Sujet Précédent Sujet Suivant

Virus X.tmp

Fermé
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 - 5 févr. 2009 à 18:31
 jalobservateur - 17 juin 2009 à 18:41
Bonjour,

je rencontre depuis peu un problème similaire à celui énoncé dans ce topic
http://www.commentcamarche.net/forum/affich 8884544 virus 3 tmp reboot windows au demarrage

J'ai suivi les instructions énoncées dans ce post et depuis, mon ordinateur ne reboot plus (peut être aussi parce que je n'essaie plus de fermer les processus que j'énonce par la suite...). J'ai toujours l'apparition de processus X.tmp, X pouvant être n'importe quel nombre (3, 4, 5, etc.) AINSI que d'un processus comme "actcontroller.exe".

Après recherche, j'ai pu constater qu'il s'agit du fichier identifié ici :
https://www.broadcom.com/

Ill apparaît en effet sous divers noms, tous listés dans le lien ci dessus, le nom changeant à chaque démarrage... je remarque aussi que tout ça ne se déclenche que lorsque j'ai accès à internet. Dès que je branche mon câble reliant mon modem et mon ordinateur, je vois toute une panoplie de processus se lancer dans le gestionnaire de tâches

- les X.tmp
- actcontroller.exe (ou sous un autre nom)
- des cmd.exe

J'ai l'impression que ma connexion internet est "pompée". Même en ne faisant rien, le clignant de mon routeur s'agite comme un dingue, je constate de gros ralentissements quand je vais sur internet. Les processus sont toujours présents, et ils réapparaissent sans cesse même lorsque je les supprime (situés dans windows\system32). D'ailleurs, ça se ressent au niveau de l'utilisation de l'UC qui frôle les 100%...


Je poste mon rapport hijackthis et vous remercie d'avance pour votre aide car là, je désespère :(

Logfile of HijackThis v1.99.1
Scan saved at 18:28:31, on 05/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
C:\windows\system32\nvsvc32.exe
C:\windows\Explorer.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\windows\system32\taskmgr.exe
C:\windows\system32\rundll32.exe
C:\windows\system32\svchost.exe
C:\windows\system32\actcontroller.exe
C:\windows\system32\5.tmp
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\svchost.exe
C:\windows\system32\cmd.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Administrateur\kgyolwv.exe \s
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\windows\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O20 - Winlogon Notify: byXOgFWo - byXOgFWo.dll (file missing)
O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe" /service (file missing)
O23 - Service: PCI Latency Tool Service (LtcyCfgSvc) - Unknown owner - C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
O23 - Service: Microsoft NtfsSvc Manager Service (NtfsSvc) - Unknown owner - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

59 réponses

Réponse 1 / 59
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
7 févr. 2009 à 03:00
Salut,

"[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\system32\svchost.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR"

---> Ah oui, c'est parfaitement clean en effet...
5
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
7 févr. 2009 à 11:56
en même temps, je parlais des logs actuels pas ceux dernièrement postés donc bon... chacun son truc
0
Réponse 2 / 59
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 févr. 2009 à 16:36
Bonjour,

fais tourner Combofix comme demandé et poste le rapport.

Après, si il est propre, on te fera supprimer les outils inutiles.
2
Réponse 3 / 59
noctambule28 Messages postés 31791 Date d'inscription samedi 12 mai 2007 Statut Webmaster Dernière intervention 13 février 2022 2 858
5 févr. 2009 à 23:41
Salut
Pour seconder Kvin, mais c'est lui qui va continuer

T'as télecharger , installer un truc recemmment ( qui serait pas très clair )

2009-02-04 19:05 . 2009-02-04 19:05 3,584 --a------ c:\windows\vcbaprwa.exe , ça c'est inconnu sur le web, et ça a produit des drivers ....

Il y a un bon paquet de truc à verifier sur ton combo


J'aimerais bien un rapport smitfraud
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip


Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

@+
1
Réponse 4 / 59
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
16 févr. 2009 à 23:27
Comment tu sais qu'il est infecté ton PC ?
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 59
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
17 févr. 2009 à 00:15
les processus 3.TMP et compagnie revenaient, et j'avais exactement les mêmes symptômes que la première fois que j'ai posté

depuis que j'ai formaté TOUS les disques (et pas que celui contenant le système d'exploitation) et que je n'accède à aucun périphérique externe genre clé usb ou disque externe ça "semble" s'être arrêté

histoire de faire une auto-citation et de ne pas tout retaper

"
Ceci dit, j'avais sauvegardé tous mes documents sur un disque dur externe, qui ne sert que de disque de stockage. Seulement, je redoute que le virus ce soit "migré" là dessus, attendant l'occasion propice de revenir sur mon système. Que faire ? D'après ce que j'ai pu comprendre (cf post Comment supprimer Virut ?), un "logiciel exécutable ou zippé" et un risque potentiel. Cela signifie t-il qu'un fichier vidéo/audio/texte est sans risque ?
"
1
Réponse 6 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 18:34
Salut


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.


Une fois sauvegardé sur ton bureau, double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
* Redémarre ton ordinateur
* Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l’outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

TUTO Si besoin
0
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
5 févr. 2009 à 18:39
Merci de cette réponse aussi rapide.
J'ai oublie de préciser que je l'avais déjà fait, voici le rapport


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 05/02/2009 at 17:03

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Rootkit Found :
C:\windows\system32\drivers\ATI6AMXX.sys - Rootkit Pandex/Cutwail - Protect.sys

[b]Name [/b]:
protect
ATI6AMXX

[b]Path [/b]:
System32\drivers\protect.sys
System32\Drivers\ati6amxx.sys

protect - Deleted
ATI6AMXX - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Service ATI6AMXX - Deleted after Reboot

[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\windows\system32\2.tmp - Deleted
C:\windows\system32\3.tmp - Deleted
C:\windows\system32\4.tmp - Deleted
C:\windows\system32\5.tmp - Deleted
C:\windows\system32\6.tmp - Deleted
C:\windows\system32\7.tmp - Deleted
C:\windows\system32\8.tmp - Deleted
C:\windows\system32\9.tmp - Deleted
C:\windows\system32\2.tmp - Deleted
C:\windows\services.exe - Deleted
C:\windows\system32\drivers\protect.sys - Deleted
C:\windows\system32\drivers\ATI6AMXX.sys - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 17:11:10
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ff,57,64,3a,de,ea,51,74,64,e8,ed,ba,ef,2d,84,be,bf,a4,79,23,50,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:64,62,02,00,c0,73,3c,00,0e,f3,6a,ce,a8,ff,ff,ff,7b,00,34,00,44,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c5,73,c9,60,e9,c7,9d,61,40,22,9b,21,88,8b,a9,7a,61,fb,f1,ca,4d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:52,71,93,40,3f,6f,2d,66,d1,0d,6f,73,29,23,fc,40,aa,8a,fd,44,0d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3c,63,b8,c9,1e,59,76,77,4c,0d,3e,a5,b9,65,f1,06,5a,7f,f7,c9,be,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d8,48,3a,a8,56,14,67,1b,c1,c8,bd,cc,71,16,66,f4,97,fd,cf,65,3a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:f8,ce,2e,ea,b9,38,3d,2e,55,92,70,4b,65,65,c1,bb,49,59,28,7b,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:8a,a9,6e,69,98,92,bf,40,f5,38,8c,60,52,4a,54,08,ca,c8,f0,be,05,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3c,63,b8,c9,1e,59,76,77,4c,0d,3e,a5,b9,65,f1,06,5a,7f,f7,c9,be,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d8,48,3a,a8,56,14,67,1b,c1,c8,bd,cc,71,16,66,f4,97,fd,cf,65,3a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:f8,ce,2e,ea,b9,38,3d,2e,55,92,70,4b,65,65,c1,bb,49,59,28,7b,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,a1,b4,c5,4b,db,54,36,e5,28,25,03,c5,47,87,6a,a2,70,00,24,33,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:9b,04,39,f0,fa,81,77,bb,6c,3a,4f,df,1d,7d,58,59,11,cc,77,76,8f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:b2,1e,6d,1b,df,8e,67,c4,8a,0f,9b,9f,59,08,b5,c4,25,01,5e,1d,e9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xbqigro]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\windows\system32\drivers\wskcuhw.sys"
"DisplayName"="xbqigro"
"RulesData"=hex:03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xbqigro\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,a1,b4,c5,4b,db,54,36,e5,28,25,03,c5,47,87,6a,a2,70,00,24,33,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:9b,04,39,f0,fa,81,77,bb,6c,3a,4f,df,1d,7d,58,59,11,cc,77,76,8f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:b2,1e,6d,1b,df,8e,67,c4,8a,0f,9b,9f,59,08,b5,c4,25,01,5e,1d,e9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"D:\\Program Files\\uTorrent\\utorrent.exe"="D:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\SmartFTP Client\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.5"
"C:\\Program Files\\FlashGet\\flashget.exe"="C:\\Program Files\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"C:\\Program Files\\RayV\\RayV\\RayV.exe"="C:\\Program Files\\RayV\\RayV\\RayV.exe:*:Enabled:RayV"
"C:\\Program Files\\Joost\\xulrunner\\tvprunner.exe"="C:\\Program Files\\Joost\\xulrunner\\tvprunner.exe:*:Enabled:tvprunner"
"\\??\\C:\\windows\\system32\\winlogon.exe"="\\??\\C:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun 4 Feb 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"

[b]Finished![/b]
0
Réponse 7 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 18:42
▶ Télécharge Combofix de sUBs


▶ et enregistre le sur le Bureau.


▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


▶ Je te conseille d'installer la console de récupération !!


ensuite envois le rapport et refais un nouveau rapport hijackthis stp
0
Réponse 8 / 59
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
5 févr. 2009 à 19:26
ça m'a pris un peu de temps.... un boot.ini que j'ai du créé (je ne sais pas pourquoi il était absent) et des problèmes de connexion


ComboFix 09-02-04.04 - Administrateur 2009-02-05 19:10:11.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.667 [GMT 1:00]
LancÈ depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\str.sys . . . . impossible ‡ supprimer

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infectÈ!!/COLOR

[COLOR=RED] c:\windows\system32\svchost.exe . . . est infectÈ!!/COLOR

[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infectÈ!!/COLOR

[COLOR=RED] c:\windows\explorer.exe . . . est infectÈ!!/COLOR

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Passthru


((((((((((((((((((((((((((((( Fichiers crÈÈs du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))
.

2009-02-05 18:02 . 2009-02-05 18:02 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-05 18:02 . 2009-02-05 18:02 32,768 --ah----- c:\documents and settings\Administrateur\kgyolwv.exe
2009-02-05 18:02 . 2009-02-05 18:02 1,748 --a------ c:\windows\system32\netsf.inf
2009-02-05 18:02 . 2009-02-05 18:02 695 --a------ c:\windows\system32\netsf_m.inf
2009-02-05 18:02 . 2009-02-05 18:02 130 --a------ c:\windows\adobe.bat
2009-02-05 18:01 . 2009-02-05 18:01 124 --a------ c:\windows\system32\2.tmp
2009-02-05 17:01 . 2009-02-05 17:01 <REP> d-------- c:\windows\ERUNT
2009-02-05 17:00 . 2009-02-05 17:12 <REP> d-------- C:\SDFix
2009-02-05 16:57 . 2009-02-05 16:44 1,529,241 --a------ C:\SDFix.exe
2009-02-05 15:24 . 2009-02-05 15:25 <REP> d-------- c:\windows\system32\pouet
2009-02-05 14:52 . 2009-02-05 14:52 <REP> d-------- c:\program files\Prevx
2009-02-05 14:52 . 2009-02-05 18:09 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PrevxCSI
2009-02-05 14:52 . 2009-02-05 14:52 21,512 --a------ c:\windows\system32\drivers\pxscan.sys
2009-02-05 14:52 . 2009-02-05 14:52 79 --a------ c:\windows\wininit.ini
2009-02-05 14:51 . 2009-02-05 14:51 <REP> d--h-c--- c:\documents and settings\All Users.WINDOWS\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2009-02-05 02:40 . 2009-02-05 02:40 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PC Tools
2009-02-05 02:40 . 2008-12-02 23:28 160,792 --a------ c:\windows\system32\drivers\pctfw2.sys
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 23:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-04 23:41 . 2009-02-04 23:41 <REP> d-------- c:\program files\BitComet
2009-02-04 23:30 . 2009-02-04 23:30 <REP> d-------- c:\documents and settings\NetworkService.AUTORITE NT\Menu DÈmarrer
2009-02-04 19:32 . 2009-02-04 19:32 33,920 --a------ c:\windows\system32\drivers\aqowrmmm.sys
2009-02-04 19:06 . 2009-02-05 18:02 66,560 ---h----- c:\windows\system32\secupdat.dat
2009-02-04 19:06 . 2009-02-04 19:06 0 --a------ c:\windows\mqcd.dbt
2009-02-04 19:05 . 2009-02-04 19:05 138,080 --a------ c:\windows\system32\drivers\ethdmqlp.sys
2009-02-04 19:05 . 2009-02-04 19:05 3,584 --a------ c:\windows\vcbaprwa.exe
2009-02-02 11:54 . 2009-02-02 11:54 <REP> d-------- c:\windows\ACAMPREF
2009-02-02 11:53 . 2009-02-02 12:00 <REP> d-------- C:\Realmz
2009-02-02 11:53 . 1996-06-05 05:09 12,800 --a------ c:\windows\system32\wing32.dll
2009-02-02 11:53 . 2009-02-04 23:47 1,033 --a------ c:\windows\wacam.ini
2009-02-02 11:53 . 1999-03-12 21:42 592 --a------ c:\windows\wacam.bak


.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 17:28 --------- d-----w c:\program files\Hijackthis Version FranÁaise
2009-02-05 16:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\SecTaskMan
2009-02-05 02:06 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2009-02-05 02:06 --------- d-----w c:\program files\Spyware Doctor
2009-02-05 01:40 --------- d-----w c:\program files\Fichiers communs\PC Tools
2009-02-05 00:12 --------- d-----w c:\program files\RegCure
2009-02-05 00:03 --------- d-----w c:\program files\Starcraft
2009-02-04 22:25 --------- d-----w c:\program files\a-squared Free
2009-02-04 19:27 --------- d-----w c:\program files\Zoom Player
2009-02-04 18:05 578,048 ----a-w c:\windows\system32\DllCache\user32.dll.vir
2009-02-03 22:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
2009-02-03 12:47 --------- d-----w c:\program files\eclipse
2009-02-02 13:21 --------- d-----w c:\program files\eMule
2009-01-26 14:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2008-12-30 18:27 --------- d-----w c:\program files\KONAMI
2008-12-29 17:25 7,430 ----a-w c:\windows\system32\wvylwnt.dll
2008-12-29 17:25 289,792 ----a-w c:\windows\system32\dts3212.exe
2008-12-20 17:53 --------- d-----w c:\program files\adslTV
2008-12-18 19:01 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-18 19:01 --------- d--h--r c:\documents and settings\Administrateur\Application Data\SecuROM
2008-12-18 18:48 --------- d-----w c:\documents and settings\Administrateur\Application Data\gnupg
2008-12-18 06:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\RayV
2008-12-18 06:12 --------- d-----w c:\program files\easycleaner
2008-12-18 06:04 --------- d-----w c:\program files\Mozilla XULRunner
2008-12-15 17:16 --------- d-----w c:\documents and settings\Administrateur\Application Data\vlc
2008-12-15 06:45 --------- d-----w c:\documents and settings\Administrateur\Application Data\Hamachi
2008-12-15 06:42 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys
2008-12-12 03:50 --------- d-----w c:\program files\mplayer-1.0pre8-3.4.2
2008-10-17 14:07 470,272 ----a-w c:\program files\fxdecod1.dll
2007-10-03 13:15 809,699 ----a-w c:\program files\copguy6eg.gif
2007-08-08 15:46 1 ----a-w c:\documents and settings\Administrateur\SI.bin
2007-06-16 13:44 2,855 ----a-w c:\documents and settings\Administrateur\Install.PIF
2006-12-01 11:40 162 ----a-w c:\program files\DivFix.ini
2006-09-30 14:48 3,808,512 ----a-w c:\program files\FoxitReader.exe
2003-05-05 12:10 210,944 ----a-w c:\program files\DivFix.exe
.

------- Sigcheck -------

2004-08-03 23:55 31744 369afa0663a8ae86888238d65c206b9a c:\windows\system32\svchost.exe
2004-08-03 23:55 31744 c9763724a16b0651f5e9869d0c5f49f8 c:\windows\system32\DllCache\svchost.exe

2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\user32.dll
2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\DllCache\user32.dll
2009-02-04 19:05 578048 2e01db6bc40ca7cc16edd72d1c1aa46d c:\windows\system32\pouet\user32.DLL

2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\DllCache\TCPIP.SYS
2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\drivers\TCPIP.SYS

2004-08-03 23:54 1053696 3a22c315dde5cccfb28a7d5d39752f06 c:\windows\explorer.exe
2004-08-03 23:54 1053696 c076cdcd758b6601c508d788825cea2c c:\windows\system32\DllCache\explorer.exe

2004-08-03 23:54 32768 e951027b2d15c9566f6f370f6ada0de7 c:\windows\system32\ctfmon.exe
2004-08-03 23:54 32768 4d8345932cf8851113a39ea754e789ea c:\windows\system32\DllCache\ctfmon.exe

2004-08-03 23:55 75776 c791d971195e041b3c8a82abe0a99825 c:\windows\system32\spoolsv.exe
2004-08-03 23:55 75264 5ac6da17b5a309e6bacd5ae00e4ec145 c:\windows\system32\DllCache\spoolsv.exe

2004-08-03 23:55 130048 ec28ada3b508d47e78ecf649e61df336 c:\windows\system32\wuauclt.exe
2004-08-03 23:55 130048 b3a3590010ac99aff151ac5ab536e19a c:\windows\system32\DllCache\wuauclt.exe

2004-08-03 23:55 42496 d9005d85fd35de4eac0c0e21379810ae c:\windows\system32\userinit.exe
2004-08-03 23:55 42496 91ed217a0fea6c7ee625bf6047e18e9f c:\windows\system32\DllCache\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-05_18.50.50.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-05 18:14:24 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-05 17:48:53 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-05 18:14:24 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-05 18:14:24 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 229432]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-05 61440]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 84408]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 c:\windows\system32\nvmctray.dll]
"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.FMVC"= fmcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aqowrmmm.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu DÈmarrer^Programmes^DÈmarrage^Might and Magic VIII.lnk]
backup=c:\windows\pss\Might and Magic VIII.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
--a------ 2008-08-25 12:36 1168264 c:\program files\Spyware Doctor\pctsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
-r------- 2006-04-20 09:07 405504 c:\windows\system32\JMRaidTool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 307200 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoveIT Pro XT]
--a------ 2008-09-16 14:02 602112 c:\program files\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-07-12 03:00 132496 c:\program files\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-07-10 23:27 185896 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-10-30 19:49 16286720 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 18:04 2899968 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"a2free"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16023:TCP"= 16023:TCP:BitComet 16023 TCP
"16023:UDP"= 16023:UDP:BitComet 16023 UDP
"16124:TCP"= 16124:TCP:BitComet 16124 TCP
"16124:UDP"= 16124:UDP:BitComet 16124 UDP

R0 aqowrmmm;aqowrmmm;c:\windows\system32\drivers\aqowrmmm.sys [2009-02-04 33920]
R0 IABFilt;Iomega Snapshot Volume Filter;c:\windows\system32\drivers\IABFilt.sys [2007-03-31 25344]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2009-02-05 21512]
R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2009-02-05 160792]
R2 CSIScanner;CSIScanner;c:\program files\Prevx\prevx.exe [2009-02-05 4107832]
R2 LtcyCfgSvc;PCI Latency Tool Service;c:\program files\PCI Latency Tool 3\LtcyCfgSvc.exe [2005-12-25 22528]
R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 31744]
R3 LtcyCfgWDM;PCI Latency Tool Driver Service;c:\windows\system32\drivers\LtcyCfgWDM.sys [2005-12-25 6656]
S1 ethdmqlp;ethdmqlp;c:\windows\system32\drivers\ethdmqlp.sys [2009-02-04 138080]
S2 NtfsSvc;Microsoft NtfsSvc Manager Service; [x]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-12-02 356920]
S3 urvpndrv;F5 Networks VPN Adapter;c:\windows\system32\DRIVERS\urvpndrv.sys --> c:\windows\system32\DRIVERS\urvpndrv.sys [?]
S3 XDva020;XDva020;\??\c:\windows\system32\XDva020.sys --> c:\windows\system32\XDva020.sys [?]
S3 XDva090;XDva090;\??\c:\windows\system32\XDva090.sys --> c:\windows\system32\XDva090.sys [?]
S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]
.
Contenu du dossier 'T‚ches planifiÈes'

2009-02-05 c:\windows\Tasks\ayattnhg.job
- c:\windows\system32\geBrppPi.dll []

2009-02-05 c:\windows\Tasks\RegCure Program Check.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]

2009-02-05 c:\windows\Tasks\RegCure.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]
.
.
------- Examen supplÈmentaire -------
.
uStart Page = about:blank
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
LSP: c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPuroamHost.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Panda Security\TotalScan\npwrapper.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 19:14:38
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachÈs ...

Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...

Recherche de fichiers cachÈs ...


c:\windows\system32\drivers\str.sys 0 bytes

Scan terminÈ avec succËs
Fichiers cachÈs: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\xbqigro]
"ImagePath"="\??\c:\windows\system32\drivers\wskcuhw.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\Administrator\Software\SecuROM\License information*]
"datasecu"=hex:ad,5a,18,f8,62,ba,4e,d4,eb,ee,91,cc,4f,a5,92,e2,50,d1,8d,c7,fc,
4f,4d,b9,1e,ea,5d,81,e7,06,2d,f4,a4,f3,23,ab,27,64,3e,29,2a,20,64,42,4d,9f,\
"rkeysecu"=hex:1b,b5,52,6d,b9,b0,2c,c1,55,51,23,8c,25,8e,a7,8c
.
--------------------- DLLs chargÈes dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1208)
c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-02-05 19:18:13 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2009-02-05 18:18:10
ComboFix2.txt 2009-02-05 17:52:10

Avant-CF: 9†135†968†256 octets libres
AprËs-CF: 9,123,135,488 octets libres

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
325









Logfile of HijackThis v1.99.1
Scan saved at 19:20:22, on 05/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\windows\system32\notepad.exe
C:\Program Files\Hijackthis Version Fran�aise\VERSION TRADUITE ORIGINALE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\windows\explorer.exe,
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\windows\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe" /service (file missing)
O23 - Service: PCI Latency Tool Service (LtcyCfgSvc) - Unknown owner - C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
O23 - Service: Microsoft NtfsSvc Manager Service (NtfsSvc) - Unknown owner - (no file)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
0
Réponse 9 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 19:28
Whaou là c'est d'un autre niveau que le mien j'apelle un meilleur helpeur que moi
0
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
5 févr. 2009 à 19:29
tu pourrais me dire ce qui te fais penser ça? quelles lignes

c'est si... compliqué que ça ? je demande juste :/
0
Réponse 10 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 21:19
Bon tes fichiers source de windows sont infecter

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:file


c:\windows\system32\drivers\str.sys

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 11 / 59
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
5 févr. 2009 à 21:44
02052009_213219.log

========== PROCESSES ==========
Process explorer.exe killed successfully.
Error: Unable to interpret <:file> in the current context!
Error: Unable to interpret <c:\windows\system32\drivers\str.sys> in the current context!
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Administrateur\Local Settings\Temp\etilqs_4hwe4G6M5lrCvTzBGS05 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_213219

Files moved on Reboot...
File C:\DOCUME~1\Administrateur\Local Settings\Temp\etilqs_4hwe4G6M5lrCvTzBGS05 not found!
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\XUL.mfl moved successfully.

je me suis pris un bel écran bleu au redémarrage, mais en re-redémarrant c'est "bon"
depuis, j'ai trois 6.tmp et un nombre incalculable de cmd.exe qui sont apparus dans le gestionnaire de tâches

j'ai peur :s

edit: et un nombre hallucinant de services.exe, j'ai TRES peur
0
Réponse 12 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 21:49
Télécharge Malwarebytes’ Anti-Malware

tuto ICI

NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
- Enregistres le sur le bureau
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-cliques sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen rapide
- Clique sur Rechercher
- Le scan démarre
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.

/!\ NE SUPPRIME PAS LES INFECTIONS /!\
0
Réponse 13 / 59
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
5 févr. 2009 à 22:02
j'imagine que je dois poster le log? je préfère demander avant
0
Réponse 14 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 22:10
Oui poste le log
0
Réponse 15 / 59
skybenouche Messages postés 31 Date d'inscription jeudi 5 février 2009 Statut Membre Dernière intervention 20 février 2009 1
5 févr. 2009 à 22:13
Malwarebytes' Anti-Malware 1.33
Database version: 1654
Windows 5.1.2600 Service Pack 2

05/02/2009 21:59:43
mbam-log-2009-02-05 (21-59-38).txt

Scan type: Quick Scan
Objects scanned: 64192
Time elapsed: 11 minute(s), 4 second(s)

Memory Processes Infected: 2
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7

Memory Processes Infected:
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> No action taken.

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\passthru (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Backdoor.Bot) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ndisio.sys (Backdoor.Bot) -> No action taken.
0
Réponse 16 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 22:17
Supprime ce qu'il a trouver



Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :


!!Déconnecte toi et ferme tes applications en cours !!

Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...

Une fois terminé, poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
0
Réponse 17 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 22:17
Supprime ce qu'il a trouver



Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :


!!Déconnecte toi et ferme tes applications en cours !!

Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...

Une fois terminé, poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
0
Réponse 18 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 22:19
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :


!!Déconnecte toi et ferme tes applications en cours !!

Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...

Une fois terminé, poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
0
Réponse 19 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 22:19
et supprime ce que a trouver malwarebyte's
0
Réponse 20 / 59
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
5 févr. 2009 à 22:21
Ah le rapport été pas passer tout a l'heure j'aurais du attendre :S
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses