Les Allergies
Alimentaires
Posez votre question Signaler

Trojans: "Crypt.ZPACJK.Gen" et "AgentBypass" [Résolu]

Mathieu_ 5Messages postés 1 juillet 2010Date d'inscription 1 juillet 2010Dernière intervention - Dernière réponse le 1 juil. 2010 à 18:40
Bonjour,
il se trouve que mon ordinateur démarre toujours plus lentement et même l'arret devient lentissime. Toutes operations sont ralenties, l'activité de SCVHOST bouffe 100% de la capacité de la machine même sans aucune application ouverte. Hier j'ai eu un écran rose. Avira à detecté que
C:\WINDOWS\system32\drivers\cuxhyo.sys
Contient le cheval de Troie TR/Crypt.ZPACK.Gen
et que
C:\Documents and Settings\Utilisateur\Local Settings\Temp\0.8202678925256222.exe
Contient le cheval de Troie TR/AgentBypass
Avira les a placé on quarantaine mais ça va pas du tout. Ici le résultat du dernier HijackThis, effectué hors réseau internet.
MERCI DE VOTRE AIDE, je suis au chômage non indemnisé, cet ordinateur est le seul que j'ai à dispo, SVP de m'aider, je pourrais même pas le faire réparer!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:31:18, on 01/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\acer\epm\epm-dm.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszpe32.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
Lire la suite 

Trojans: "Crypt.ZPACJK.Gen" et "AgentBypass" »

19 réponses
Réponse
+1
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 1 juil. 2010 à 14:52
Salut,

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.


Ajouter un commentaire - Site web
Mathieu_- 1 juil. 2010 à 16:10
Bonjour et merci de la réponse rapide.
Voici le rapport de ComboFix, après demarrage, la machine tourne encore à 100% et très lentement... Je vois que quelque chose a était supprimé.
Que je dois faire maintenant??


ComboFix 10-06-30.03 - Utilisateur 01/07/2010 15:11:29.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.230 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Utilisateur\Application Data\avdrn.dat
c:\program files\WinPCap
c:\program files\WinPCap\daemon_mgm.exe
c:\program files\WinPCap\npf_mgm.exe
c:\program files\WinPCap\rpcapd.exe
c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\wpcap.dll
c:\windows\Uninstall.ini

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.

2010-07-01 10:10 . 2010-07-01 10:10 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\MSNInstaller
2010-06-30 20:22 . 2010-06-30 20:22 401720 ----a-w- C:\HiJackThis.exe
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- c:\program files\trend micro
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- C:\rsit
2010-06-29 18:04 . 2010-06-29 18:04 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-06-29 16:11 . 2010-06-29 16:11 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-29 16:03 . 2010-06-29 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-27 21:57 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-06-03 14:05 . 2010-06-04 05:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-06-03 14:05 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-06-03 14:05 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-06-03 14:05 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-06-03 14:04 . 2010-06-03 14:05 -------- d-----w- c:\program files\Avira
2010-06-03 14:04 . 2010-06-03 14:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 13:51 . 2006-01-26 07:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-06-30 12:49 . 2010-06-30 12:49 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qcopjv.dat
2010-06-30 06:34 . 2010-06-30 06:34 16 ----a-w- c:\documents and settings\LocalService\Application Data\qcopjv.dat
2010-06-27 21:56 . 2010-06-27 21:55 16 ----a-w- c:\documents and settings\NetworkService\Application Data\qcopjv.dat
2010-05-24 20:03 . 2010-05-24 20:03 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-sse.dll
2010-05-24 20:03 . 2010-05-24 20:03 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcp71.dll
2010-05-24 20:03 . 2010-05-24 20:03 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\jmc.dll
2010-05-24 20:03 . 2010-05-24 20:03 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcr71.dll
2010-05-24 20:03 . 2010-05-24 20:03 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-d3d.dll
2010-05-17 15:09 . 2010-05-17 15:09 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcp71.dll
2010-05-17 15:09 . 2010-05-17 15:09 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\jmc.dll
2010-05-17 15:09 . 2010-05-17 15:09 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcr71.dll
2010-05-17 15:09 . 2010-05-17 15:09 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-sse.dll
2010-05-17 15:09 . 2010-05-17 15:09 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-d3d.dll
2010-05-13 11:22 . 2010-05-13 11:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-12 15:29 . 2010-05-17 15:09 411368 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-07 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-07 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-07 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 14743552]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-11 143360]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-08-18 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
siszpe32.exe [2008-4-14 32256]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

S1 ifr06fa;ifr06fa;c:\windows\system32\drivers\ifr06fa.sys --> c:\windows\system32\drivers\ifr06fa.sys [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - cuxhyo
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\74smzyi6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-GridVista - c:\windows\UnInst32.exe
AddRemove-HijackThis - c:\documents and settings\Utilisateur\Bureau\HijackThis.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 15:52
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cuxhyo]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2720)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\msls31.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\acer\eManager\anbmServ.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\windows\RTHDCPL.EXE
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-07-01 16:05:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-01 14:04

Avant-CF: 24 840 208 384 octets libres
Après-CF: 26 566 197 248 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 1CDEF0541EE9E60B211EFB84C34A0C00
Ajouter un commentaire
Réponse
+1
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 1 juil. 2010 à 16:14
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

driver::
cuxhyo
file::
c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrag\siszpe32.exe
C:\WINDOWS\system32\drivers\cuxhyo.sys


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://www.cijoint.fr/ et donne le lien ici dans un nouveau message.

Ajouter un commentaire - Site web
Mathieu_- 1 juil. 2010 à 16:24
Pour l'Antivir, j'y arrivais pas, il restait actif et le gestionnaire de tâches me permettait pas de désactiver l'"agent" : mais je suis en train de le supprimer. Je vais faire le truc du document texte comment tu as dit...
Malekal_morte-- 1 juil. 2010 à 16:26
ça ne devrait pas parvenir à tout supprimer.
Enfin pas le rootkit à priori.

Par contre tu devrais plus avoir les prb de CPU.
Mathieu_- 1 juil. 2010 à 16:56
Merci à nouveau.
La CPU tourne encore au maximum... même si le "mal" est ou semble supprimé.
Que je dois faire encore. J'ai sauvegardé mes docs et fichiers importants sur un disc dur extérieur, dois je formater et réinstaller XP ?

Voici le nouvel log de combofix aprés glissade du txt "cfsript" :

ComboFix 10-06-30.03 - Utilisateur 01/07/2010 16:32:37.2.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.212 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFScript.txt

FILE ::
"c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrag\siszpe32.exe"
"c:\windows\system32\drivers\cuxhyo.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\cuxhyo.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CUXHYO
-------\Service_cuxhyo


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.

2010-07-01 10:10 . 2010-07-01 10:10 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\MSNInstaller
2010-06-30 20:22 . 2010-06-30 20:22 401720 ----a-w- C:\HiJackThis.exe
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- c:\program files\trend micro
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- C:\rsit
2010-06-29 18:04 . 2010-06-29 18:04 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-06-29 16:11 . 2010-06-29 16:11 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-29 16:03 . 2010-06-29 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-27 21:57 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-06-03 14:05 . 2010-06-04 05:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 13:51 . 2006-01-26 07:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-06-30 12:49 . 2010-06-30 12:49 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qcopjv.dat
2010-06-30 06:34 . 2010-06-30 06:34 16 ----a-w- c:\documents and settings\LocalService\Application Data\qcopjv.dat
2010-06-27 21:56 . 2010-06-27 21:55 16 ----a-w- c:\documents and settings\NetworkService\Application Data\qcopjv.dat
2010-05-24 20:03 . 2010-05-24 20:03 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-sse.dll
2010-05-24 20:03 . 2010-05-24 20:03 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcp71.dll
2010-05-24 20:03 . 2010-05-24 20:03 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\jmc.dll
2010-05-24 20:03 . 2010-05-24 20:03 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcr71.dll
2010-05-24 20:03 . 2010-05-24 20:03 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-d3d.dll
2010-05-17 15:09 . 2010-05-17 15:09 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcp71.dll
2010-05-17 15:09 . 2010-05-17 15:09 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\jmc.dll
2010-05-17 15:09 . 2010-05-17 15:09 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcr71.dll
2010-05-17 15:09 . 2010-05-17 15:09 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-sse.dll
2010-05-17 15:09 . 2010-05-17 15:09 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-d3d.dll
2010-05-13 11:22 . 2010-05-13 11:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-12 15:29 . 2010-05-17 15:09 411368 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-07 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-07 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-07 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 14743552]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-11 143360]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-08-18 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\
siszpe32.exe [2008-4-14 32256]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

S1 ifr06fa;ifr06fa;c:\windows\system32\drivers\ifr06fa.sys --> c:\windows\system32\drivers\ifr06fa.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\74smzyi6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 16:41
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(444)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\acer\eManager\anbmServ.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-07-01 16:45:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-01 14:45
ComboFix2.txt 2010-07-01 14:05

Avant-CF: 26 660 241 408 octets libres
Après-CF: 26 642 513 920 octets libres

- - End Of File - - A1BB568509059E531D0AB7105C97D05B
Ajouter un commentaire
Réponse
+1
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 1 juil. 2010 à 17:02
nan pas besoin de formater :)


DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

file:: 
c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\siszpe32.exe


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://www.cijoint.fr/ et donne le lien ici dans un nouveau message.




Ajouter un commentaire - Site web
Mathieu_- 1 juil. 2010 à 17:05
Ok je vais faire comme-ça... Le rapport n'indique pas la présence de rootkit (chais même pas que ce-là signifie mais bon...).
Encore merci.
Ajouter un commentaire
Réponse
+0
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 1 juil. 2010 à 17:07
ha p'tain attends :\

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 1 juil. 2010 à 17:09
j'ai fait une boulette dans le premier script, c'est pour ça que le fichier siszpe32.exe
n'a pas été supprimé.

manque le e à la fin de démarrage \o

c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrag\siszpe32.exe

Faut refaire un CFScript avec le e et les accents dans le chemin !

J'ai édité là : http://www.commentcamarche.net/...

regarde bien d'avoir les accents et le e à démarrage :)

désolé :)



Ajouter un commentaire - Site web
Mathieu_- 1 juil. 2010 à 17:20
cacaboudin! je vais faire comme-ça alors (hrsement j'ai pas fait le deuxième txt
Mathieu_- 1 juil. 2010 à 18:22
Apparemment le UC ça va bien (2%), seulement pendant le travail de ComboFix, il y a eu une erreur PEV.exe qui n'a pourtant pas bloqué les étapes...
Bon.
Apparemment tout va bien là?
Que-ce que t'en penses?


Voici le dernier log aprés le CFScript reédité:



ComboFix 10-06-30.03 - Utilisateur 01/07/2010 17:58:57.3.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.278 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFScript.txt

FILE ::
"c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\siszpe32.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\siszpe32.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.

2010-07-01 10:10 . 2010-07-01 10:10 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\MSNInstaller
2010-06-30 20:22 . 2010-06-30 20:22 401720 ----a-w- C:\HiJackThis.exe
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- c:\program files\trend micro
2010-06-30 06:40 . 2010-06-30 06:40 -------- d-----w- C:\rsit
2010-06-29 18:04 . 2010-06-29 18:04 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-06-29 16:11 . 2010-06-29 16:11 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-29 16:03 . 2010-06-29 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-27 21:57 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-06-03 14:05 . 2010-06-04 05:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 13:51 . 2006-01-26 07:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-06-30 12:49 . 2010-06-30 12:49 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qcopjv.dat
2010-06-30 06:34 . 2010-06-30 06:34 16 ----a-w- c:\documents and settings\LocalService\Application Data\qcopjv.dat
2010-06-27 21:56 . 2010-06-27 21:55 16 ----a-w- c:\documents and settings\NetworkService\Application Data\qcopjv.dat
2010-05-24 20:03 . 2010-05-24 20:03 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-sse.dll
2010-05-24 20:03 . 2010-05-24 20:03 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcp71.dll
2010-05-24 20:03 . 2010-05-24 20:03 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\jmc.dll
2010-05-24 20:03 . 2010-05-24 20:03 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4e67bc77-n\msvcr71.dll
2010-05-24 20:03 . 2010-05-24 20:03 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7c4590b3-n\decora-d3d.dll
2010-05-17 15:09 . 2010-05-17 15:09 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcp71.dll
2010-05-17 15:09 . 2010-05-17 15:09 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\jmc.dll
2010-05-17 15:09 . 2010-05-17 15:09 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5f14ce12-n\msvcr71.dll
2010-05-17 15:09 . 2010-05-17 15:09 61440 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-sse.dll
2010-05-17 15:09 . 2010-05-17 15:09 12800 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-42675c4a-n\decora-d3d.dll
2010-05-13 11:22 . 2010-05-13 11:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-12 15:29 . 2010-05-17 15:09 411368 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-07-01_14.41.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-01 16:13 . 2010-07-01 16:13 16384 c:\windows\Temp\Perflib_Perfdata_6f8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-07 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-07 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-07 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 14743552]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-11 143360]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-08-18 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

S1 ifr06fa;ifr06fa;c:\windows\system32\drivers\ifr06fa.sys --> c:\windows\system32\drivers\ifr06fa.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - INT15.SYS
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\74smzyi6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 18:14
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3816)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\acer\eManager\anbmServ.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-07-01 18:18:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-01 16:18
ComboFix2.txt 2010-07-01 14:45
ComboFix3.txt 2010-07-01 14:05

Avant-CF: 26 623 049 728 octets libres
Après-CF: 26 607 878 144 octets libres

- - End Of File - - A279CD5F860BBE654BDF7BAD9214D581
Ajouter un commentaire
Réponse
+1
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 1 juil. 2010 à 18:24
c'est OK yep.
Désolé pour la boulette :)


Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.


Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Ajouter un commentaire - Site web
Afficher les 6 commentaires
Mathieu_- 1 juil. 2010 à 18:35
tiens! error 1327 lors de la suppression de adobe 7.0
je ne peux pas l'enlever???
Mathieu_- 1 juil. 2010 à 18:39
ah mais peut-être que il était installé sur F effectivement, je vais regarder le registre

bon merci encoreeeeeee
Malekal_morte-- 1 juil. 2010 à 18:40
y a une FAQ : http://kb2.adobe.com/cps/404/kb404946.html

:)
Ajouter un commentaire
Posez votre question
Ce document intitulé « Trojans: "Crypt.ZPACJK.Gen" et "AgentBypass" » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?