
2008-12-16 14:50:11 ----AD---- C:\WINNT
2008-12-16 14:50:11 ----AD---- C:\Program Files\Outlook Express
2008-12-16 14:50:11 ----AD---- C:\Program Files\Fichiers communs\Microsoft Shared
2008-12-16 14:50:11 ----AD---- C:\Program Files\Fichiers communs
2008-12-16 14:50:11 ----A---- C:\WINNT\OEWABLog.txt
2008-12-16 14:50:07 ----SD---- C:\WINNT\Temporary Internet Files
2008-12-16 14:50:02 ----AD---- C:\Documents and Settings
2008-12-16 14:49:06 ----A---- C:\WINNT\brqikmon.ini
2008-12-16 13:45:35 ----A---- C:\WINNT\cfgall.ini
2008-12-16 12:16:48 ----AD---- C:\WINNT\security
2008-12-16 08:43:02 ----AD---- C:\WINNT\Temp
2008-12-15 20:00:29 ----A---- C:\WINNT\win.ini
2008-12-15 18:12:18 ----A---- C:\WINNT\brwmark.ini
2008-12-12 22:16:31 ----AD---- C:\WINNT\system32\NtmsData
2008-12-11 09:22:59 ----A---- C:\WINNT\IE4 Error Log.txt
2008-12-04 15:02:30 ----A---- C:\WINNT\SMSCFG.ini
2008-12-04 15:01:51 ----AD---- C:\WINNT\Debug
2008-12-04 15:01:18 ----AD---- C:\WINNT\system32\drivers
2008-12-04 14:59:37 ----A---- C:\WINNT\SchedLgU.Txt
2008-12-01 15:53:39 ----AD---- C:\WINNT\Help
2008-11-19 07:28:00 ----AD---- C:\Program Files\Fichiers communs\Adobe
2008-11-19 07:24:00 ----AD---- C:\Program Files\Adobe
2008-11-19 07:20:15 ----AD---- C:\temp

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Cdr4_2K;Cdr4_2K; C:\WINNT\system32\drivers\Cdr4_2K.sys [2003-03-05 58000]
R1 Cdralw2k;Cdralw2k; C:\WINNT\system32\drivers\Cdralw2k.sys [2003-03-05 23420]
R1 kbdhid;Pilote HID de clavier; C:\WINNT\System32\DRIVERS\kbdhid.sys [1999-12-14 13808]
R1 OMCI;OMCI WDM Device Driver; C:\WINNT\system32\DRIVERS\omci.sys [2006-03-01 18688]
R2 HidUsb;Pilote de classe HID Microsoft; C:\WINNT\System32\DRIVERS\hidusb.sys [1999-10-04 13904]
R2 TM_CFW;Common Firewall Driver; \??\C:\Program Files\Trend Micro\OfficeScan Client\tm_cfw.sys []
R2 TmFilter;Trend Micro Filter; \??\C:\Program Files\Trend Micro\OfficeScan Client\TmFilter.sys []
R2 VSApiNt;Trend Micro VSAPI NT; \??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys []
R3 b57w2k;Broadcom NetXtreme 57xx Gigabit Controller; C:\WINNT\system32\DRIVERS\b57w2k.sys [2005-03-17 134483]
R3 ialm;ialm; C:\WINNT\System32\DRIVERS\ialmnt5.sys [2005-09-20 1302332]
R3 idisw2km;idisw2km; C:\WINNT\system32\DRIVERS\idisw2km.sys [2005-11-28 8992]
R3 kbstuff;SMS Virtual Mouse; C:\WINNT\system32\DRIVERS\kbstuff5.sys [2005-11-28 11744]
R3 mouhid;Pilote HID de souris; C:\WINNT\System32\DRIVERS\mouhid.sys [2003-06-19 11824]
R3 prepdrvr;SMS Process Event Driver; \??\C:\WINNT\system32\CCM\prepdrv.sys []
R3 senfilt;senfilt; C:\WINNT\system32\drivers\senfilt.sys [2004-09-17 732928]
R3 smwdm;smwdm; C:\WINNT\system32\drivers\smwdm.sys [2005-01-27 260352]
R3 uhcd;Pilote de contrôleur hôte universel USB Microsoft; C:\WINNT\System32\DRIVERS\uhcd.sys [2003-06-19 32848]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINNT\System32\DRIVERS\usbehci.sys [2003-06-19 19728]
R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINNT\System32\DRIVERS\usbhub.sys [2003-06-19 40176]
R3 usbhub20;Prise en charge du concentrateur USB; C:\WINNT\System32\DRIVERS\usbhub20.sys [2003-06-19 49776]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINNT\System32\DRIVERS\USBSTOR.SYS [2003-06-19 21552]
S3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINNT\system32\drivers\ialmsbw.sys [2003-04-15 113504]
S3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINNT\system32\drivers\ialmkchw.sys [2003-04-15 78752]
S3 aeaudio;aeaudio; C:\WINNT\system32\drivers\aeaudio.sys []
S3 CCDECODE;Closed Caption Decoder; C:\WINNT\System32\DRIVERS\CCDECODE.sys [2004-07-09 16384]
S3 E100B;Intel(R) PRO Adapter Driver; C:\WINNT\System32\DRIVERS\e100bnt5.sys [2003-03-04 145168]
S3 IPFilter;Microsoft IntelliPoint Features driver; C:\WINNT\System32\DRIVERS\IPFilter.sys [2001-08-23 10192]
S3 MPE;BDA MPE Filter; C:\WINNT\System32\DRIVERS\MPE.sys [2004-07-09 15104]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINNT\system32\drivers\MSTEE.sys [2002-12-12 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINNT\System32\DRIVERS\NABTSFEC.sys [2004-07-09 83968]
S3 NMSCFG;NIC Management Service Configuration Driver; \??\C:\WINNT\System32\drivers\NMSCFG.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINNT\System32\DRIVERS\SLIP.sys [2004-07-09 10880]
S3 streamip;BDA IPSink; C:\WINNT\System32\DRIVERS\StreamIP.sys [2004-07-09 14976]
S3 wapsusb;Welch Allyn USB Driver; C:\WINNT\System32\Drivers\wapsusb.sys [2006-11-10 12800]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINNT\System32\DRIVERS\WSTCODEC.SYS [2004-07-09 18688]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 CcmExec;Hôte de l'agent SMS; C:\WINNT\system32\CCM\CcmExec.exe [2007-04-13 590712]
R2 HidServ;HID Input Service; C:\WINNT\system32\hidserv.exe [2003-06-19 19728]
R2 ntrtscan;Scan en temps réel OfficeScanNT; C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe [2005-11-18 491520]
R2 OfcPfwSvc;Pare-feu OfficeScanNT; C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe [2005-11-18 229456]
R2 PropaqLTAutoStart;PropaqLTAutoStart; C:\Program Files\Welch Allyn\Propaq LT Monitor\PropaqLTAutoStartService.exe [2006-11-10 24576]
R2 tmlisten;OfficeScanNT Listener; C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe [2005-11-18 610392]
R2 UPHClean;User Profile Hive Cleanup; C:\Program Files\UPHClean\uphclean.exe [2005-04-27 241725]
R2 winvnc;VNC Server; C:\Program Files\ORL\VNC\WinVNC.exe [2000-05-23 208896]
R2 Wuser32;SMS Remote Control Agent; C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe [2007-04-13 251256]
S3 aspnet_state;Service d'état ASP.NET; C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 NMSSvc;Intel(R) NMS; C:\WINNT\System32\NMSSvc.exe [2002-05-03 1118208]
S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WmdmPmSN;Service de numéro de série du lecteur multimédia portable; C:\WINNT\System32\svchost.exe [1999-12-16 7952]

-----------------EOF-----------------
0
Réponse 6 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 16:14
on continue,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+
0
Réponse 7 / 24
Gaël
16 déc. 2008 à 16:31
ComboFix 08-12-15.05 - Superviseur 16/12/2008 16:22:03.1 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.502.246 [GMT 1:00]
Lancé depuis: c:\documents and settings\Superviseur\Bureau\ComboFix.exe
* Resident AV is active


[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\1710hco1\Menu Démarrer\Programmes\WebMediaPlayer
c:\documents and settings\1710hco1\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.lnk
c:\documents and settings\1710hco1\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.lnk
c:\documents and settings\1710hco1\Menu Démarrer\Programmes\WebMediaPlayer\Désinstaller.lnk
c:\documents and settings\1710hco1\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk
c:\documents and settings\1710hco1\Menu Démarrer\Programmes\WebMediaPlayer\Website.lnk
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\test.txt
c:\winnt\IE4 Error Log.txt
c:\winnt\system32\cfx32.ocx
c:\winnt\system32\install.exe
c:\winnt\system32\mdm.exe
c:\winnt\Web\default.htt

----- BITS: Il y a peut-être des sites infectés -----

hxxp://GAIA:80
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-16 au 2008-12-16 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 15:13 --------- d-----w c:\program files\Trend Micro
2008-12-16 14:33 --------- d-----w c:\documents and settings\1710hco1\Application Data\ESTsoft
2008-12-16 13:52 --------- d-----w c:\program files\UsbFix
2008-12-16 13:51 --------- d-----w c:\program files\ESTsoft
2008-12-16 13:51 --------- d-----w c:\documents and settings\Superviseur\Application Data\ESTsoft
2008-12-16 13:51 --------- d-----w c:\documents and settings\All Users\Application Data\ESTsoft
2008-12-16 13:50 --------- d-----w c:\documents and settings\Superviseur\Application Data\Citrix
2008-12-08 14:07 --------- d-----w c:\documents and settings\1710hco1\Application Data\T2ViewerJVM
2008-11-20 13:54 --------- d-----w c:\documents and settings\Superviseur\Application Data\4D
2008-11-20 13:54 --------- d-----w c:\documents and settings\Default User\Application Data\4D
2008-11-19 06:28 --------- d---a-w c:\program files\Fichiers communs\Adobe
2003-03-04 10:05 1,129 ----a-w c:\program files\mdac.log
2003-03-03 13:46 271 ---ha-w c:\program files\desktop.ini
2003-03-03 13:46 22,115 ---ha-w c:\program files\folder.htt
1999-12-16 00:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 c:\winnt\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\program files\ORL\VNC\WinVNC.exe" [23/05/00 18:09 208896]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [14/10/04 14:42 1404928]
"igfxtray"="c:\winnt\system32\igfxtray.exe" [20/09/05 10:35 94208]
"igfxhkcmd"="c:\winnt\system32\hkcmd.exe" [20/09/05 10:32 77824]
"igfxpers"="c:\winnt\system32\igfxpers.exe" [20/09/05 10:36 114688]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [18/11/05 00:44 335872]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [28/09/07 00:21 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/08 22:16 39792]
"Synchronization Manager"="mobsync.exe" [19/06/03 11:05 111888 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [19/06/03 11:05 189712]

c:\documents and settings\1710hco1\Menu D‚marrer\Programmes\D‚marrage\
Agent Program Neighborhood.lnk - c:\program files\Citrix\PNAgent\pnagent.exe [2007-01-04 286096]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Agent Program Neighborhood.lnk - c:\winnt\Installer\{3F9F98A0-98CC-4D01-B461-CE0CF03D13A9}\Icon80951CEC.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe [2007-11-05 12390]

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CTRX"= ctrxvid.drv
"aux"= mmdrv.dll

R2 PropaqLTAutoStart;PropaqLTAutoStart;"c:\program files\Welch Allyn\Propaq LT Monitor\PropaqLTAutoStartService.exe" [2006-11-10 24576]
R2 TmFilter;Trend Micro Filter;\??\c:\program files\Trend Micro\OfficeScan Client\TmFilter.sys [2007-03-06 265688]
R3 usbhub20;Prise en charge du concentrateur USB;c:\winnt\system32\DRIVERS\usbhub20.sys [2006-01-11 49776]
S3 wapsusb;Welch Allyn USB Driver;c:\winnt\system32\Drivers\wapsusb.sys [2006-11-10 12800]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-POINTER - point32.exe


.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 126.*.*.*;124.*.*.*;125.*.*.*;140.1.*.*;172.*.*.*;<local>
uInternet Settings,ProxyServer = 126.11.0.254:8080
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: %SystemRoot%\system32\msafd.dll

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 16:24:25
Windows 5.0.2195 Service Pack 4 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\winnt\system32\Perflib_Perfdata_440.dat 16384 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
Heure de fin: 16/12/2008 16:25:14
ComboFix-quarantined-files.txt 2008-12-16 15:24:52

Avant-CF: 32 874 168 320 octets libres
Après-CF: 32,919,007,232 octets libres

120
0
Réponse 8 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 16:36
la suite :

branche tes cles usb disque externe et tout le tralala surtout sur la prise Q

puis

Copie le texte ci-dessous :

File::
Q:\JIM.exe
Q:\tnsnames.ora.txt

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.
0
Réponse 9 / 24
Gaël
16 déc. 2008 à 16:53
Pas sûr d'avoir bien compris "prise Q".



ComboFix 08-12-15.05 - Superviseur 16/12/2008 16:47:39.2 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.502.238 [GMT 1:00]
Lancé depuis: c:\documents and settings\Superviseur\Bureau\ComboFix.exe
Commutateurs utilisés :: E:\CFScript.txt
* Resident AV is active


[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-16 au 2008-12-16 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 15:13 --------- d-----w c:\program files\Trend Micro
2008-12-16 14:33 --------- d-----w c:\documents and settings\1710hco1\Application Data\ESTsoft
2008-12-16 13:52 --------- d-----w c:\program files\UsbFix
2008-12-16 13:51 --------- d-----w c:\program files\ESTsoft
2008-12-16 13:51 --------- d-----w c:\documents and settings\Superviseur\Application Data\ESTsoft
2008-12-16 13:51 --------- d-----w c:\documents and settings\All Users\Application Data\ESTsoft
2008-12-16 13:50 --------- d-----w c:\documents and settings\Superviseur\Application Data\Citrix
2008-12-08 14:07 --------- d-----w c:\documents and settings\1710hco1\Application Data\T2ViewerJVM
2008-11-20 13:54 --------- d-----w c:\documents and settings\Superviseur\Application Data\4D
2008-11-20 13:54 --------- d-----w c:\documents and settings\Default User\Application Data\4D
2008-11-19 06:28 --------- d---a-w c:\program files\Fichiers communs\Adobe
2003-03-04 10:05 1,129 ----a-w c:\program files\mdac.log
2003-03-03 13:46 271 ---ha-w c:\program files\desktop.ini
2003-03-03 13:46 22,115 ---ha-w c:\program files\folder.htt
1999-12-16 00:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((( snapshot@mar. 16-12-2008_16.24.32,44 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-16 15:22:07 147,456 ----a-w c:\winnt\Cookies\index.dat
+ 2008-12-16 15:47:43 147,456 ----a-w c:\winnt\Cookies\index.dat
- 2008-12-16 15:21:44 8,192 ----a-w c:\winnt\ERDNT\Hiv-backup\DEFAUL~1.DAT
+ 2008-12-16 15:47:30 8,192 ----a-w c:\winnt\ERDNT\Hiv-backup\DEFAUL~1.DAT
- 2008-12-16 15:22:07 491,520 ----a-w c:\winnt\Historique\History.IE5\index.dat
+ 2008-12-16 15:47:43 491,520 ----a-w c:\winnt\Historique\History.IE5\index.dat
- 2008-12-16 14:01:09 81,920 ----a-w c:\winnt\Historique\History.IE5\MSHist012008121620081217\index.dat
+ 2008-12-16 15:45:24 81,920 ----a-w c:\winnt\Historique\History.IE5\MSHist012008121620081217\index.dat
- 2008-12-16 15:22:07 9,142,272 ----a-w c:\winnt\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-16 15:47:43 9,142,272 ----a-w c:\winnt\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 c:\winnt\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\program files\ORL\VNC\WinVNC.exe" [23/05/00 18:09 208896]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [14/10/04 14:42 1404928]
"igfxtray"="c:\winnt\system32\igfxtray.exe" [20/09/05 10:35 94208]
"igfxhkcmd"="c:\winnt\system32\hkcmd.exe" [20/09/05 10:32 77824]
"igfxpers"="c:\winnt\system32\igfxpers.exe" [20/09/05 10:36 114688]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [18/11/05 00:44 335872]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [28/09/07 00:21 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/08 22:16 39792]
"Synchronization Manager"="mobsync.exe" [19/06/03 11:05 111888 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [19/06/03 11:05 189712]

c:\documents and settings\1710hco1\Menu D‚marrer\Programmes\D‚marrage\
Agent Program Neighborhood.lnk - c:\program files\Citrix\PNAgent\pnagent.exe [2007-01-04 286096]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Agent Program Neighborhood.lnk - c:\winnt\Installer\{3F9F98A0-98CC-4D01-B461-CE0CF03D13A9}\Icon80951CEC.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe [2007-11-05 12390]

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CTRX"= ctrxvid.drv
"aux"= mmdrv.dll

R2 PropaqLTAutoStart;PropaqLTAutoStart;"c:\program files\Welch Allyn\Propaq LT Monitor\PropaqLTAutoStartService.exe" [2006-11-10 24576]
R2 TmFilter;Trend Micro Filter;\??\c:\program files\Trend Micro\OfficeScan Client\TmFilter.sys [2007-03-06 265688]
R3 usbhub20;Prise en charge du concentrateur USB;c:\winnt\system32\DRIVERS\usbhub20.sys [2006-01-11 49776]
S3 wapsusb;Welch Allyn USB Driver;c:\winnt\system32\Drivers\wapsusb.sys [2006-11-10 12800]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 126.*.*.*;124.*.*.*;125.*.*.*;140.1.*.*;172.*.*.*;<local>
uInternet Settings,ProxyServer = 126.11.0.254:8080
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: %SystemRoot%\system32\msafd.dll

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 16:49:15
Windows 5.0.2195 Service Pack 4 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
Heure de fin: 16/12/2008 16:49:58
ComboFix-quarantined-files.txt 2008-12-16 15:49:54
ComboFix2.txt 2008-12-16 15:25:15

Avant-CF: 32 930 050 048 octets libres
Après-CF: 32,918,380,544 octets libres

113
0
Réponse 10 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 16:59
re,

je crois surtout que tu n´as pas bien copier le script .S

prend le fichier ici :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript_73.rar

dezip le sur ton bureau puis

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.­gif

@+
0
Réponse 11 / 24
Gaël
16 déc. 2008 à 17:11
mea culpa, j'ai été trop vite.

ComboFix 08-12-15.05 - Superviseur 16/12/2008 17:07:47.3 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.502.236 [GMT 1:00]
Lancé depuis: c:\documents and settings\Superviseur\Bureau\ComboFix.exe
Commutateurs utilisés :: E:\CFScript.txt
* Resident AV is active


[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
Q:\JIM.exe
Q:\tnsnames.ora.txt
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-16 au 2008-12-16 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 15:13 --------- d-----w c:\program files\Trend Micro
2008-12-16 14:33 --------- d-----w c:\documents and settings\1710hco1\Application Data\ESTsoft
2008-12-16 13:52 --------- d-----w c:\program files\UsbFix
2008-12-16 13:51 --------- d-----w c:\program files\ESTsoft
2008-12-16 13:51 --------- d-----w c:\documents and settings\Superviseur\Application Data\ESTsoft
2008-12-16 13:51 --------- d-----w c:\documents and settings\All Users\Application Data\ESTsoft
2008-12-16 13:50 --------- d-----w c:\documents and settings\Superviseur\Application Data\Citrix
2008-12-08 14:07 --------- d-----w c:\documents and settings\1710hco1\Application Data\T2ViewerJVM
2008-11-20 13:54 --------- d-----w c:\documents and settings\Superviseur\Application Data\4D
2008-11-20 13:54 --------- d-----w c:\documents and settings\Default User\Application Data\4D
2008-11-19 06:28 --------- d---a-w c:\program files\Fichiers communs\Adobe
2003-03-04 10:05 1,129 ----a-w c:\program files\mdac.log
2003-03-03 13:46 271 ---ha-w c:\program files\desktop.ini
2003-03-03 13:46 22,115 ---ha-w c:\program files\folder.htt
1999-12-16 00:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((( snapshot@mar. 16-12-2008_16.24.32,44 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-16 15:22:07 147,456 ----a-w c:\winnt\Cookies\index.dat
+ 2008-12-16 16:07:51 147,456 ----a-w c:\winnt\Cookies\index.dat
- 2008-12-16 15:21:44 8,192 ----a-w c:\winnt\ERDNT\Hiv-backup\DEFAUL~1.DAT
+ 2008-12-16 16:07:38 8,192 ----a-w c:\winnt\ERDNT\Hiv-backup\DEFAUL~1.DAT
- 2008-12-16 15:22:07 491,520 ----a-w c:\winnt\Historique\History.IE5\index.dat
+ 2008-12-16 16:07:51 491,520 ----a-w c:\winnt\Historique\History.IE5\index.dat
- 2008-12-16 14:01:09 81,920 ----a-w c:\winnt\Historique\History.IE5\MSHist012008121620081217\index.dat
+ 2008-12-16 15:51:43 81,920 ----a-w c:\winnt\Historique\History.IE5\MSHist012008121620081217\index.dat
- 2008-12-16 15:22:07 9,142,272 ----a-w c:\winnt\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-16 16:07:51 9,142,272 ----a-w c:\winnt\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 c:\winnt\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\program files\ORL\VNC\WinVNC.exe" [23/05/00 18:09 208896]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [14/10/04 14:42 1404928]
"igfxtray"="c:\winnt\system32\igfxtray.exe" [20/09/05 10:35 94208]
"igfxhkcmd"="c:\winnt\system32\hkcmd.exe" [20/09/05 10:32 77824]
"igfxpers"="c:\winnt\system32\igfxpers.exe" [20/09/05 10:36 114688]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [18/11/05 00:44 335872]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [28/09/07 00:21 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/08 22:16 39792]
"Synchronization Manager"="mobsync.exe" [19/06/03 11:05 111888 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [19/06/03 11:05 189712]

c:\documents and settings\1710hco1\Menu D‚marrer\Programmes\D‚marrage\
Agent Program Neighborhood.lnk - c:\program files\Citrix\PNAgent\pnagent.exe [2007-01-04 286096]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Agent Program Neighborhood.lnk - c:\winnt\Installer\{3F9F98A0-98CC-4D01-B461-CE0CF03D13A9}\Icon80951CEC.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe [2007-11-05 12390]

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CTRX"= ctrxvid.drv
"aux"= mmdrv.dll

R2 PropaqLTAutoStart;PropaqLTAutoStart;"c:\program files\Welch Allyn\Propaq LT Monitor\PropaqLTAutoStartService.exe" [2006-11-10 24576]
R2 TmFilter;Trend Micro Filter;\??\c:\program files\Trend Micro\OfficeScan Client\TmFilter.sys [2007-03-06 265688]
R3 usbhub20;Prise en charge du concentrateur USB;c:\winnt\system32\DRIVERS\usbhub20.sys [2006-01-11 49776]
S3 wapsusb;Welch Allyn USB Driver;c:\winnt\system32\Drivers\wapsusb.sys [2006-11-10 12800]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 126.*.*.*;124.*.*.*;125.*.*.*;140.1.*.*;172.*.*.*;<local>
uInternet Settings,ProxyServer = 126.11.0.254:8080
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: %SystemRoot%\system32\msafd.dll

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 17:08:46
Windows 5.0.2195 Service Pack 4 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
Heure de fin: 16/12/2008 17:09:29
ComboFix-quarantined-files.txt 2008-12-16 16:09:24
ComboFix2.txt 2008-12-16 15:49:59
ComboFix3.txt 2008-12-16 15:25:15

Avant-CF: 32 928 022 528 octets libres
Après-CF: 32,918,388,736 octets libres

117
0
Réponse 12 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 17:17
ca n´a pas l´air de fonctionner, le probleme c´est que je n´arrive pas a voir les cles, du a ton system d´exploitation, les outils ne fonctionnent pas ou qu´a moitié...

qui t´as averti que tu etais infecté ?

@+
0
Gaël
16 déc. 2008 à 17:24
C'est OfficeScan qui s'est activé lors du branchement de ma clé. Maintenant quand je rescanne ma clé, aucun virus n'est détecté mais je n'ai toujours pas de dossier accessible.
0
Réponse 13 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 déc. 2008 à 17:38
on va tenter ceci :
branche ta cle infecté sur le pc sans l´ouvrir

Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus
• Clique droit sur le fichier .ZIP > Extraire sur > le Bureau
• Doucle clic sur >> RAV.exe << afin de lancer l'outil.
• Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
• Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain .
• Retire tes disques amovibles et redémarre ton ordinateur .
Poste le rapport , si infection!

Termine avec ceci pour être sur de te debarrasser une bonne fois pour toute de cette infection:

1)- Désactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Coche "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider

2)- Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!]
0
Gaël
16 déc. 2008 à 18:32
Re.

Rav m'indique que mon ordinateur est sain !
J'ai téléchargé disinfector mais il apparait un message d'erreur à l'ouverture :
"Editeur du Registre
Impossible d'importer fix.reg : toutes les données n'ont pas été inscrites correctement dans le Registre. Certaines clés sont ouvertes par le système ou par d'autres processus."
...(Soupir)
0
Réponse 14 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
17 déc. 2008 à 00:55
salut Gaël

toujours windows 2000 qui nous joue des tours...

ouvre le bloc note et copie colle les commandes en gras :

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
del q:\jim.exe /f /q /as
del q:\tnsnames.ora.txt /f /q /as
start explorer.exe

va sur le bureau et double clik sur kill_autorun_vbs.bat et laisse le faire son boulot

en suite

double click sur scan.bat et laisse le scanner, post le rapport list.txt stp (celui du début)

@+
0
Réponse 15 / 24
Gaël
17 déc. 2008 à 11:16
Salut G!rly,

questions par rapport à ton dernier message :
- où mets-je le message du bloc-note ?
- où puis-je trouver kill_autorun ?

Merci.
0
Réponse 16 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
17 déc. 2008 à 20:49
Salut Gaël,

Excuse mais j´ai oublié la moitiés des instructions...

ouvre le bloc note et copie colle les commandes en gras ci dessous:

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Adva­nced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
del q:\jim.exe /f /q /as
del q:\tnsnames.ora.txt /f /q /as
start explorer.exe

Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : gaël.bat
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

une fois le fichier gaël.bat sur ton bureau ( c´est une icône avec une roue cranté à l´intérieur) double click dessus et laisse le faire son boulot

une fois fait refais ceci :

telecharge ce fichier :

http://sd-1.archive-host.com/membres/up/1366464061/Scan.rar

puis dezip le sur ton bureau, et double click sur scan.bat et laisse le scanner, post le rapport list.txt stp

@+
0
Réponse 17 / 24
Gaël
18 déc. 2008 à 07:38
Salut G!rly,
lors du lancement de gael.bat, j'ai de nouveau un message d'erreur :
"Reg
Le fichier 'reg' (ou un de ses composants) est introuvable. Vérifiez que le chemin et le nom de fichier sont corrects, et que toutes les bibliothèques requises sont disponibles."
J'ai quand même fait le scan.rar dont le rapport suit.
+




+- Contenu de l'autorun : C:\autorun.inf



+- Contenu de l'autorun : E:\autorun.inf



--------------- [ Lecteur C ] ----------------


+- Listing des fichiers présents :

[04/03/03 11:06 ][---h-----] C:\AUTOEXEC.BAT
[03/03/03 16:02 ][-rahs----] C:\NTDETECT.COM
[19/06/03 11:05 ][-rahs----] C:\arcldr.exe
[19/06/03 11:05 ][-rahs----] C:\arcsetup.exe
[25/01/07 08:36 ][---hs----] C:\boot.ini
[25/01/07 08:36 ][---hs----] C:\tmuninst.ini
[16/12/08 18:15 ][drahs----] C:\autorun.inf
[16/12/08 17:09 ][--a------] C:\ComboFix.txt
[16/12/08 17:09 ][--a------] C:\COMLOG.txt
[16/12/08 17:09 ][--a------] C:\List.txt
[03/03/03 14:47 ][---h-----] C:\CONFIG.SYS
[03/03/03 14:47 ][---h-----] C:\IO.SYS
[03/03/03 14:47 ][---h-----] C:\MSDOS.SYS
[03/03/03 14:47 ][---h-----] C:\pagefile.sys

--------------- [ Lecteur E ] ----------------


+- Listing des fichiers présents :

[16/12/08 16:16 ][-ra------] E:\ComboFix.exe
[16/12/08 16:16 ][-ra------] E:\rav.exe
[16/12/08 16:16 ][-ra------] E:\Flash_Disinfector.exe
[16/12/08 18:16 ][drahs----] E:\autorun.inf
[16/12/08 16:50 ][--a------] E:\log.txt

--------------- [ Lecteur M ] ----------------


+- Listing des fichiers présents :


--------------- [ Lecteur Q ] ----------------


+- Listing des fichiers présents :

[25/11/05 16:11 ][--a------] Q:\2005 11 25 fsupdate.exe
[25/11/05 16:11 ][--a------] Q:\JIM.exe
[26/02/08 15:07 ][--a------] Q:\tnsnames.ora.txt

--------------- [ Lecteur U ] ----------------


+- Listing des fichiers présents :


--------------- [ Lecteur V ] ----------------


+- Listing des fichiers présents :

[15/11/08 11:44 ][--a------] V:\IE7-WindowsXP-x86-fra.exe
0
Réponse 18 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
18 déc. 2008 à 08:31
Salut gaêl,

on va essayer tout simplement

click sur démarrer > exécuter

dans la boite de dialogue tape cmd et valide par ok

une fois la fenêtre dos ouverte

tape

del c:\autorun.inf
del q:\JIM.exe
del q:\tnsnames.ora.txt

tape les commandes une par une et a chaque fois valide par entrer

puis post le rapport scan.bat pour verif

@+
0
Gaël
18 déc. 2008 à 10:48
+- Contenu de l'autorun : C:\autorun.inf



+- Contenu de l'autorun : E:\autorun.inf



--------------- [ Lecteur C ] ----------------


+- Listing des fichiers présents :

[04/03/03 11:06 ][---h-----] C:\AUTOEXEC.BAT
[03/03/03 16:02 ][-rahs----] C:\NTDETECT.COM
[19/06/03 11:05 ][-rahs----] C:\arcldr.exe
[19/06/03 11:05 ][-rahs----] C:\arcsetup.exe
[25/01/07 08:36 ][---hs----] C:\boot.ini
[25/01/07 08:36 ][---hs----] C:\tmuninst.ini
[18/12/08 10:46 ][drahs----] C:\autorun.inf
[16/12/08 17:09 ][--a------] C:\ComboFix.txt
[16/12/08 17:09 ][--a------] C:\COMLOG.txt
[16/12/08 17:09 ][--a------] C:\List.txt
[03/03/03 14:47 ][---h-----] C:\CONFIG.SYS
[03/03/03 14:47 ][---h-----] C:\IO.SYS
[03/03/03 14:47 ][---h-----] C:\MSDOS.SYS
[03/03/03 14:47 ][---h-----] C:\pagefile.sys

--------------- [ Lecteur E ] ----------------


+- Listing des fichiers présents :

[16/12/08 16:16 ][-ra------] E:\ComboFix.exe
[16/12/08 16:16 ][-ra------] E:\rav.exe
[16/12/08 16:16 ][-ra------] E:\Flash_Disinfector.exe
[16/12/08 18:16 ][drahs----] E:\autorun.inf
[16/12/08 16:50 ][--a------] E:\log.txt

--------------- [ Lecteur M ] ----------------


+- Listing des fichiers présents :


--------------- [ Lecteur Q ] ----------------


+- Listing des fichiers présents :

[25/11/05 16:11 ][--a------] Q:\2005 11 25 fsupdate.exe

--------------- [ Lecteur U ] ----------------


+- Listing des fichiers présents :


--------------- [ Lecteur V ] ----------------


+- Listing des fichiers présents :

[15/11/08 11:44 ][--a------] V:\IE7-WindowsXP-x86-fra.exe
0
Réponse 19 / 24
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
18 déc. 2008 à 11:06
Gaël,

Cette fois ci c´est mieux

post ce rapport maintenant :

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

@+
0
Réponse 20 / 24
Gaël
18 déc. 2008 à 11:58
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:45, on 18/12/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Welch Allyn\Propaq LT Monitor\PropaqLTAutoStartService.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Welch Allyn\Propaq LT Monitor\PropaqLTListener.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINNT\TEMP\FFD12C.EXE
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Citrix\PNAgent\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Citrix\PNAgent\pnagent.exe
E:\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 126.11.0.254:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 126.*.*.*;124.*.*.*;125.*.*.*;140.1.*.*;172.*.*.*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Agent Program Neighborhood.lnk = C:\Program Files\Citrix\PNAgent\pnagent.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intra.chu-nantes.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA421F4-7771-4489-BCD8-9C04FE143744}: Domain = intra.chu-nantes.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intra.chu-nantes.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intra.chu-nantes.fr
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: PropaqLTAutoStart - Welch Allyn,Inc - C:\Program Files\Welch Allyn\Propaq LT Monitor\PropaqLTAutoStartService.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VNC Server (winvnc) - AT&T Research Labs Cambridge - C:\Program Files\ORL\VNC\WinVNC.exe
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses