Rootkit agent [Résolu]

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 5 juil. 2010 à 09:49

SALUT

ET DEBRANCHE LE CABLE D4INTERNET QUAND TU TE SERT PAS DE TON PC

Utilise ce logiciel de diagnostic :

* Télécharge ZHPDiag
http://telechargement.zebulon.fr/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
http://www.cijoint.fr/

Ajouter un commentaire - Site web

Réponse

+0

kefir21 5 juil. 2010 à 18:11

Merci, voici le lien demandé avec le rapport

http://www.cijoint.fr/cjlink.php?file=cj201007/cijclYvaos.txt

Ajouter un commentaire

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 5 juil. 2010 à 19:25

re

tu nas pas supprimer des lignes par hasard ?
tu es sur que le rapport est bien entier que tu n'a rien oublai est supprimer car il en manque pas mal.

bon fait deja sa :

* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
http://chiquitine.changelog.fr/UsbFix.exe
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

puis

* Télécharge Malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
* Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
* Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

Ajouter un commentaire - Site web

Réponse

+0

kefir21 5 juil. 2010 à 20:35

Ajouter un commentaire

Réponse

+0

kefir21 5 juil. 2010 à 22:10

Voici l'autre rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4279

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

05/07/2010 21:48:42
mbam-log-2010-07-05 (21-48-42).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 284739
Temps écoulé: 1 heure(s), 15 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\System32\drivers\cqrsgva.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Ajouter un commentaire

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 6 juil. 2010 à 09:01

salut

c'est qu'oi le CD que tu as dans ton lecteur ?
c'est un CD quez tu as graver toi ?

ensuite on s'attaque au rootkit :

desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse

Ajouter un commentaire - Site web

Réponse

+0

kefir21 6 juil. 2010 à 18:52

je réactive mon anti virus?

Ajouter un commentaire

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 6 juil. 2010 à 18:57

non tu le desactive avant de telecharger le fichier, lance le fichier suit les instrcutions

une fois fini le scan, tu devras peut etre redemarrer ton PC manuellemnt si des fonctions ne marche pas ou si tu n'as plus internet.

et une fois redemarrer ton antivirus va ce reactiver automatiquement, si c'est pas le cas active le.

en attente du rapport que tu pourra retrouver dans C:/combofix.txt

Ajouter un commentaire - Site web

Réponse

+0

kefir21 6 juil. 2010 à 18:57

Bonjour, concernant le cd c'est un jeu que j'ai acheté à mon fils, j'avais oublié de le retirer.

Après avoir fait l'analyse avec combo, impossible d'aller sur internet autrement qu'en faisant "exécuter en tant qu'administrateur", est-ce normal?

voici le rapport. Je réactive l'antivirus?

ComboFix 10-07-05.03 - Admin 06/07/2010 18:30:09.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3326.2396 [GMT 2:00]
Lancé depuis: c:\users\Admin\Desktop\laetitia.exe
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 16:35 . 2010-07-06 16:35 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-07-06 16:35 . 2010-07-06 16:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-05 17:44 . 2010-07-05 17:54 739283 ----a-w- C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
2010-07-05 17:40 . 2010-07-05 17:54 -------- d-----w- C:\UsbFix
2010-07-05 08:02 . 2010-07-05 17:38 -------- d-----w- c:\program files\ZHPDiag

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 16:25 . 2009-11-05 16:55 -------- d-----w- c:\programdata\avg9
2010-07-06 16:21 . 2010-02-05 20:24 602 ----a-w- c:\programdata\ArcSoft\kodak-printcreations-22-080812-oem\acforall.dll
2010-07-05 17:59 . 2010-05-20 16:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-05 17:45 . 2008-04-10 22:28 690594 ----a-w- c:\windows\system32\perfh00C.dat
2010-07-05 17:45 . 2008-04-10 22:28 117366 ----a-w- c:\windows\system32\perfc00C.dat
2010-07-05 11:41 . 2010-03-11 19:40 1 ----a-w- c:\users\Admin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-07 06:09 . 2010-03-14 09:46 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-28 10:35 . 2010-05-28 10:35 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbFA58.tmp.exe
2010-05-22 07:44 . 2010-05-20 16:04 -------- d-----w- c:\program files\trend micro
2010-05-22 06:44 . 2010-05-20 17:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-22 06:40 . 2010-05-20 17:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-20 16:10 . 2010-01-28 13:28 1712 ----a-w- c:\users\Admin\AppData\Roaming\wklnhst.dat
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\programdata\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- dc-h--w- c:\programdata\{4C69BCF0-B586-4D30-83FD-D1FFA37AF48C}
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Fighters
2010-05-19 11:31 . 2010-05-19 11:31 16 ----a-w- c:\users\Admin\AppData\Roaming\wpcalv.dat
2010-05-15 22:03 . 2009-11-05 20:28 -------- d-----w- c:\users\Admin\AppData\Roaming\LimeWire
2010-05-15 16:08 . 2009-08-15 11:57 -------- d-----w- c:\program files\EasyBits For Kids
2010-05-15 16:04 . 2009-11-05 20:27 -------- d-----w- c:\program files\LimeWire
2010-05-12 09:21 . 2009-10-03 07:16 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-04-29 13:39 . 2010-05-22 07:53 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-05-22 07:53 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-16 11:18 . 2009-07-01 19:05 680 ----a-w- c:\users\Admin\AppData\Local\d3d9caps.dat
2010-04-09 10:37 . 2010-04-09 10:37 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-04-10 23:02 . 2008-04-10 22:30 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-04 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-11-15 44168]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel Kodak EasyShare.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel Kodak EasyShare.lnk
backup=c:\windows\pss\Logiciel Kodak EasyShare.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2010-03-18 10:19 207360 ----a-w- c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BIBLauncher]
2009-11-16 10:04 853736 ----a-w- c:\users\Admin\BIBLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPAdvisor]
2008-01-18 16:21 942080 ----a-w- c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
2007-04-18 15:01 65536 ----a-w- c:\hp\support\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2008-06-02 16:50 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
2006-12-08 15:16 65536 ----a-w- c:\hp\KBD\KbdStub.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-13 13:58 8530464 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-12-13 13:58 81920 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2007-12-13 13:58 86016 ----a-w- c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OsdMaestro]
2007-02-15 11:59 118784 ----a-w- c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-07-03 09:27 6266880 ----a-w- c:\windows\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2008-04-10 23:04 1232896 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-07-04 20:01 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-04-10 22:35 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate1ca4a4d6a2dccbb;Service Google Update (gupdate1ca4a4d6a2dccbb);c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 133104]
S2 ezntsvc;EasyBits Magic Desktop Services for Windows NT;c:\windows\system32\ezNTSvc.exe [2009-08-15 33792]
S4 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [x]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - AvgLdx86
*Deregistered* - cqrsgva
.
Contenu du dossier 'Tâches planifiées'

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-04 c:\windows\Tasks\HPCeeScheduleForAdmin.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-04-10 10:10]

2010-07-06 c:\windows\Tasks\User_Feed_Synchronization-{7E6065A7-C35F-4899-9C25-001C0B77A369}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-06 18:35
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cqrsgva]

.
Heure de fin: 2010-07-06 18:36:55
ComboFix-quarantined-files.txt 2010-07-06 16:36

Avant-CF: 347 607 932 928 octets libres
Après-CF: 347 613 089 792 octets libres

- - End Of File - - 8430753D411E1FA4971193E4DB4D87D0

Ajouter un commentaire

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 6 juil. 2010 à 20:01

oui reactive ton antivirus et redemarre ton PC pour regler les ptit disfonctionnement suite au passage de combo

si tu avais lu, tu aurai deja la reponse a tes questions que tu viens de poser :)

desinstalle aussi spybot, il est completment nul et surtout gene la desinfection !!

a+ tard pour le suite

Ajouter un commentaire - Site web

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 6 juil. 2010 à 20:06

Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :

killall::

rootkit::
C:\WINDOWS\System32\drivers\cqrsgva.sys

driver::
cqrsgva

reg::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cqrsgva]

Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

une fois fait sa reposte un nouveau ZHPdiag en l'hebergeant (voir 1er poste)

Ajouter un commentaire - Site web

Réponse

+0

kefir21 6 juil. 2010 à 21:31

par contre je ne parviens pas à exécuter zhp diag a chaque fois "create process a echoué; code 740; l'opération demandée necessite une élévation" ..... que dois je faire?

Ajouter un commentaire

Réponse

+0

kefir21 6 juil. 2010 à 21:58

ComboFix 10-07-05.03 - Admin 06/07/2010 21:03:23.3.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3326.2309 [GMT 2:00]
Lancé depuis: c:\users\Admin\Desktop\laetitia.exe
Commutateurs utilisés :: c:\users\Admin\Desktop\CFscript.txt
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CQRSGVA
-------\Service_cqrsgva

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 19:07 . 2010-07-06 19:09 -------- d-----w- c:\users\Admin\AppData\Local\temp
2010-07-06 19:07 . 2010-07-06 19:07 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-07-06 19:07 . 2010-07-06 19:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-06 16:28 . 2010-07-06 16:36 -------- d-----w- C:\laetitia
2010-07-05 17:44 . 2010-07-05 17:54 739283 ----a-w- C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
2010-07-05 17:40 . 2010-07-05 17:54 -------- d-----w- C:\UsbFix
2010-07-05 08:02 . 2010-07-05 17:38 -------- d-----w- c:\program files\ZHPDiag

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 19:09 . 2010-02-05 20:24 602 ----a-w- c:\programdata\ArcSoft\kodak-printcreations-22-080812-oem\acforall.dll
2010-07-06 19:08 . 2010-05-19 11:32 823808 ----a-w- c:\windows\system32\drivers\cqrsgva.sys
2010-07-06 19:01 . 2009-11-05 16:55 -------- d-----w- c:\programdata\avg9
2010-07-05 17:59 . 2010-05-20 16:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-05 17:45 . 2008-04-10 22:28 690594 ----a-w- c:\windows\system32\perfh00C.dat
2010-07-05 17:45 . 2008-04-10 22:28 117366 ----a-w- c:\windows\system32\perfc00C.dat
2010-07-05 11:41 . 2010-03-11 19:40 1 ----a-w- c:\users\Admin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-07 06:09 . 2010-03-14 09:46 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-28 10:35 . 2010-05-28 10:35 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbFA58.tmp.exe
2010-05-22 07:44 . 2010-05-20 16:04 -------- d-----w- c:\program files\trend micro
2010-05-22 06:44 . 2010-05-20 17:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-22 06:40 . 2010-05-20 17:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-21 12:14 . 2009-10-03 07:16 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-20 16:10 . 2010-01-28 13:28 1712 ----a-w- c:\users\Admin\AppData\Roaming\wklnhst.dat
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\programdata\Malwarebytes
2010-05-20 16:06 . 2010-05-20 16:06 -------- dc-h--w- c:\programdata\{4C69BCF0-B586-4D30-83FD-D1FFA37AF48C}
2010-05-20 16:06 . 2010-05-20 16:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Fighters
2010-05-19 11:31 . 2010-05-19 11:31 16 ----a-w- c:\users\Admin\AppData\Roaming\wpcalv.dat
2010-05-15 22:03 . 2009-11-05 20:28 -------- d-----w- c:\users\Admin\AppData\Roaming\LimeWire
2010-05-15 16:08 . 2009-08-15 11:57 -------- d-----w- c:\program files\EasyBits For Kids
2010-05-15 16:04 . 2009-11-05 20:27 -------- d-----w- c:\program files\LimeWire
2010-04-29 13:39 . 2010-05-22 07:53 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-05-22 07:53 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-16 11:18 . 2009-07-01 19:05 680 ----a-w- c:\users\Admin\AppData\Local\d3d9caps.dat
2010-04-09 10:37 . 2010-04-09 10:37 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-04-10 23:02 . 2008-04-10 22:30 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-04 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-11-15 44168]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel Kodak EasyShare.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel Kodak EasyShare.lnk
backup=c:\windows\pss\Logiciel Kodak EasyShare.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2010-03-18 10:19 207360 ----a-w- c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BIBLauncher]
2009-11-16 10:04 853736 ----a-w- c:\users\Admin\BIBLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPAdvisor]
2008-01-18 16:21 942080 ----a-w- c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
2007-04-18 15:01 65536 ----a-w- c:\hp\support\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2008-06-02 16:50 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
2006-12-08 15:16 65536 ----a-w- c:\hp\KBD\KbdStub.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-13 13:58 8530464 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-12-13 13:58 81920 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2007-12-13 13:58 86016 ----a-w- c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OsdMaestro]
2007-02-15 11:59 118784 ----a-w- c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-07-03 09:27 6266880 ----a-w- c:\windows\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2008-04-10 23:04 1232896 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-07-04 20:01 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-04-10 22:35 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
Contenu du dossier 'Tâches planifiées'

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-11 08:32]

2010-07-04 c:\windows\Tasks\HPCeeScheduleForAdmin.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-04-10 10:10]

2010-07-06 c:\windows\Tasks\User_Feed_Synchronization-{7E6065A7-C35F-4899-9C25-001C0B77A369}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\system32\ezNTSvc.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-07-06 21:15:05 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-06 19:15
ComboFix2.txt 2010-07-06 16:36

Avant-CF: 348 929 265 664 octets libres
Après-CF: 349 193 400 320 octets libres

- - End Of File - - A84291C95F5615F0AE5F4D1EFF61E13F

Ajouter un commentaire

Réponse

+0

kefir21 6 juil. 2010 à 22:01

cela fait plusieurs fois que je poste le rapport combo, ca a l'air de marcher mais quand je retourne dans la discussion celui-ci n'apparait pas; vous est-il parvenu?

Ajouter un commentaire

Réponse

+0

kefir21 7 juil. 2010 à 07:40

pardon je viens de voir que c'est ok

Ajouter un commentaire

Réponse

+0

kefir21 7 juil. 2010 à 07:50

Voila pr zhpdiag je viens de reussir

http://www.cijoint.fr/cjlink.php?file=cj201007/cijQFbUEuk.txt

Ajouter un commentaire

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 7 juil. 2010 à 10:08

slt

faut refaire le rootkit n'a pas etai supprimer :

Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :

killall::

file::
c:\users\Admin\AppData\Roaming\wpcalv.dat
c:\users\Admin\AppData\Roaming\wklnhst.dat
c:\windows\system32\drivers\cqrsgva.sys

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:5555

Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

puis il reste ds traces d'adware

Télécharge AD-Remover (de C_XX) sur ton Bureau.
http://forum-aide-contre-virus.be/download/C_XX/AD-R.exe
:!: Déconnecte toi et ferme toutes les applications en cours :!:
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

et ensuite sa devrais aller pas mal normalement

Ajouter un commentaire - Site web

Réponse

+0

kefir21 7 juil. 2010 à 10:56

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:44:54 le 07/07/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
Admin@PC-DE-ADMIN (HP-Pavilion KT600AA-ABF a6443.fr)

============== ACTION(S) ==============

0,Dossier supprimé: C:\Users\Admin\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.

-- Fichier ouvert: C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\8686g9w5.default\Prefs.js --
Ligne supprimée: user_pref("CT2186548.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT218...
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "P2P Max France Customized Web Search");
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2186548&Sea...
-- Fichier Fermé --

0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\8686g9w5.default\Prefs.js --
browser.search.selectedEngine, Search
browser.startup.homepage, hxxp://www.pucuy.com
browser.startup.homepage, hxxp://www.pucuy.com
keyword.URL, hxxp://fr.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_fr&p=

========================================

** Internet Explorer Version [8.0.6001.18904] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/07/2010 (2920 Octet(s))

Fin à: 10:46:01, 07/07/2010

============== E.O.F ==============

Ajouter un commentaire

Réponse

+0

plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 7 juil. 2010 à 12:46

en theorie vaut mieux faire sa avant, bref le faire dans l'ordre mit la prochaine fois...

Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :

killall::

file::
c:\users\Admin\AppData\Roaming\wpcalv.dat
c:\users\Admin\AppData\Roaming\wklnhst.dat
c:\windows\system32\drivers\cqrsgva.sys

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:5555

Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Ajouter un commentaire - Site web

Réponse

+0

kefir21 7 juil. 2010 à 13:23

J'ai bien fait combo avant et j'ai posté le rapport mais à priori ca n'a pas marché. A chaque fois j'ai beaucoup de mal à poster les rapports combo

Ajouter un commentaire

kefir21 - 7 juil. 2010 à 13:24

je réessaie

plopus- 7 juil. 2010 à 15:16

au pire clic sur mon nom st poste le rapport en MP (message privée)

il doit y avoir un mot blacklister dedans ou appui sur signaler et tu lmarque que le rapport en passe pas

Rootkit agent »

Passage au tout numérique : quel coût pour les particuliers ?