VIVEZ LE
FOOTBALL !
Posez votre question Signaler

Rootkit again and again

Grekette - Dernière réponse le 15 sept. 2010 à 20:48
Bonjour,
J'ai le même problème que la plupart des gens, j'ai un rootkit sur mon pc personnel. Deux antivirus : antivir - norton.
Lorsque j'allume ma wifi, j'ai plus d'une centaine messages d'erreurs qui s'affichent disant que mes mails n'ont pas pu être envoyé.
Je crois qu'on utilise mon adresse IP pour envoyer des spams.
antivir détecte des fichiers cachés mais ne peut les supprimer.
Je pense avoir tout dit.
j'espère qu'on pourra m'aider. Merci d'avance.
Lire la suite 

Rootkit again and again »

12 réponses
Réponse
+0
moins plus
alhuno1 1744Messages postés 9 novembre 2009Date d'inscription 19 mai 2012Dernière intervention 15 mai 2010 à 01:22 
Deux antivirus : antivir - norton.


Ça sent pas très bon.
JAMAIS il ne faut mettre deux protection antivirus en même temps.

Quand à tes mails, regarde si ta boîte d'envoi est vide, sinon, vide-là.
Si y'en a pas, eh bien.......

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Grekette 17 mai 2010 à 21:52
C'est compris mais pour le supprimer comment puis-je faire ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 17 mai 2010 à 23:35
Salut,


Panneau de configuration / puis Ajout/suppression de programmes si t'es sur XP et tu le désinstalles.
Sur Vista/Seven, c'est Programmes et fonctionnalités et tu désinstalles aussi celui en trop.

Si t'as pas payé Norton et qu'il est pas à jour, désinstalle celui là.


Ensuite :


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.



Puis :


- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller



Ajouter un commentaire - Site web
alhuno1- 18 mai 2010 à 01:10
Fais-lui faire RSIT ou ZHPDiag au lieu d'HijackThis.
Ajouter un commentaire
Réponse
+0
moins plus
alhuno1 1744Messages postés 9 novembre 2009Date d'inscription 19 mai 2012Dernière intervention 18 mai 2010 à 01:12
Il peut s'agir d'autre chose aussi.
T'as un routeur Wi-fi?
Avec ou sans clef réseau?

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
greekette 30 mai 2010 à 01:41
Partiels obligent, je pouvais vous répondre mais je viens d'appliquer les différentes méthodes et poste les rapports ( celui de combo fix et hijack)

ComboFix 10-05-29.03 - moib 30/05/2010 1:18.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2030.1455 [GMT 2:00]
Lancé depuis: c:\documents and settings\moib\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\moib\Application Data\avdrn.dat
c:\documents and settings\moib\Application Data\inst.exe
c:\documents and settings\moib\Local Settings\Application Data\paair.dat
c:\documents and settings\moib\Local Settings\Application Data\paair_nav.dat
c:\documents and settings\moib\Local Settings\Application Data\paair_navps.dat
c:\documents and settings\moib\RavMonLog
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\windows\system32\driVERs\flqzzkgc.sys
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\lowsec\user.ds.lll
c:\windows\system32\muzapp.exe
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS
-------\Legacy_flqzzkgc
-------\Service_flqzzkgc


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-29 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-29 23:25 . 2009-10-29 14:32 -------- d-----w- c:\documents and settings\moib\Application Data\uTorrent
2010-05-29 23:24 . 2009-12-18 14:14 256 ----a-w- c:\windows\system32\pool.bin
2010-05-29 23:21 . 2009-03-19 22:48 -------- d-----w- c:\program files\uTorrent
2010-05-23 23:06 . 2008-07-28 14:20 -------- d-----w- c:\program files\Symantec
2010-05-23 23:06 . 2008-07-28 14:19 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-05-23 23:06 . 2008-07-28 14:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-04-28 20:15 . 2004-11-19 09:44 81790 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-28 20:15 . 2004-11-19 09:44 504042 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-20 19:51 . 2008-06-20 17:23 -------- d-----w- c:\program files\ThinkVantage Fingerprint Software
2010-04-20 19:50 . 2008-09-28 19:09 -------- d-----w- c:\program files\Java Web Start
2010-04-20 19:50 . 2008-08-05 09:44 -------- d-----w- c:\program files\NetWaiting
2010-04-20 19:48 . 2010-04-04 22:58 -------- d-----w- c:\program files\iMesh Applications
2010-04-11 20:08 . 2008-06-20 16:48 161256 ----a-w- c:\windows\system32\nvModes.dat
2010-04-08 22:13 . 2010-04-03 11:55 -------- d-----w- c:\documents and settings\moib\Application Data\DataCast
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut600_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut60_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut6_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut5_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 49152 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\RedirectorEXE2_770DFD1204C24F4DA163D64FACCB5CBD.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut4_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut3_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut12_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\DesktopMgr.exe
2010-04-07 21:59 . 2009-12-18 14:10 49152 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\RedirectorEXE1_770DFD1204C24F4DA163D64FACCB5CBD.exe
2010-04-07 21:59 . 2009-12-18 14:10 49152 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\RedirectorEXE_770DFD1204C24F4DA163D64FACCB5CBD.exe
2010-04-03 23:09 . 2010-04-03 23:09 -------- d-----w- c:\documents and settings\moib\Application Data\FreeAudioPack
2010-04-03 16:02 . 2010-04-03 16:02 -------- d-----w- c:\program files\MyFree Codec
2010-04-03 11:55 . 2010-04-03 11:55 -------- d-----w- c:\program files\MarkAny
2010-04-03 11:54 . 2008-06-20 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-03 11:53 . 2010-04-03 11:53 -------- d-----w- c:\program files\Samsung
2010-04-03 11:52 . 2008-09-28 19:25 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-04-01 00:53 . 2010-04-01 00:53 8 ----a-w- c:\documents and settings\moib\Application Data\jasltw.dat
2010-03-31 19:52 . 2009-02-26 14:07 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-19 08:42 . 2009-08-19 08:42 336 ----a-w- c:\program files\setup.ini
2008-10-20 20:48 . 2008-10-20 20:48 614400 ----a-w- c:\program files\Firefox_3.0.1.exe
2008-08-07 14:54 . 2008-08-07 14:18 59392 ----a-w- c:\program files\windows installer 3.1 EULA.doc
2008-07-25 23:43 . 2008-07-25 23:43 56 --sh--r- c:\windows\system32\55BCC84F9A.sys
2008-07-25 23:43 . 2008-07-25 23:43 1682 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-06 39408]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-10-29 289072]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2008-10-24 206112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-21 13524992]
"nwiz"="nwiz.exe" [2008-03-21 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-03-21 86016]
"PSQLLauncher"="c:\program files\ThinkVantage Fingerprint Software\launcher.exe" [2007-08-16 48904]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-24 1036288]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-27 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BlackBerryAutoUpdate"="c:\program files\Fichiers communs\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2010-03-10 648536]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2009-07-08 236016]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="D:\iTunesHelper.exe" [2009-07-13 292128]
"TrayServer"="d:\program files\MAGIX\Video_deluxe_16_Version_a_telecharger\TrayServer.exe" [2008-09-01 90112]
"SMSTray"="c:\program files\Samsung\EmoDio\SMSTray.exe" [2009-03-21 484888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-19 15360]

c:\documents and settings\moib\Menu D'marrer\Programmes\D'marrage\
Desktop Manager.lnk - c:\program files\Research In Motion\BlackBerry\DesktopMgr.exe [2010-3-10 1819992]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-8-5 50688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-16 22:54 89600 ----a-w- c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programs\\RM.exe"=
"d:\\Programs\\umi.exe"=
"d:\\Programs\\VideoSpin.exe"=
"d:\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6134:TCP"= 6134:TCP:tiuajaz
"13747:TCP"= 13747:TCP:NortonAV
"17485:TCP"= 17485:TCP:NortonAV
"17557:TCP"= 17557:TCP:NortonAV
"13344:TCP"= 13344:TCP:NortonAV
"13134:TCP"= 13134:TCP:NortonAV
"14464:TCP"= 14464:TCP:NortonAV

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/11/2009 02:35 108289]
R2 smihlp;SMI Helper Driver (smihlp);c:\program files\Fichiers communs\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [17/08/2007 00:46 10896]
S?2 doqnp;Microsoft Security;c:\windows\system32\svchost.exe -k netsvcs [19/11/2004 11:45 14336]
S?2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 00:18 135664]
S0 pmdwducz;pmdwducz; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
doqnp
.
Contenu du dossier 'Tâches planifiées'

2010-03-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-05-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 22:17]

2010-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 22:17]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.imesh.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>;*.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\moib\Application Data\Mozilla\Firefox\Profiles\izui7uov.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.girondins.com/
FF - prefs.js: keyword.URL - hxxp://search.imesh.com/web?src=ffb&q=
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\documents and settings\moib\Application Data\Mozilla\plugins\np-mswmp.dll
FF - plugin: c:\program files\Fichiers communs\Research In Motion\BBWebSLLauncher\NPWebSLLauncher.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: d:\mozilla plugins\npitunes.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-wsctf.exe - wsctf.exe
HKCU-Run-paair - c:\documents and settings\moib\local settings\application data\paair.exe
ActiveSetup-{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} - c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
AddRemove-paair - c:\documents and settings\moib\local settings\application data\paair.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-30 01:26
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\doqnp]
"ServiceDll"="c:\windows\system32\eqyjoskm.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1264)
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\homepass.dll
c:\program files\ThinkVantage Fingerprint Software\bio.dll
c:\program files\ThinkVantage Fingerprint Software\ps2css.dll
c:\program files\ThinkVantage Fingerprint Software\remote.dll
c:\program files\ThinkVantage Fingerprint Software\pscssint.dll
c:\program files\ThinkVantage Fingerprint Software\crypto.dll

- - - - - - - > 'lsass.exe'(1320)
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll

- - - - - - - > 'explorer.exe'(412)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSFR.DLL
c:\windows\system32\btmmhook.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\nvwddi.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\program files\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\windows\system32\acs.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\rundll32.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Fichiers communs\Research In Motion\RIMDeviceManager\RIMDeviceManager.exe
c:\program files\Fichiers communs\Research In Motion\USB Drivers\BbDevMgr.exe
c:\windows\system32\imapi.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
.
**************************************************************************
.
Heure de fin: 2010-05-30 01:27:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-29 23:27

Avant-CF: 1 008 058 368 octets libres
Après-CF: 1 119 236 096 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - FB135B7CE6C7D0C14F21499698BEBC6A

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
greekette 30 mai 2010 à 01:42
Et celui de Hijack


ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:28:31, on 30/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\Fichiers communs\Research In Motion\Auto Update\RIMAutoUpdate.exe
D:\iTunesHelper.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Fichiers communs\Research In Motion\RIMDeviceManager\RIMDeviceManager.exe
C:\Program Files\Fichiers communs\Research In Motion\USB Drivers\BbDevMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.imesh.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\ThinkVantage Fingerprint Software\launcher.exe" /startup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BlackBerryAutoUpdate] C:\Program Files\Fichiers communs\Research In Motion\Auto Update\RIMAutoUpdate.exe /background
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
O4 - HKLM\..\Run: [TrayServer] D:\Program Files\MAGIX\Video_deluxe_16_Version_a_telecharger\TrayServer.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Desktop Manager.lnk = C:\Program Files\Research In Motion\BlackBerry\DesktopMgr.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
greekette 30 mai 2010 à 01:46
En tout cas pour sacanner il scanne le combofix je viens de lire le rapport, même ma page d'accueil du net est affiché ...

en tout j'espère que ça va vous être utile.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+1
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 30 mai 2010 à 10:43
p'tain c't'un peu une poubelle ton PC :\
Faut dire que vu que Windows est pas à jour..... avec toutes les vulnérabilités c'est pas difficile t'infecter ton PC.

T'avais des restes de Zbot/Zeus qui est un malware qui vole toutes informations utiles sur le PC (adresse email, mot de passe, compte en banque)...

et t'as Conficker qui va par médias amovibles, donc évite de mettre des clefs USB, disque dur externe sur ce PC pour le moment.
(Voir là pour des infos sur les infections par disques amovibles : http://forum.malekal.com/... )

Fais ça :

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

driver::
pmdwducz
doqnp
NetSvc::
doqnp
rootkit::
c:\windows\system32\eqyjoskm.dll

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis



Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
greekette 1 juin 2010 à 10:39
ComboFix 10-05-31.03 - moib 01/06/2010 10:09:39.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2030.1555 [GMT 2:00]
Lancé depuis: c:\documents and settings\moib\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\moib\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOQNP
-------\Legacy_PMDWDUCZ
-------\Service_doqnp
-------\Service_pmdwducz


((((((((((((((((((((((((((((( Fichiers créés du 2010-05-01 au 2010-06-01 ))))))))))))))))))))))))))))))))))))
.

2010-05-29 23:28 . 2010-05-29 23:28 -------- d-----w- c:\program files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-01 08:15 . 2009-10-29 14:32 -------- d-----w- c:\documents and settings\moib\Application Data\uTorrent
2010-06-01 08:15 . 2009-12-18 14:14 256 ----a-w- c:\windows\system32\pool.bin
2010-05-29 23:21 . 2009-03-19 22:48 -------- d-----w- c:\program files\uTorrent
2010-05-23 23:06 . 2008-07-28 14:20 -------- d-----w- c:\program files\Symantec
2010-05-23 23:06 . 2008-07-28 14:19 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-05-23 23:06 . 2008-07-28 14:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-04-28 20:15 . 2004-11-19 09:44 81790 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-28 20:15 . 2004-11-19 09:44 504042 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-20 19:51 . 2008-06-20 17:23 -------- d-----w- c:\program files\ThinkVantage Fingerprint Software
2010-04-20 19:50 . 2008-09-28 19:09 -------- d-----w- c:\program files\Java Web Start
2010-04-20 19:50 . 2008-08-05 09:44 -------- d-----w- c:\program files\NetWaiting
2010-04-20 19:48 . 2010-04-04 22:58 -------- d-----w- c:\program files\iMesh Applications
2010-04-11 20:08 . 2008-06-20 16:48 161256 ----a-w- c:\windows\system32\nvModes.dat
2010-04-08 22:13 . 2010-04-03 11:55 -------- d-----w- c:\documents and settings\moib\Application Data\DataCast
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut600_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut60_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut6_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut5_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 49152 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\RedirectorEXE2_770DFD1204C24F4DA163D64FACCB5CBD.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut4_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut3_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\NewShortcut12_C6ABA3677F944B9FBB00F060701B0B5A.exe
2010-04-07 21:59 . 2009-12-18 14:10 69632 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\DesktopMgr.exe
2010-04-07 21:59 . 2009-12-18 14:10 49152 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\RedirectorEXE1_770DFD1204C24F4DA163D64FACCB5CBD.exe
2010-04-07 21:59 . 2009-12-18 14:10 49152 ----a-r- c:\documents and settings\moib\Application Data\Microsoft\Installer\{205A5182-EFC8-4C25-B61D-C164F8FF4048}\RedirectorEXE_770DFD1204C24F4DA163D64FACCB5CBD.exe
2010-04-03 23:09 . 2010-04-03 23:09 -------- d-----w- c:\documents and settings\moib\Application Data\FreeAudioPack
2010-04-03 16:02 . 2010-04-03 16:02 -------- d-----w- c:\program files\MyFree Codec
2010-04-03 11:55 . 2010-04-03 11:55 -------- d-----w- c:\program files\MarkAny
2010-04-03 11:54 . 2008-06-20 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-03 11:53 . 2010-04-03 11:53 -------- d-----w- c:\program files\Samsung
2010-04-03 11:52 . 2008-09-28 19:25 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-04-01 00:53 . 2010-04-01 00:53 8 ----a-w- c:\documents and settings\moib\Application Data\jasltw.dat
2010-03-31 19:52 . 2009-02-26 14:07 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-19 08:42 . 2009-08-19 08:42 336 ----a-w- c:\program files\setup.ini
2008-10-20 20:48 . 2008-10-20 20:48 614400 ----a-w- c:\program files\Firefox_3.0.1.exe
2008-08-07 14:54 . 2008-08-07 14:18 59392 ----a-w- c:\program files\windows installer 3.1 EULA.doc
2008-07-25 23:43 . 2008-07-25 23:43 56 --sh--r- c:\windows\system32\55BCC84F9A.sys
2008-07-25 23:43 . 2008-07-25 23:43 1682 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-05-29_23.24.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-01 08:15 . 2010-06-01 08:15 16384 c:\windows\Temp\Perflib_Perfdata_100.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-06 39408]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-10-29 289072]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2008-10-24 206112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-21 13524992]
"nwiz"="nwiz.exe" [2008-03-21 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-03-21 86016]
"PSQLLauncher"="c:\program files\ThinkVantage Fingerprint Software\launcher.exe" [2007-08-16 48904]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-24 1036288]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-27 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BlackBerryAutoUpdate"="c:\program files\Fichiers communs\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2010-03-10 648536]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2009-07-08 236016]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="D:\iTunesHelper.exe" [2009-07-13 292128]
"TrayServer"="d:\program files\MAGIX\Video_deluxe_16_Version_a_telecharger\TrayServer.exe" [2008-09-01 90112]
"SMSTray"="c:\program files\Samsung\EmoDio\SMSTray.exe" [2009-03-21 484888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-19 15360]

c:\documents and settings\moib\Menu D'marrer\Programmes\D'marrage\
Desktop Manager.lnk - c:\program files\Research In Motion\BlackBerry\DesktopMgr.exe [2010-3-10 1819992]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-8-5 50688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-16 22:54 89600 ----a-w- c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programs\\RM.exe"=
"d:\\Programs\\umi.exe"=
"d:\\Programs\\VideoSpin.exe"=
"d:\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6134:TCP"= 6134:TCP:tiuajaz
"13747:TCP"= 13747:TCP:NortonAV
"17485:TCP"= 17485:TCP:NortonAV
"17557:TCP"= 17557:TCP:NortonAV
"13344:TCP"= 13344:TCP:NortonAV
"13134:TCP"= 13134:TCP:NortonAV
"14464:TCP"= 14464:TCP:NortonAV

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/11/2009 02:35 108289]
R2 smihlp;SMI Helper Driver (smihlp);c:\program files\Fichiers communs\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [17/08/2007 00:46 10896]
S?2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 00:18 135664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-03-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 22:17]

2010-05-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 22:17]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.imesh.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\moib\Application Data\Mozilla\Firefox\Profiles\izui7uov.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.girondins.com/
FF - prefs.js: keyword.URL - hxxp://search.imesh.com/web?src=ffb&q=
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\documents and settings\moib\Application Data\Mozilla\plugins\np-mswmp.dll
FF - plugin: c:\program files\Fichiers communs\Research In Motion\BBWebSLLauncher\NPWebSLLauncher.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: d:\mozilla plugins\npitunes.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1268)
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\homepass.dll
c:\program files\ThinkVantage Fingerprint Software\bio.dll
c:\program files\ThinkVantage Fingerprint Software\ps2css.dll
c:\program files\ThinkVantage Fingerprint Software\remote.dll
c:\program files\ThinkVantage Fingerprint Software\pscssint.dll
c:\program files\ThinkVantage Fingerprint Software\crypto.dll

- - - - - - - > 'lsass.exe'(1324)
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll

- - - - - - - > 'explorer.exe'(3568)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSFR.DLL
c:\windows\system32\btmmhook.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\program files\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\windows\system32\acs.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\rundll32.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Fichiers communs\Research In Motion\RIMDeviceManager\RIMDeviceManager.exe
c:\program files\Fichiers communs\Research In Motion\USB Drivers\BbDevMgr.exe
c:\windows\system32\imapi.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-06-01 10:17:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-01 08:17
ComboFix2.txt 2010-05-29 23:27

Avant-CF: 1 101 312 000 octets libres
Après-CF: 1 060 220 928 octets libres

- - End Of File - - C60F797EE759FAD2FED7634F908A56D4

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
greekette 1 juin 2010 à 10:41
mon soucis c'est j'ai une connection hyper lente du style 1mbits/sec dur :-s

et que j'avais bien fait d'arrêter le peer2peer pcq ça m'aurait été fatal si j'avais continué

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
greekette 15 sept. 2010 à 20:48
si c'etait possible de continuer la désinfection, j'avais plus accès à mon PC depuis plus de deux mois

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Rootkit again and again » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?