Sujet Précédent Sujet Suivant

Mon ordinateur est infecte

Fermé
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020 - Modifié par jipicy le 4/05/2010 à 09:13
 Utilisateur anonyme - 23 mai 2010 à 12:50
Bonjour

j'ai besoin d'aide svp, mon ordi est infecté par un ROOTCKIT
Voici le rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 08:54:56, on 04/05/2010
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v7.00 (7.00.6001.18444)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\vsnpstd.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Athan\Athan.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\rkfree\rkfree.exe
C:\Program Files\Common Files\PC Tools\sMonitor\SSDMonitor.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\Registry Mechanic\regmech.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Windows\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\aissa\AppData\Local\Temp\Rar$EX00.613\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhomewebs.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomewebs.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhomewebs.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhomewebs.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhomewebs.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomewebs.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [rkfree] "C:\Program Files\rkfree\rkfree.exe" /b
O4 - HKLM\..\Run: [SSDMonitor] C:\Program Files\Common Files\PC Tools\sMonitor\SSDMonitor.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RMTray.exe /H
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClientControl Class) - https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Program Files\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate1c9ff19e58a130b) (gupdate1c9ff19e58a130b) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

26 réponses

  • 1
  • 2
Réponse 1 / 26
Utilisateur anonyme
4 mai 2010 à 09:20
salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge List_Kill'em et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer Shortcut
♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
1
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 09:27
merci pour ton aide gen-hackman,

l'outil est entrain de travailler, je posterai le résultat dans quelques minutes je crois
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 10:18
gean hackman j'arrive pas à poster le scan sur le forum
qu'est ce que je fais?
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 10:19
ÇA FAIT UNE HEURE QUE J4ESSAYE ET J'ARRIVE PAS
0
Réponse 2 / 26
Utilisateur anonyme
4 mai 2010 à 09:27
oui ca devrait etre fini dans 5 mn
0
Réponse 3 / 26
Utilisateur anonyme
4 mai 2010 à 10:18
poste-le sur http://www.cijoint.fr/ puis donne le lien obtenu en echange
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 13:17
je viens de le poster sur ci-joint.fr
0
Réponse 4 / 26
Utilisateur anonyme
4 mai 2010 à 10:19
https://forums.commentcamarche.net/forum/affich-17611337-mon-ordinateur-est-infecte#6
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 13:18
avec beaucoup de retard
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
Utilisateur anonyme
4 mai 2010 à 13:40
heu je peux avoir le lien pour le consulter ?
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 19:13
Voici le lien et merci de ta patience

http://www.cijoint.fr/cjlink.php?file=cj201005/cijH1VESrF.pdf
0
Réponse 6 / 26
Utilisateur anonyme
4 mai 2010 à 19:23
▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 21:00
Kill'em by g3n-h@ckm@n 1.7.3.0

User : aissa (Administrateurs)
Update on 04/05/2010 by g3n-h@ckm@n ::::: 04.50
Start at: 20:25:21 | 04/05/2010

Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 286,09 Go (198,21 Go free) [HDD] | NTFS
D:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Juniper Networks\Common Files\dsNcService.exe
C:\Windows\system32\FsUsbExService.Exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Calendar\wincal.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :


Quarantined & Deleted !! : C:\Windows\Temp\367b51e8911e473f5640b6b5.tmp
Quarantined & Deleted !! : C:\Windows\Temp\37cac0bfebefd1c4c164d7f.tmp
Quarantined & Deleted !! : C:\Windows\Temp\3e84c5f44ceebb6775259bde.tmp
Quarantined & Deleted !! : C:\Windows\Temp\59499dc789edb410eff44cc.tmp
Quarantined & Deleted !! : C:\Windows\Temp\6b2f76af59eef7ebd131e772.tmp
Quarantined & Deleted !! : C:\Windows\Temp\775cbaa91ad245649e187dc8.tmp
Quarantined & Deleted !! : C:\Windows\Temp\8f9245569cd9312aac579c6b.tmp
Quarantined & Deleted !! : C:\Windows\Temp\9c711b0d3eb762d3620fcb24.tmp
Quarantined & Deleted !! : C:\Windows\Temp\a3835330d2be8354b8b2c538.tmp
Quarantined & Deleted !! : C:\Windows\Temp\b427d8a677399b3ef5f6a9a3.tmp
Quarantined & Deleted !! : C:\Windows\Temp\c63cb3df6b47e22a2346c4ac.tmp
Quarantined & Deleted !! : C:\Windows\Temp\c84fe13c17a50919392821f6.tmp
Quarantined & Deleted !! : C:\Windows\Temp\ddde54d8bf98f376b8da992e.tmp
Quarantined & Deleted !! : C:\Users\aissa\AppData\Local\GDIPFONTCACHEV1.DAT

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
UacDisableNotify REG_DWORD 1 (0x1)
InternetSettingsDisableNotify REG_DWORD 1 (0x1)
AutoUpdateDisableNotify REG_DWORD 1 (0x1)
FirewallDisableNotify REG_DWORD 0 (0x0)
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 21:01
c'est le rapport que j'ai obtenu
0
Réponse 7 / 26
Utilisateur anonyme
4 mai 2010 à 22:32
tu l'as passé 2 fois ?
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
4 mai 2010 à 22:47
oui
0
Réponse 8 / 26
Utilisateur anonyme
4 mai 2010 à 23:08
▶ Télécharge : Gmer (by Przemyslaw Gmerek)


▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 00:27
j'ai posté le rapport GMER sur ci-joint, le lien est:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijFfhQq6Q.txt
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 00:28
J'ai fais le scan 2 fois aussi, pas exprès
0
Réponse 9 / 26
Utilisateur anonyme
5 mai 2010 à 01:20
ok telecharge ce petit programme fait pour ce rootkit que je viens de concevoir

desactive toutes tes defenses

clic droit/extraire , et tu double clic dessus , un rapport va sortir à la fin poste le

http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/yyxwkqkx.zip
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 10:12
je n'ai pas de rapport?
J'ai du me gourer quelque part.
0
Réponse 10 / 26
Utilisateur anonyme
5 mai 2010 à 14:08
bonjour

bizarre chez moi il a tout viré et tout indiqué sur rapport....

refais gMer voir
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 14:31
j'ai refais gmer mon ordinateur beug
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 14:32
sinon je viens de télécharger combofix et voici le rapport si tu peux regarder, merci
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 14:33
ComboFix 10-05-04.06 - aissa 05/05/2010 14:08:48.3.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2815.1736 [GMT 2:00]
Lancé depuis: c:\users\aissa\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-149746169-325228829-2604569920-1000
c:\$recycle.bin\S-1-5-21-2595506030-2279488623-1466756031-500
c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Il y a peut-être des sites infectés -----

hxxp://ads1.msads.net
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))
.

2010-05-05 12:16 . 2010-05-05 12:16 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-05 11:21 . 2010-05-05 11:21 75168 ----a-w- c:\users\aissa\AppData\Local\GDIPFONTCACHEV1.DAT
2010-05-04 07:23 . 2010-05-04 17:47 -------- d-----w- C:\Kill'em
2010-05-04 07:23 . 2010-05-05 11:11 -------- d-----w- c:\program files\List_Kill'em
2010-05-03 20:44 . 2010-05-03 20:44 103004 ---ha-w- c:\windows\system32\mlfcache.dat
2010-04-23 20:30 . 2010-05-02 18:33 -------- d-----w- c:\programdata\Norton
2010-04-23 20:30 . 2010-04-23 20:30 -------- d-----w- c:\programdata\NortonInstaller
2010-04-17 08:39 . 2010-04-17 08:39 -------- d-----w- c:\program files\Conduit
2010-04-17 08:39 . 2010-04-17 08:39 -------- d-----w- c:\program files\mywebsites.pro-FR
2010-04-14 05:10 . 2010-02-23 11:32 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 05:10 . 2010-02-23 11:32 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 05:10 . 2010-02-23 11:32 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 05:08 . 2010-02-18 14:49 3598216 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 05:08 . 2010-02-18 14:49 3545992 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 05:08 . 2010-03-04 18:54 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 05:07 . 2010-02-18 14:49 898952 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 05:07 . 2010-02-18 14:11 190464 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 05:07 . 2010-02-18 11:52 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 05:06 . 2009-12-23 12:43 171520 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 05:06 . 2010-01-15 00:04 98304 ----a-w- c:\windows\system32\cabview.dll
2010-04-09 19:08 . 2010-04-09 19:08 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-05 12:01 . 2008-04-18 06:48 669328 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-05 12:01 . 2008-04-18 06:48 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-05 12:01 . 2009-02-07 16:26 -------- d-----w- c:\users\aissa\AppData\Roaming\OpenOffice.org2
2010-05-04 10:28 . 2009-02-07 16:28 1 ----a-w- c:\users\aissa\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-05-04 06:16 . 2008-11-22 21:03 15502 ----a-w- c:\users\aissa\AppData\Roaming\wklnhst.dat
2010-05-02 18:34 . 2009-07-31 18:42 -------- d-----w- c:\program files\Samsung
2010-05-02 18:32 . 2008-04-17 21:21 -------- d-----w- c:\programdata\Symantec
2010-05-02 16:00 . 2008-04-17 21:21 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-05-01 15:10 . 2010-01-07 16:55 -------- d-----w- c:\users\aissa\AppData\Roaming\Winamp
2010-04-29 06:14 . 2010-03-23 13:54 443912 ----a-w- c:\users\aissa\AppData\Roaming\Real\Update\setup3.10\setup.exe
2010-04-23 17:30 . 2010-04-23 17:29 -------- d-----w- c:\programdata\DivX
2010-03-24 21:45 . 2009-03-17 21:28 -------- d-----w- c:\users\aissa\AppData\Roaming\NBPROF
2010-03-21 06:26 . 2008-04-17 21:30 -------- d-----w- c:\program files\Picasa2
2010-03-11 11:11 . 2009-02-02 18:07 -------- d-----w- c:\users\aissa\AppData\Roaming\Image Zone Express
2010-03-09 16:57 . 2009-03-23 20:22 -------- d-----w- c:\programdata\HP Product Assistant
2010-03-09 16:36 . 2008-04-17 21:11 -------- d-----w- c:\program files\Common Files\InstallShield
2010-03-09 16:36 . 2008-04-17 21:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-09 16:28 . 2010-03-31 07:00 833024 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 07:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 07:00 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2010-03-07 09:35 . 2010-01-11 15:57 588472 ----a-w- c:\windows\system32\ezsvc7x.dll
2010-02-26 13:53 . 2009-12-24 08:48 439816 ----a-w- c:\users\aissa\AppData\Roaming\Real\Update\setup3.09\setup.exe
2010-02-24 08:16 . 2009-10-03 02:21 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-20 23:39 . 2010-03-11 07:29 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:37 . 2010-03-11 07:29 31232 ----a-w- c:\windows\system32\httpapi.dll
2010-02-20 21:18 . 2010-03-11 07:29 411136 ----a-w- c:\windows\system32\drivers\http.sys
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-12 10:48 . 2010-03-29 08:49 293376 ----a-w- c:\windows\system32\browserchoice.exe
2008-02-06 21:05 . 2008-09-19 12:52 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll
2009-11-20 13:41 . 2009-11-20 13:41 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-04-18 06:52 . 2008-04-18 06:52 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]
"{33727f97-486d-4d19-97c3-23f432ef93fc}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33727f97-486d-4d19-97c3-23f432ef93fc}]
2009-11-09 16:38 2331672 ----a-w- c:\program files\mywebsites.pro-FR\tbmywe.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{33727f97-486d-4d19-97c3-23f432ef93fc}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

[HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{33727F97-486D-4D19-97C3-23F432EF93FC}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

[HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 2153472]
"RegistryMechanic"="c:\program files\Registry Mechanic\RMTray.exe" [2009-11-25 292824]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 102400]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-29 4911104]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-20 30192]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-03 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-03 92704]
"Athan"="c:\program files\Athan\Athan.exe" [2009-07-29 1138688]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-12-21 39424]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-09 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-07-07 198160]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"SSDMonitor"="c:\program files\Common Files\PC Tools\sMonitor\SSDMonitor.exe" [2009-11-25 104408]
"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-01-22 141608]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\users\aissa\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"FilterAdministratorToken"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate1c9ff19e58a130b;Service Google Update (gupdate1c9ff19e58a130b);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-07 133104]
R3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-11-20 30192]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
S2 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service;c:\program files\Common Files\PC Tools\sMonitor\StartManSvc.exe [2009-11-25 583640]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
*Deregistered* - uqkoyrs

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LPDService REG_MULTI_SZ LPDSVC
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-07 15:44]

2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-07 15:44]

2008-09-19 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mWindow Title =
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Winamp Search - c:\programdata\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\aissa\AppData\Roaming\Mozilla\Firefox\Profiles\m46xiyxc.default\
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Picasa2\npPicasa3.dll
FF - plugin: c:\users\aissa\AppData\Local\Yahoo!\BrowserPlus\2.6.0\Plugins\npybrowserplus_2.6.0.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
HKLM-Run-NPSStartup - (no file)
MSConfigStartUp-PC Suite Tray - c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe
AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe
AddRemove-Athan - c:\windows\iun6002.exe
AddRemove-HijackThis - c:\users\aissa\AppData\Local\Temp\Rar$EX02.768\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-05 14:16
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\uqkoyrs]

.
Heure de fin: 2010-05-05 14:19:37
ComboFix-quarantined-files.txt 2010-05-05 12:19
ComboFix2.txt 2009-02-22 21:35
ComboFix3.txt 2009-02-22 18:45

Avant-CF: 215 593 132 032 octets libres
Après-CF: 219 771 752 448 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - C578C10747C32DFEC21AE25511C478D2
0
Réponse 11 / 26
Utilisateur anonyme
5 mai 2010 à 14:49
qui t'a demandé de telecharger Combofix ????????

c'est un outil des plus puissants ,très dangeureux qu'il faut savoir bien utiliser !!!

et si ta machine avait planté comme c'est deja arrivé avec cet MAL UTILISE on aurait fait comment ???

je ne prendrai pas la responsabilité d'une telle erreur d'initiative si ton pc ne demarre plus !

desactive toutes tes protections et refais gMer !
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 14:51
qu'est ce que tu veux dire par toutes les protections j'ai juste avast
tu veux que je désinstalle combofix
0
Utilisateur anonyme
5 mai 2010 à 14:55
desactive le resident de Avast
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 14:56
c'est fait
0
Réponse 12 / 26
Utilisateur anonyme
5 mai 2010 à 14:57
ok j'attends le rapport gMer

ne surfe pas sur internet pendant son utilisation merci
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 15:29
voici mon rapport j'emmene ma petite au cours de musique je serai de retour à 18h merci encore
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 15:35
voici le lien sur ci-joint
http://www.cijoint.fr/cjlink.php?file=cj201005/cijQCsqsLh.txt
0
Réponse 13 / 26
Utilisateur anonyme
Modifié par gen-hackman le 5/05/2010 à 16:40
ok c'est bon

desactive toutes tes protection , c'est un outil puissant !

telecharge ici : https://www.androidworld.fr/

lance-le par double clic

un premier bloc notes s'ouvre , copie-colle ceci :

C:\WINDOWS\system32\drivers\uqkoyrs.sys

ensuite onglet fichier , clic sur enregistrer , puis ferme le bloc-notes

l'outil va travailler , un deuxieme bloc-notes va s'ouvrir

copie-colle ceci dedans :

HKLM\SYSTEM\CurrentControlSet\Services\uqkoyrs
HKLM\SYSTEM\ControlSet002\Services\uqkoyrs
HKLM\SYSTEM\ControlSet003\Services\uqkoyrs
HKLM\SYSTEM\ControlSet004\Services\uqkoyrs

ensuite onglet fichier , clic sur enregistrer , puis ferme le bloc-notes

l'outil va travailler , un troisieme bloc notes va s'ouvrir avec des infos à l'interieur ,communique-les dans ta reponse
?G3?-?@¢??@?(TM)©®?
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 22:03
la réponse pour le premier bloc note est
an error 0x0000001 occured during the delection of file: C:\WINDOWS\system32\drivers\uqkoyrs.sys accés refusé
0
Réponse 14 / 26
Utilisateur anonyme
5 mai 2010 à 22:29
ok passe au deuxieme quand meme
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 22:45
voici les informations du 3eme bloc note:
File deleted !! : C:\WINDOWS\system32\drivers\uqkoyrs.sys
0
Réponse 15 / 26
Utilisateur anonyme
5 mai 2010 à 22:59
c'est clair qu il est coriace celui-là

refais gmer ?
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 23:01
c'est parti pour le gmer
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
5 mai 2010 à 23:30
gmer a cesse de fonctionné, c'est la réponse que j'ai eu après plusieurs tentatives;
le chargement commence normalement et s'arrête après un moment et j'ai le message cité ci-dessus.
0
Réponse 16 / 26
Utilisateur anonyme
6 mai 2010 à 00:54
ok je viens de me rootkiter pour comprendre son fonctionnement dans le registre et je peux te dire que c'est balaise mais j'ai reussi donc ca devrait marcher pour toi
il a fallu que je rajoute des composants au prog qui , il est vrai etait plutot leger comparé à maintenant....200 Ko de plus lol

lien du nouveau :

https://www.androidworld.fr/

il a fallu que je fasse du renommage de fichier en temps reel dans la programmation sinon le rootkit le bloquait :

une fois telechargé , refais ceci :

https://forums.commentcamarche.net/forum/affich-17611337-mon-ordinateur-est-infecte#35

tu vas voir sur ton bureau des icones changer de forme et de nom c'est normal il vont disparaitre à la fin
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
6 mai 2010 à 09:43
même démarche même réponse, il est plus que coriace celui la
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
6 mai 2010 à 09:46
rien ne se passe pour moi, j'ai refait encore une fois de plus
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
6 mai 2010 à 12:33
j'ai refait un GMER, je te poste le lien sur ci-joint
je ne sais pas si ca va t'aider pour pouvoir m'aider merci jean hackman
http://www.cijoint.fr/cjlink.php?file=cj201005/cijCfttGhO.txt
0
Réponse 17 / 26
Utilisateur anonyme
6 mai 2010 à 14:51
bon je voulais pas relancer Combofix mais on y est obligé....


__________________________________________________________
=>/!\Le script qui suit a été écrit spécialement pour cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Rootkit::
C:\Windows\System32\Drivers\uqkoyrs.sys

Driver::
uqkoyrs

Registry::
[-HKLM\SYSTEM\CurrentControlSet\Services\uqkoyrs]
[-HKLM\SYSTEM\ControlSet002\Services\uqkoyrs]
[-HKLM\SYSTEM\ControlSet003\Services\uqkoyrs]
[-HKLM\SYSTEM\ControlSet004\Services\uqkoyrs]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
6 mai 2010 à 21:49
voici le lien sur ci-joint du rapport de combofix:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijgv1ERn4.txt
0
Réponse 18 / 26
Utilisateur anonyme
6 mai 2010 à 22:22
bon on a eu le service mais pas le fichier.....

je pense qu'il doit etre rattaché à autre chose qui le protege...qui le blinde

supprime tous les petits progs que je t'ai fait telecharger

on retente avec autre chose de beaucoup plus puissant :

telecharge :

https://www.androidworld.fr/

(oui je sais le nom est identique mais le prog est 3 fois plus costaud)

un seul document texte s'ouvrira , tu marqueras juste ca dedans :

uqkoyrs

onglet fichier , enregistrer , fermer , le tool va bosser

ne touche à rien , attends le rapport final qui s'ouvrira a la fin

enregistre-le sur ton bureau sous un autre nom , et reviens poster la reponse
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
6 mai 2010 à 23:05
le tool n'a pas beaucoup bossé, regarde le rapport:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Rootkit ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ Services :

¤ Service stopped !! : uqkoyrs
¤ Service Deleted !! : uqkoyrs

¤¤¤¤¤ Files :

¤ File deleted !! : C:\Windows\System32\Drivers\uqkoyrs.sys

¤¤¤¤¤ Keys | Root


¤¤¤¤¤ Keys | Services
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
6 mai 2010 à 23:11
je te souhaite une bonne soirée et une bonne nuit à demain, car je tombe de sommeil
0
Réponse 19 / 26
Utilisateur anonyme
6 mai 2010 à 23:19
ok normalement le fichier est parti
0
Utilisateur anonyme
6 mai 2010 à 23:21
j'en attendais pas plus :)
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
7 mai 2010 à 09:23
Bonjour,

tu veux dire que le fichier est vraiment parti?
C'est super, tu es génial, milleeeeeeeeeeeeeeeeeeeeeeees merci.
SARAH
0
Réponse 20 / 26
Utilisateur anonyme
7 mai 2010 à 09:40
redemarre ton pc et refais gmer pour certitude
0
ghaicha Messages postés 59 Date d'inscription dimanche 22 février 2009 Statut Membre Dernière intervention 5 mai 2020
7 mai 2010 à 20:19
voici le lien du rapport de gmer après avoir redémarrer mon ordi comme tu me l'as conseillé:
http://www.cijoint.fr/cjlink.php?file=cj201005/cij4MBkk2e.txt
0

Discussions similaires

j'ai renversé de l'eau sur mon pc portable
sardine -
moudubulbe -

14 réponses
Où est la touche SHIFT sur mon clavier d'ordi ?
joe! -
fernando-_ytb -

18 réponses