Clé usb infectée.Utiliser Flash Disinfector ?

julie08 - Dernière réponse le 1 nov. 2009 à 17:47

Bonjour, un virus a infecté ma clé usb (au niveau du fichier autorun.inf apparemment) dans un cyber café. Comme j'aimerais sauver les données qu'elle contient, j'ai visité plusieurs forums pour trouver une solution autre que son reformatage. Problème: mon pc possède TRES peu de mémoire et je ne peux pas installer d'antivirus dessus. Voyant que Flash Disinfector donnait de bons résultats pour les autres internautes, je l'ai essayé; mais, lorsque je lance le scan de mon ordi et de ma clé, le Bloc-Note s'ouvre systématiquement avec un de ces quatre messages dans une fenêtre:
1) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/ a temp 00 "hkey_local_machine\software\wingolon"" introuvable.
2) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/a temp 00 "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"" introuvable.
3) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/a temp 00 "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows"" introuvable.
4) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/s fix.reg" introuvable.
A chaque fois, la même question est répétée: "Souhaitez-vous créer ce fichier ?". Si je clique sur NON, le message réapparaît; si je clique sur OUI, le pc répond: "Erreur au chargement de (un de ces 4 fichiers). Vérifier que ce fichier n'est pas utilisé par une autre appliaction."
Puis, une fenêtre m'annonce que Flash D. a terminé; et, quand j'ouvre ma clé, les fichiers sont toujours aussi anormaux. Est-ce quelqu'un pourrait m'expliquer ce que signifie ce charabia, svp ?? Que dois-je faire ?
Merci d'avance.

Clé usb infectée.Utiliser Flash Disinfector »

Suggestions

Clé usb infectée.Utiliser Flash Disinfector ?
Désinfecter une clé USB ou un disque amovible » Fiches pratiques
Integral Courier Flash Drive 32 Go USB 2.0 » Guide d'achat
Carte mémoire (mémoire Flash) » Articles
Clé USB inutilisable (Résolu) » Forum
Rapport avast clé usb infectée (Résolu) » Forum

Plus

Réponse

Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 26 oct. 2009 à 15:54

Salut ,

▶ Télécharge random's system information tool (RSIT) et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.

• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

• Poste le contenu de log.txt .

• Tuto : http://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

Ajouter un commentaire - Site web

julie08 - 26 oct. 2009 à 16:04

Voici la copie de log.txt. Bon courage !

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-10-26 16:00:15
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 262 MB (6%) free of 4 GB
Total RAM: 127 MB (18% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:54, on 26/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrateur\Modèles\O85068Z\service.exe
C:\WINDOWS\M70373\smss.exe
C:\WINDOWS\M70373\EmangEloh.exe
C:\Documents and Settings\Administrateur\Modèles\O85068Z\winlogon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Winsudate\gibsvc.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Winsudate\gibusr.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\O85068Z\service.exe
C:\O85068Z\winlogon.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\PDUUKGOZ\RSIT[1].exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=explorer.exe, "C:\Documents and Settings\Administrateur\Modèles\O85068Z\TuxO85068Z.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe , "C:\WINDOWS\M70373\Ja856720bLay.com"
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\FICHIE~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T68Z730] C:\WINDOWS\sa-866388.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [WinUsr] C:\Program Files\Winsudate\gibusr.exe
O4 - HKCU\..\Run: [T1703388TT4] C:\WINDOWS\system32\773043634862l.exe
O4 - HKUS\S-1-5-18\..\Run: [T1703388TT4] C:\WINDOWS\system32\773043634862l.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [T1703388TT4] C:\WINDOWS\system32\773043634862l.exe (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Z773043cie.cmd
O4 - Global User Startup: Z773043cie.cmd
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs: sockspy.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Gestionnaire de mise à jour Winsudate (WinSvc) - Winsudate - C:\Program Files\Winsudate\gibsvc.exe

Réponse

nathandre 10064Messages postés 29 avril 2009Date d'inscription 17 juillet 2010Dernière intervention 26 oct. 2009 à 15:57

bonjour
je laisse

Ajouter un commentaire

Réponse

Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 26 oct. 2009 à 16:08

tu es tres infecté , y a du ménage a faire :

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Ajouter un commentaire - Site web

Réponse

julie08 26 oct. 2009 à 16:37

Sorry Chiquitine29, il y a un pb avec Combofix ! J'ai réussi à l'installer ds le bureau mais qd j'ai voulu le lancer, un message est apparu: "Combofix ne fonctionne qu'avec Windows 2000 et XP."
Après avoir fermé cette fenêtre, une autre s'est ouverte: "32788R22FWJFW\EXE reg.exe" introuvable. Puis "32788R22FWJFW\hidec reg.exe" introuvable ... Cette machine va me rendre dingue !

Ajouter un commentaire

Réponse

Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 26 oct. 2009 à 16:45

▶ Télécharge OTM de OldTimer sur ton Bureau.

• Double-clique sur OTM.exe afin de le lancer.

• Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
C:\O85068Z
C:\Documents and Settings\Administrateur\Modèles\O85068Z\TuxO85068Z.exe
C:\Documents and Settings\Administrateur\Modèles\O85068Z
C:\WINDOWS\M70373\Ja856720bLay.com
C:\WINDOWS\M70373
C:\Program Files\Winsudate\gibusr.exe
C:\Program Files\Winsudate
C:\WINDOWS\sa-866388.exe
C:\WINDOWS\system32\sti_ci.dll
C:\WINDOWS\system32\773043634862l.exe
C:\WINDOWS\system32\X26801go
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Z773043cie.cmd

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"T68Z730"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WinUsr"=-
"T1703388TT4"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-

:commands
[emptytemp]
[reboot]

• Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

• Clique maintenant sur le bouton MoveIt! puis ferme OTM.

▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
▶ Accepte en cliquant sur YES.

• Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Ajouter un commentaire - Site web

julie08 - 26 oct. 2009 à 19:33

Merci Chiquitine29 pour ta 2ème solution mais Combofix a finalement fonctionné (après plusieurs essais...). Voici le rapport. Merci. Bonne soirée.

ComboFix 09-10-25.02 - Administrateur 26/10/2009 17:26.1.1 - NTFSx86
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\.#
c:\windows\command
c:\windows\system\msvbvm60.dll
c:\windows\system32\msconfig.exe

c:\windows\system32\srsvc.dll . . . est infecté!!

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-26 au 2009-10-26 ))))))))))))))))))))))))))))))))))))
.

2009-10-26 15:00 . 2009-10-26 15:00 -------- d-----w- c:\program files\trend micro
2009-10-26 15:00 . 2009-10-26 15:01 -------- d-----w- C:\rsit
2009-10-23 20:29 . 2009-10-23 20:29 -------- d-----w- c:\program files\Amazon
2009-10-23 20:10 . 2009-10-23 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-10-23 20:10 . 2009-10-23 20:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
2009-10-23 20:10 . 2009-10-23 20:11 -------- d-----w- c:\program files\Yahoo!
2009-10-23 20:09 . 2009-10-23 20:11 -------- d-----w- c:\program files\CCleaner
2009-10-20 10:36 . 2009-10-20 10:36 -------- d-----w- C:\O85068Z
2009-10-18 14:19 . 2009-06-22 16:29 195072 --sh--w- c:\windows\Ti634862ta.exe
2009-10-18 14:19 . 2009-06-22 16:29 195072 --sh--w- c:\windows\system32\773043634862l.exe
2009-10-18 14:19 . 2009-06-22 16:29 195072 --sh--w- c:\windows\sa-866388.exe
2009-10-18 14:19 . 2009-10-18 14:19 -------- d-sh--r- c:\windows\M70373
2009-10-18 14:19 . 2009-10-18 14:19 -------- d-----w- c:\windows\system32\X26801go

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-26 17:53 . 2007-12-09 15:39 25479200 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-10-25 19:36 . 2007-12-09 15:39 297764 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-10-25 18:24 . 2008-11-16 17:24 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
2009-10-25 18:24 . 2005-08-10 13:06 -------- d-----w- c:\program files\Fichiers communs\Adaptec Shared
2009-10-25 13:55 . 2005-07-09 19:40 351782 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-25 13:55 . 2005-07-09 19:40 43254 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-06 16:47 . 2009-03-17 14:08 1636 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-08 10:25 . 2009-02-01 14:28 -------- d-----w- c:\program files\LGGSM
2009-08-19 22:04 . 2007-12-16 13:00 15128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-10 13:16 . 2009-08-10 13:16 9 ----a-w- c:\documents and settings\Administrateur\Application Data\mdb.bin
2006-09-29 17:48 . 2009-02-06 20:21 611 ----a-w- c:\program files\PowerDVD.lnk
2006-09-29 17:35 . 2009-02-06 20:25 1910 ----a-w- c:\program files\Digital Media Studio.lnk
2005-08-10 09:59 . 2005-08-10 09:59 11208 ---ha-w- c:\program files\folder.htt
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\sa-866388.exe
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\Ti634862ta.exe
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\M70373\EmangEloh.exe
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\M70373\Ja856720bLay.com
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sha-w- c:\windows\M70373\smss.exe
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\SYSTEM32\773043634862l.exe
2005-07-09 19:40 . 2005-07-09 19:40 1392671 --sh--r- c:\windows\SYSTEM32\msvbvm60.dll
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sha-w- c:\windows\SYSTEM32\X26801go\Z773043cie.cmd
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUsr"="c:\program files\Winsudate\gibusr.exe" [2009-07-27 88304]
"T1703388TT4"="c:\windows\system32\773043634862l.exe" [2009-06-22 195072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"T68Z730"="c:\windows\sa-866388.exe" [2009-06-22 195072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2005-07-09 138240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"T1703388TT4"="c:\windows\system32\773043634862l.exe" [2009-06-22 195072]

c:\windows\SYSTEM32\X26801go\
Z773043cie.cmd [2009-6-22 195072]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

R3 DCamUSBPremier;USB Video Camera;c:\windows\system32\Drivers\mpixvid.sys [2004-07-01 81921]
S2 WinSvc;Gestionnaire de mise à jour Winsudate;c:\program files\Winsudate\gibsvc.exe [2009-07-27 70896]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*Deregistered* - mbr

[COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
TrkWks
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.
Contenu du dossier 'Tâches planifiées'

2009-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-AdobeUpdater - c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
HKLM-Run-CanalPlayer - c:\program files\Lecteur CANALPLAY\CanalPlayer.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-26 18:51
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-10-26 19:13
ComboFix-quarantined-files.txt 2009-10-26 18:12

Avant-CF: 218 799 104 octets libres
Après-CF: 251 163 136 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /kernel=oemkrnl.exe

- - End Of File - - E16E56A02B8D254CE96418A278671939

Réponse

Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 27 oct. 2009 à 14:06

Copie le texte ci-dessous :

Driver::
WinSvc

NetSvc::
6to4

File::
c:\windows\Ti634862ta.exe
c:\windows\system32\773043634862l.exe
c:\windows\sa-866388.exe
c:\program files\folder.htt
c:\windows\sa-866388.exe
c:\windows\Ti634862ta.exe
c:\windows\M70373\EmangEloh.exe
c:\windows\M70373\Ja856720bLay.com
c:\windows\M70373\smss.exe
c:\windows\SYSTEM32\773043634862l.exe
c:\windows\SYSTEM32\msvbvm60.dll
c:\windows\SYSTEM32\X26801go\Z773043cie.cmd
c:\program files\Winsudate\gibusr.exe
c:\program files\Winsudate\gibsvc.exe
c:\windows\system32\sti_ci.dll

Folder::
C:\Documents and Settings\Administrateur\Modèles\O85068Z
C:\O85068Z
c:\windows\M70373
c:\windows\system32\X26801go
c:\program files\Winsudate

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUsr"=-
"T1703388TT4"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T68Z730"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"T1703388TT4"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt .

S'il n'y a pas de rédémarrage, poste quand même le rapport.

Ajouter un commentaire - Site web

julie08 - 27 oct. 2009 à 17:39

Le scan vient de se terminer. Voici le nouveau rapport Combofix.

ComboFix 09-10-25.02 - Administrateur 27/10/2009 16:32.2.1 - NTFSx86
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
"c:\program files\folder.htt"
"c:\program files\Winsudate\gibsvc.exe"
"c:\program files\Winsudate\gibusr.exe"
"c:\windows\M70373\EmangEloh.exe"
"c:\windows\M70373\Ja856720bLay.com"
"c:\windows\M70373\smss.exe"
"c:\windows\sa-866388.exe"
"c:\windows\SYSTEM32\773043634862l.exe"
"c:\windows\SYSTEM32\msvbvm60.dll"
"c:\windows\system32\sti_ci.dll"
"c:\windows\SYSTEM32\X26801go\Z773043cie.cmd"
"c:\windows\Ti634862ta.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\O85068Z
c:\o85068z\service.exe
c:\o85068z\TuxO85068Z.exe
c:\o85068z\winlogon.exe
c:\program files\folder.htt
c:\program files\Winsudate
c:\program files\Winsudate\gibcom.dll
c:\program files\Winsudate\gibidl.dll
c:\program files\Winsudate\gibsvc.exe
c:\program files\Winsudate\gibupt.exe
c:\program files\Winsudate\gibusr.exe
c:\windows\M70373
c:\windows\M70373\EmangEloh.exe
c:\windows\M70373\Ja856720bLay.com
c:\windows\M70373\smss.exe
c:\windows\sa-866388.exe
c:\windows\system\msvbvm60.dll
c:\windows\SYSTEM32\773043634862l.exe
c:\windows\Ti634862ta.exe

c:\windows\system32\srsvc.dll . . . est infecté!!

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINSVC
-------\Service_WinSvc

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-27 au 2009-10-27 ))))))))))))))))))))))))))))))))))))
.

2009-10-27 15:03 . 2009-10-27 15:03 -------- d-s---w- c:\documents and settings\Administrateur\UserData
2009-10-26 18:25 . 2009-10-26 18:25 -------- d-sh--w- c:\windows\system32\dllcache
2009-10-26 15:00 . 2009-10-26 15:00 -------- d-----w- c:\program files\trend micro
2009-10-26 15:00 . 2009-10-26 15:01 -------- d-----w- C:\rsit
2009-10-23 20:29 . 2009-10-23 20:29 -------- d-----w- c:\program files\Amazon
2009-10-23 20:10 . 2009-10-23 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-10-23 20:10 . 2009-10-23 20:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
2009-10-23 20:10 . 2009-10-23 20:11 -------- d-----w- c:\program files\Yahoo!
2009-10-23 20:09 . 2009-10-23 20:11 -------- d-----w- c:\program files\CCleaner
2009-10-18 14:19 . 2009-10-18 14:19 -------- d-----w- c:\windows\system32\X26801go

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-27 16:22 . 2007-12-09 15:39 25534496 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-10-27 16:19 . 2007-12-09 15:39 300236 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-10-27 12:27 . 2005-08-10 13:06 -------- d-----w- c:\program files\Fichiers communs\Adaptec Shared
2009-10-27 09:43 . 2008-11-16 17:24 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
2009-10-26 18:30 . 2005-07-09 19:40 43254 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-26 18:30 . 2005-07-09 19:40 351782 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-06 16:47 . 2009-03-17 14:08 1636 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-08 10:25 . 2009-02-01 14:28 -------- d-----w- c:\program files\LGGSM
2009-08-19 22:04 . 2007-12-16 13:00 15128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-10 13:16 . 2009-08-10 13:16 9 ----a-w- c:\documents and settings\Administrateur\Application Data\mdb.bin
2006-09-29 17:48 . 2009-02-06 20:21 611 ----a-w- c:\program files\PowerDVD.lnk
2006-09-29 17:35 . 2009-02-06 20:25 1910 ----a-w- c:\program files\Digital Media Studio.lnk
2005-07-09 19:40 . 2005-07-09 19:40 1392671 --sh--r- c:\windows\SYSTEM32\msvbvm60.dll
2009-06-22 16:29 . 2009-10-18 14:19 195072 --sha-w- c:\windows\SYSTEM32\X26801go\Z773043cie.cmd
.

((((((((((((((((((((((((((((( SnapShot@2009-10-26_17.55.04 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-07-09 19:40 . 2009-10-25 13:55 35394 c:\windows\SYSTEM32\perfc009.dat
+ 2005-07-09 19:40 . 2009-10-26 18:30 35394 c:\windows\SYSTEM32\perfc009.dat
- 2005-07-09 19:40 . 2009-10-25 13:55 296054 c:\windows\SYSTEM32\perfh009.dat
+ 2005-07-09 19:40 . 2009-10-26 18:30 296054 c:\windows\SYSTEM32\perfh009.dat
- 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe
+ 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\pchealth\UploadLB\Blink 182 .exe
+ 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Program Files\TutoriaL HAcking .exe
+ 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
- 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
+ 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\TutoriaL HAcking .exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-3-20 135680]

c:\windows\SYSTEM32\X26801go\
Z773043cie.cmd [2009-6-22 195072]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

S3 DCamUSBPremier;USB Video Camera;c:\windows\SYSTEM32\DRIVERS\MPIXVID.SYS [13/07/2008 10:56 81921]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mbr

[COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
TrkWks
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.
Contenu du dossier 'Tâches planifiées'

2009-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-27 17:21
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1492)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\wdfmgr.exe
c:\combofix\CF8454.exe
c:\program files\Java\jre1.6.0_07\bin\jucheck.exe
c:\combofix\PEV.cfxxe
.
**************************************************************************
.
Heure de fin: 2009-10-27 17:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-27 16:30
ComboFix2.txt 2009-10-26 18:13

Avant-CF: 253 067 264 octets libres
Après-CF: 218 121 728 octets libres

- - End Of File - - 7E3278D4E6E5C353E5CD946EFB64C1B5

Réponse

Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 27 oct. 2009 à 17:46

l infection resiste :

Copie le texte ci-dessous :

Rootkit::
c:\windows\SYSTEM32\msvbvm60.dll

File::
c:\windows\SYSTEM32\X26801go\Z773043cie.cmd
c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe
c:\windows\pchealth\UploadLB\Blink 182 .exe
c:\windows\Downloaded Program Files\TutoriaL HAcking .exe
c:\windows\Downloaded Installations\Windows Vista setup .scr
c:\windows\Downloaded Installations\Windows Vista setup .scr
c:\windows\Downloaded Installations\TutoriaL HAcking .exe
c:\windows\SYSTEM32\msvbvm60.dll

NetSvc::
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
TrkWks
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN

Folder::
c:\windows\SYSTEM32\X26801go

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt .

S'il n'y a pas de rédémarrage, poste quand même le rapport.

Ajouter un commentaire - Site web

julie08 - 29 oct. 2009 à 00:43

Bonsoir Chiquitine 29, voici le nouveau rapport Combofix. Merci de ta persévérance.

ComboFix 09-10-25.02 - Administrateur 28/10/2009 23:50.3.1 - NTFSx86
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
"c:\windows\Downloaded Installations\TutoriaL HAcking .exe"
"c:\windows\Downloaded Installations\Windows Vista setup .scr"
"c:\windows\Downloaded Program Files\TutoriaL HAcking .exe"
"c:\windows\pchealth\UploadLB\Blink 182 .exe"
"c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe"
"c:\windows\SYSTEM32\msvbvm60.dll"
"c:\windows\SYSTEM32\X26801go\Z773043cie.cmd"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SYSTEM32\X26801go\Z773043cie.cmd

c:\windows\system32\srsvc.dll . . . est infecté!!

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-28 au 2009-10-28 ))))))))))))))))))))))))))))))))))))
.

2009-10-27 15:03 . 2009-10-27 15:03 -------- d-s---w- c:\documents and settings\Administrateur\UserData
2009-10-26 18:25 . 2009-10-26 18:25 -------- d-sh--w- c:\windows\system32\dllcache
2009-10-26 15:00 . 2009-10-26 15:00 -------- d-----w- c:\program files\trend micro
2009-10-26 15:00 . 2009-10-26 15:01 -------- d-----w- C:\rsit
2009-10-23 20:29 . 2009-10-23 20:29 -------- d-----w- c:\program files\Amazon
2009-10-23 20:10 . 2009-10-23 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-10-23 20:10 . 2009-10-23 20:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
2009-10-23 20:10 . 2009-10-23 20:11 -------- d-----w- c:\program files\Yahoo!
2009-10-23 20:09 . 2009-10-23 20:11 -------- d-----w- c:\program files\CCleaner
2009-10-18 14:19 . 2009-10-28 23:17 -------- d-----w- c:\windows\system32\X26801go

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-28 23:29 . 2007-12-09 15:39 25722912 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-10-28 23:26 . 2007-12-09 15:39 302444 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-10-27 12:27 . 2005-08-10 13:06 -------- d-----w- c:\program files\Fichiers communs\Adaptec Shared
2009-10-27 09:43 . 2008-11-16 17:24 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
2009-10-26 18:30 . 2005-07-09 19:40 43254 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-26 18:30 . 2005-07-09 19:40 351782 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-06 16:47 . 2009-03-17 14:08 1636 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-08 10:25 . 2009-02-01 14:28 -------- d-----w- c:\program files\LGGSM
2009-08-19 22:04 . 2007-12-16 13:00 15128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-10 13:16 . 2009-08-10 13:16 9 ----a-w- c:\documents and settings\Administrateur\Application Data\mdb.bin
2006-09-29 17:48 . 2009-02-06 20:21 611 ----a-w- c:\program files\PowerDVD.lnk
2006-09-29 17:35 . 2009-02-06 20:25 1910 ----a-w- c:\program files\Digital Media Studio.lnk
.

------- Sigcheck -------

[-] 2005-07-09 . 6A603809F598332DBEDD535BDBCE313E . 359040 . . [5.1.2600.2180] . . c:\windows\SYSTEM32\DRIVERS\tcpip.sys

[-] 2005-07-05 . D061A74AED7A5AC09E9422757628DB16 . 1242112 . . [6.00.2900.2180] . . c:\windows\explorer.exe

[-] 2005-07-09 19:40 . AB3D62010AF342203FFA60C2D94DBC68 . 8704 . . [1] . . c:\windows\SYSTEM32\sfcfiles.dll

c:\windows\system32\srsvc.dll ... manque !!
c:\windows\system32\wscntfy.exe ... manque !!
c:\windows\system32\regsvc.dll ... manque !!
.
((((((((((((((((((((((((((((( SnapShot@2009-10-26_17.55.04 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-07-09 19:40 . 2009-10-25 13:55 35394 c:\windows\SYSTEM32\perfc009.dat
+ 2005-07-09 19:40 . 2009-10-26 18:30 35394 c:\windows\SYSTEM32\perfc009.dat
- 2005-07-09 19:40 . 2009-10-25 13:55 296054 c:\windows\SYSTEM32\perfh009.dat
+ 2005-07-09 19:40 . 2009-10-26 18:30 296054 c:\windows\SYSTEM32\perfh009.dat
- 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe
+ 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\pchealth\UploadLB\Blink 182 .exe
+ 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Program Files\TutoriaL HAcking .exe
+ 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
- 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
+ 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\TutoriaL HAcking .exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-3-20 135680]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

S3 DCamUSBPremier;USB Video Camera;c:\windows\SYSTEM32\DRIVERS\MPIXVID.SYS [13/07/2008 10:56 81921]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mbr

[COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
TrkWks
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.
Contenu du dossier 'Tâches planifiées'

2009-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-29 00:28
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1724)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\wdfmgr.exe
c:\combofix\CF19093.exe
c:\program files\Java\jre1.6.0_07\bin\jucheck.exe
c:\combofix\PEV.cfxxe
.
**************************************************************************
.
Heure de fin: 2009-10-28 0:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-28 23:37
ComboFix2.txt 2009-10-27 16:30
ComboFix3.txt 2009-10-26 18:13

Avant-CF: 221 009 408 octets libres
Après-CF: 199 938 048 octets libres

- - End Of File - - CBA38C3FF8FCFD88C5E43AD7F33821B6

Réponse

-1

michelbastos 29 oct. 2009 à 00:52

t du 08?

Ajouter un commentaire

julie08 - 29 oct. 2009 à 01:16

Pas du tout ! Pourquoi ?

Réponse

-1

michelbastos 29 oct. 2009 à 01:32

nan comme ca julie "08"

Ajouter un commentaire

Réponse

Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 29 oct. 2009 à 10:54

• Telecharge malwarebytes

• Tu l´instale, le programme va se mettre automatiquement a jour.

• Une fois a jour, le programme va se lancer.

• Click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

• Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

• Puis click sur "rechercher".

• Laisse le scanner le pc...

• Si des elements on ete trouvés > click sur supprimer la selection.

• Si il t´es demandé de redemarrer > click sur "yes".

• A la fin un rapport va s´ouvrir, sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

• Copie et colle le rapport stp.

▶ PS : les rapport sont aussi rangé dans l onglet rapport/log
▶ Tuto : http://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
▶ Tuto : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Ajouter un commentaire - Site web

julie08 - 1 nov. 2009 à 17:47

Bonsoir Chiquitine29, j'ai essayé plusieurs fois d'installer Malwarebytes; mais, avant la finalisation de l'installation, le message suivant m'empêche de continuer:

" mbam.exe. Composant introuvable.

Cette application n'a pas pu démarrer car MSVBVM60.DLL est introuvable. La réalisation de cette application peut corriger ce problème. "

Que dois-je faire ?

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Clé usb infectée.Utiliser Flash Disinfector ?

Clé usb infectée.Utiliser Flash Disinfector »

Passage au tout numérique : quel coût pour les particuliers ?