Sujet Précédent Sujet Suivant

Virus

Fermé
mati62 - 16 juil. 2010 à 09:40
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 20 juil. 2010 à 10:11
Bonjour,

Je me permet de vous contacter car mon pc portable a quelques soucis en ce moment. Je suis infecte par un ou plusieurs virus qui rendent mon ordi inutilisable 9certains programme sont bloques notemment mon antivirus et zonealarm. J'aimerai avec votre aide faire un peu le menage.
je vous poste le rapport hijackthis que je viens e faire en mode sans echec en esperant que l'on puisse m'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:47:07, on 20/04/2005
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_17\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: flvdome - {b30ed45f-a0f8-1afb-0d87-d6a72424bd61} - C:\WINDOWS\system32\i_O6G3-H-w.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_17\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Jsijevadaza] rundll32.exe "C:\WINDOWS\abajabivebaxiti.dll",Startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [pfukqwye] C:\Documents and Settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Vtefininozuma] rundll32.exe "C:\WINDOWS\WMP471.dll",Startup
O4 - HKCU\..\Run: [pfukqwye] C:\Documents and Settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_17\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_17\bin\ssv.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: InterCasino France - {30C66393-FEF3-4758-BA00-803E3ABC88A2} - http://france.intercasino.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino France - {30C66393-FEF3-4758-BA00-803E3ABC88A2} - http://france.intercasino.com/ (file missing) (HKCU)
O16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} (SysInfo Class) - http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_1_0.cab
O16 - DPF: {93344865-74BD-4873-BE65-56539D41A65C} - https://www.e2l-net.com/plugin/Earn2Life.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

27 réponses

  • 1
  • 2
Réponse 1 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juil. 2010 à 09:57
slt
lance un rapport de suppression avec ad remover et colle nous le rapport


puis dis nous si l'antivirus et zone alarm remarchent
0
Réponse 2 / 27
mati62
16 juil. 2010 à 10:37
===== RAPPORT D'AD-REMOVER 1.1.4.5_S | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 02/09/2009 à 3:00 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 23:43:19, 20/04/2005 | Mode sans echec | Option: SCAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP(TM) v5.1.2600
Nom du PC: G-1CF5BB80BF604 | Utilisateur actuel: G'ricom
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\AppDataLow\HavingFunOnline
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Poker 770
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Poker 770
HKLM\Software\Poker 770
HKLM\Software\Trymedia Systems
HKU\S-1-5-21-1708537768-515967899-839522115-1004\Software\Eorezo
.
C:\DOCUME~1\GRICOM~1\APPLIC~1\EoRezo
C:\Poker\Poker 770
C:\Documents and Settings\G'ricom\Application Data\Eorezo
C:\DOCUME~1\ALLUSE~1\Bureau\Poker 770.lnk
.
============== Scan additionnel ==============
.
.
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://www.google.fr/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials ... ) ==============
.
C:\Documents and Settings\G'ricom\Mes documents\Playstation\PS3 PES\purde_patch.rar
.
.
===================================
.
2563 Octet(s) - C:\Ad-Report-SCAN.log
.
17 Fichier(s) - C:\DOCUME~1\GRICOM~1\LOCALS~1\Temp
387 Fichier(s) - C:\WINDOWS\Temp
.
0 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 23:51:42 | 20/04/2005
.
============== E.O.F ==============
.
0
Réponse 3 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 16/07/2010 à 11:00
j'avais mis un rapport de suppression et non de recherche

puis



télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 4 / 27
mati62
16 juil. 2010 à 11:41
voici le rapport ad remover, je m'occupe de combo fix mtn

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:50:47 le 21/04/2005, Mode sans echec

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Géricom@G-1CF5BB80BF604 ( )

============== ACTION(S) ==============


3,Fichier supprimé: C:\WINDOWS\system32\kDvMUxKGSQ-_.exe
0,Dossier supprimé: C:\Casino\21Nova Casino
0,Dossier supprimé: C:\Poker\Poker 770
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\21Nova Casino
0,Dossier supprimé: C:\Documents and Settings\Géricom\Application Data\EoRezo
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia
0,Dossier supprimé: C:\Program Files\Trymedia
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer
0,Fichier supprimé: C:\Documents and Settings\All Users\Bureau\21Nova Casino.lnk
0,Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Poker 770.lnk

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\kDvMUxKGSQ-_
0,Clé supprimée: HKLM\Software\32 Vegas Casino
0,Clé supprimée: HKCU\Software\32 Vegas Casino
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\32 Vegas Casino
0,Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A
0,Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 10646 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 21/04/2005 (2979 Octet(s))

Fin à: 00:58:55, 21/04/2005

============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juil. 2010 à 11:48
ok
0
Réponse 6 / 27
mati62
16 juil. 2010 à 12:42
et enfin le rapport combo fix

ComboFix 10-07-15.03 - Géricom 16/07/2010 12:21:03.3.1 - x86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.802 [GMT 2:00]
Lancé depuis: D:\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}
c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\chrome.manifest
c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\chrome\content\_cfg.js
c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\chrome\content\overlay.xul
c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\install.rdf
c:\windows\abajabivebaxiti.dll
c:\windows\system32\ESQULzxspectrum
c:\windows\WMP471.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
.

2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-16 10:31 . 2005-04-20 06:32 768000 ----a-w- c:\windows\system32\drivers\ehrxibgc.sys
2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Conference\\Conference.dll"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - PXHELP20
*Deregistered* - ehrxibgc
.
Contenu du dossier 'Tâches planifiées'

2005-04-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2005-04-20 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5643
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: tradedoubler.com\www
DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Vtefininozuma - c:\windows\WMP471.dll
HKLM-Run-Jsijevadaza - c:\windows\abajabivebaxiti.dll
AddRemove-Windows Casino - c:\casino\Windows Casino\_SetupCasino[1].exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-16 12:30
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ehrxibgc]

.
Heure de fin: 2010-07-16 12:34:27
ComboFix-quarantined-files.txt 2010-07-16 10:34

Avant-CF: 30 267 584 512 octets libres
Après-CF: 30 293 897 216 octets libres

- - End Of File - - D0CBCCDFB9E0771E4162180369D37183
0
mati62
16 juil. 2010 à 14:58
je peux acceder a mon antivcirus mtn, y a t il d'autre manipulation a effectuer ?
0
Réponse 7 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juil. 2010 à 15:01
ok il en reste

analyse sur virus total le fichier en gras suivant :https://www.virustotal.com/gui/

c:\windows\system32\drivers\ehrxibgc.sys

_________

puis
Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
? Enregistre-le sur ton bureau
? Lancer 'OAD.exe' en faisant un double clique sur le fichier
? Saisir la valeur recherchée -> ' kgvvayptssd ' ( fait un copier/coller )
? Type de recherche : sélectionner l'option 6 puis valide [entrée]
? OAD va maintenant rechercher le fichier.
? Laisse-le travailler jusqu'à ce qu'il en ait terminé.
? Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

? Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
? Faire un copier/coller de ce rapport dans ton prochain post.


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore
0
mati62
16 juil. 2010 à 15:12
en analysant le fichier virustotal me dit 0 bytes size received
0
Réponse 8 / 27
mati62
16 juil. 2010 à 15:20
le rapport donne

16/07/2010 ---- 15:17:26,37

----------------------------------
§§§§§§ [kgvvayptssd] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pfukqwye"="C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"

[HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\run]
"pfukqwye"="C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"

[HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"="kgvvayptssd"

*******************
[Fichier]
*******************

c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf


*********************
[Même date]
*********************

C:\Ad-Report-SCAN.log
C:\WINDOWS\asedoqevoyoxaj.dll
C:\WINDOWS\enusaqom.dll
C:\WINDOWS\inf
C:\WINDOWS\oqajuzes.dll
C:\WINDOWS\Ppegolinino.dat
C:\WINDOWS\system32\dllcache



----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Réponse 9 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juil. 2010 à 15:32
ok

analyse ces 3 fichiers sur virus total et colle nous les rapports

C:\WINDOWS\enusaqom.dll
C:\WINDOWS\oqajuzes.dll
C:\WINDOWS\Ppegolinino.dat

(et dis comme tu as fait si il fait O bits)
0
Réponse 10 / 27
mati62
16 juil. 2010 à 15:57
jai fait exactement la mm manipulation que pour ces trois fichier, mais il ne me donne rien
Voici le rapport des 3 fichiers

Fichier enusaqom.dll reçu le 2010.07.16 13:38:26 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 6/41 (14.64%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.16 -
AhnLab-V3 2010.07.16.00 2010.07.15 -
AntiVir 8.2.4.12 2010.07.16 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.16 -
Avast 4.8.1351.0 2010.07.16 -
Avast5 5.0.332.0 2010.07.16 -
AVG 9.0.0.836 2010.07.16 -
BitDefender 7.2 2010.07.16 Trojan.FakeAV.KZQ
CAT-QuickHeal 11.00 2010.07.16 -
ClamAV 0.96.0.3-git 2010.07.16 -
Comodo 5447 2010.07.16 -
DrWeb 5.0.2.03300 2010.07.16 -
eSafe 7.0.17.0 2010.07.15 -
eTrust-Vet 36.1.7714 2010.07.16 HTML/FakeAlert.BHB
F-Prot 4.6.1.107 2010.07.15 -
F-Secure 9.0.15370.0 2010.07.16 Trojan.FakeAV.KZQ
Fortinet 4.1.143.0 2010.07.16 -
GData 21 2010.07.16 Trojan.FakeAV.KZQ
Ikarus T3.1.1.84.0 2010.07.16 -
Jiangmin 13.0.900 2010.07.16 -
Kaspersky 7.0.0.125 2010.07.16 -
McAfee 5.400.0.1158 2010.07.16 -
McAfee-GW-Edition 2010.1 2010.07.16 -
Microsoft 1.6004 2010.07.16 -
NOD32 5283 2010.07.16 -
Norman 6.05.11 2010.07.16 -
nProtect 2010-07-16.01 2010.07.16 Trojan.FakeAV.KZQ
Panda 10.0.2.7 2010.07.15 -
PCTools 7.0.3.5 2010.07.16 -
Prevx 3.0 2010.07.16 -
Rising 22.56.04.04 2010.07.16 -
Sophos 4.55.0 2010.07.16 Mal/FakeAvHm-A
Sunbelt 6591 2010.07.16 -
Symantec 20101.1.1.7 2010.07.16 -
TheHacker 6.5.2.1.316 2010.07.16 -
TrendMicro 9.120.0.1004 2010.07.16 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.16 -
VBA32 3.12.12.6 2010.07.16 -
ViRobot 2010.7.12.3932 2010.07.16 -
VirusBuster 5.0.27.0 2010.07.16 -
Information additionnelle
File size: 2811 bytes
MD5...: f70585a45303cd2b2acfdaf6c755ebb5
SHA1..: 00996bc9393f100110ef2cafaf4cd3fba11a3cda
SHA256: a75256a2c1de254e6f8213b6d07286320980507b507bc605eacc074b6ef719fa
ssdeep: 48:yGMHyjuA1fmPGl/PFxHOHqz5fCcwkTvUHBvIrc:LMHIuGJu6axXN

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



Fichier oqajuzes.dll reçu le 2010.07.16 13:45:13 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 7/42 (16.67%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.16 -
AhnLab-V3 2010.07.16.00 2010.07.15 -
AntiVir 8.2.4.12 2010.07.16 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.16 -
Avast 4.8.1351.0 2010.07.16 -
Avast5 5.0.332.0 2010.07.16 -
AVG 9.0.0.836 2010.07.16 -
BitDefender 7.2 2010.07.16 Trojan.FakeAV.KZQ
CAT-QuickHeal 11.00 2010.07.16 -
ClamAV 0.96.0.3-git 2010.07.16 -
Comodo 5447 2010.07.16 -
DrWeb 5.0.2.03300 2010.07.16 -
eSafe 7.0.17.0 2010.07.15 -
eTrust-Vet 36.1.7714 2010.07.16 HTML/FakeAlert.BHB
F-Prot 4.6.1.107 2010.07.15 -
F-Secure 9.0.15370.0 2010.07.16 Trojan.FakeAV.KZQ
Fortinet 4.1.143.0 2010.07.16 -
GData 21 2010.07.16 Trojan.FakeAV.KZQ
Ikarus T3.1.1.84.0 2010.07.16 -
Jiangmin 13.0.900 2010.07.16 -
Kaspersky 7.0.0.125 2010.07.16 -
McAfee 5.400.0.1158 2010.07.16 -
McAfee-GW-Edition 2010.1 2010.07.16 -
Microsoft 1.6004 2010.07.16 -
NOD32 5283 2010.07.16 -
Norman 6.05.11 2010.07.16 -
nProtect 2010-07-16.01 2010.07.16 Trojan.FakeAV.KZQ
Panda 10.0.2.7 2010.07.15 -
PCTools 7.0.3.5 2010.07.16 -
Prevx 3.0 2010.07.16 -
Rising 22.56.04.04 2010.07.16 -
Sophos 4.55.0 2010.07.16 Mal/FakeAvHm-A
Sunbelt 6591 2010.07.16 -
SUPERAntiSpyware 4.40.0.1006 2010.07.16 Rogue.Agent/Gen-Nullo[DLL]
Symantec 20101.1.1.7 2010.07.16 -
TheHacker 6.5.2.1.316 2010.07.16 -
TrendMicro 9.120.0.1004 2010.07.16 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.16 -
VBA32 3.12.12.6 2010.07.16 -
ViRobot 2010.7.12.3932 2010.07.16 -
VirusBuster 5.0.27.0 2010.07.16 -
Information additionnelle
File size: 2811 bytes
MD5...: f70585a45303cd2b2acfdaf6c755ebb5
SHA1..: 00996bc9393f100110ef2cafaf4cd3fba11a3cda
SHA256: a75256a2c1de254e6f8213b6d07286320980507b507bc605eacc074b6ef719fa
ssdeep: 48:yGMHyjuA1fmPGl/PFxHOHqz5fCcwkTvUHBvIrc:LMHIuGJu6axXN

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -


Fichier Ppegolinino.dat reçu le 2010.07.16 13:51:26 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/42 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.16 -
AhnLab-V3 2010.07.16.00 2010.07.15 -
AntiVir 8.2.4.12 2010.07.16 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.16 -
Avast 4.8.1351.0 2010.07.16 -
Avast5 5.0.332.0 2010.07.16 -
AVG 9.0.0.836 2010.07.16 -
BitDefender 7.2 2010.07.16 -
CAT-QuickHeal 11.00 2010.07.16 -
ClamAV 0.96.0.3-git 2010.07.16 -
Comodo 5447 2010.07.16 -
DrWeb 5.0.2.03300 2010.07.16 -
eSafe 7.0.17.0 2010.07.15 -
eTrust-Vet 36.1.7714 2010.07.16 -
F-Prot 4.6.1.107 2010.07.15 -
F-Secure 9.0.15370.0 2010.07.16 -
Fortinet 4.1.143.0 2010.07.16 -
GData 21 2010.07.16 -
Ikarus T3.1.1.84.0 2010.07.16 -
Jiangmin 13.0.900 2010.07.16 -
Kaspersky 7.0.0.125 2010.07.16 -
McAfee 5.400.0.1158 2010.07.16 -
McAfee-GW-Edition 2010.1 2010.07.16 -
Microsoft 1.6004 2010.07.16 -
NOD32 5283 2010.07.16 -
Norman 6.05.11 2010.07.16 -
nProtect 2010-07-16.01 2010.07.16 -
Panda 10.0.2.7 2010.07.15 -
PCTools 7.0.3.5 2010.07.16 -
Prevx 3.0 2010.07.16 -
Rising 22.56.04.04 2010.07.16 -
Sophos 4.55.0 2010.07.16 -
Sunbelt 6591 2010.07.16 -
SUPERAntiSpyware 4.40.0.1006 2010.07.16 -
Symantec 20101.1.1.7 2010.07.16 -
TheHacker 6.5.2.1.316 2010.07.16 -
TrendMicro 9.120.0.1004 2010.07.16 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.16 -
VBA32 3.12.12.6 2010.07.16 -
ViRobot 2010.7.12.3932 2010.07.16 -
VirusBuster 5.0.27.0 2010.07.16 -
Information additionnelle
File size: 120 bytes
MD5...: 8efeabdeec3de81c3dc42a2801ddf461
SHA1..: 02f1032b36b1546af5815cd03befd0aa5a09b008
SHA256: 643f2d4a4311c9af9f31a361a0e827c1aaa6520328d1374e2ee4a65e6e9a2a37
ssdeep: 3:yxKdWoWgX6USwmaF5ctU0RpukCHeh2XVh:ycFWgX6LVTDUHM2Fh

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

trid..: Unknown!
0
Réponse 11 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 16/07/2010 à 16:05
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


Collect::
C:\WINDOWS\asedoqevoyoxaj.dll
C:\WINDOWS\enusaqom.dll
C:\WINDOWS\oqajuzes.dll
c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
c:\windows\system32\drivers\ehrxibgc.sys
C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
Driver::
ehrxibgc
registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pfukqwye"="-
[HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\run]
"pfukqwye"="-
[HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"=-



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 12 / 27
mati62
16 juil. 2010 à 16:31
ComboFix 10-07-15.03 - Géricom 16/07/2010 16:21:31.4.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.658 [GMT 2:00]
Lancé depuis: F:\ComboFix.exe
Commutateurs utilisés :: F:\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
.

2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-16 14:27 . 2005-04-20 06:32 768000 ----a-w- c:\windows\system32\drivers\ehrxibgc.sys
2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10c.exe" [2009-07-18 257440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Conference\\Conference.dll"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - ehrxibgc
.
Contenu du dossier 'Tâches planifiées'

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5643
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: tradedoubler.com\www
DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-16 16:26
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ehrxibgc]

.
Heure de fin: 2010-07-16 16:29:28
ComboFix-quarantined-files.txt 2010-07-16 14:29
ComboFix2.txt 2010-07-16 10:34

Avant-CF: 30 192 685 056 octets libres
Après-CF: 30 190 624 768 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 5D87EE18375377A221592D421AED64B8
0
Réponse 13 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juil. 2010 à 16:35
tu as mal fait nomme bien le fichier en CFscript (attention aux majuscules)


Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


Collect::
C:\WINDOWS\asedoqevoyoxaj.dll
C:\WINDOWS\enusaqom.dll
C:\WINDOWS\oqajuzes.dll
c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
c:\windows\system32\drivers\ehrxibgc.sys
C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
File::
C:\WINDOWS\asedoqevoyoxaj.dll
C:\WINDOWS\enusaqom.dll
C:\WINDOWS\oqajuzes.dll
c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
c:\windows\system32\drivers\ehrxibgc.sys
C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
Driver::
ehrxibgc
registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pfukqwye"="-
[HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\run]
"pfukqwye"="-
[HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"=-






Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 14 / 27
mati62
16 juil. 2010 à 17:03
ComboFix 10-07-15.03 - Géricom 16/07/2010 16:46:18.5.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.665 [GMT 2:00]
Lancé depuis: F:\ComboFix.exe
Commutateurs utilisés :: F:\CFscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"c:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"
"c:\documents and settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe"
"c:\windows\asedoqevoyoxaj.dll"
"c:\windows\enusaqom.dll"
"c:\windows\oqajuzes.dll"
"c:\windows\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf"
"c:\windows\system32\drivers\ehrxibgc.sys"

file zipped: c:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
file zipped: c:\windows\asedoqevoyoxaj.dll
file zipped: c:\windows\enusaqom.dll
file zipped: c:\windows\oqajuzes.dll
file zipped: c:\windows\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
file zipped: c:\windows\system32\drivers\ehrxibgc.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
c:\windows\asedoqevoyoxaj.dll
c:\windows\enusaqom.dll
c:\windows\oqajuzes.dll
c:\windows\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
c:\windows\system32\drivers\ehrxibgc.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EHRXIBGC
-------\Service_ehrxibgc


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
.

2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Conference\\Conference.dll"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5643
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: tradedoubler.com\www
DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-16 16:54
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys atapi.sys spyi.sys >>UNKNOWN [0x86B8D938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75d8f28
\Driver\ACPI -> ACPI.sys @ 0xf7411cb8
\Driver\atapi -> prosync1.sys @ 0xf7a7e651
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf71f5bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7202a21
SendHandler -> NDIS.sys @ 0xf71e087b
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2336)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Java\jre1.5.0_17\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-07-16 17:01:52 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-16 15:01
ComboFix2.txt 2010-07-16 14:29
ComboFix3.txt 2010-07-16 10:34

Avant-CF: 30 202 626 048 octets libres
Après-CF: 30 134 497 280 octets libres

- - End Of File - - 6A84B7649F44E50DABE9E86A5C2D5DA4
0
Réponse 15 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 16/07/2010 à 17:25
ok parfait
recommence la même chose avec ce texte:


Collect::
c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys
File::
c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj
c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys
Driver::
mdxgthkn
registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pfukqwye"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pfukqwye"=-




et colle le rapport
_________________

puis
scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

_________________

dis nous ensuite comment va ton pc? l'antivirus remarche? zone alarm?
0
Réponse 16 / 27
mati62
16 juil. 2010 à 17:45
ComboFix 10-07-15.03 - Géricom 16/07/2010 17:31:11.6.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.679 [GMT 2:00]
Lancé depuis: F:\ComboFix.exe
Commutateurs utilisés :: F:\CFscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
.

2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
"pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Conference\\Conference.dll"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
.
Contenu du dossier 'Tâches planifiées'

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5643
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: tradedoubler.com\www
DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-16 17:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-07-16 17:43:03
ComboFix-quarantined-files.txt 2010-07-16 15:43
ComboFix2.txt 2010-07-16 15:01
ComboFix3.txt 2010-07-16 14:29
ComboFix4.txt 2010-07-16 10:34

Avant-CF: 30 133 731 328 octets libres
Après-CF: 30 122 676 224 octets libres

- - End Of File - - 5A79A582CBBDF7D88D16957308D11749
0
Réponse 17 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juil. 2010 à 17:47
tu as mal fais cette fois encore le glissé / déposé , recommence

et nomme bien le fichier en CFscript
0
Réponse 18 / 27
mati62
16 juil. 2010 à 18:15
en esperant que cette fois soit la bonne, je ferqis lanalyse avec malaware demain, merci de laide
0
mati62
16 juil. 2010 à 18:15
ComboFix 10-07-15.03 - Géricom 16/07/2010 17:54:17.7.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.656 [GMT 2:00]
Lancé depuis: F:\ComboFix.exe
Commutateurs utilisés :: F:\CFscript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys"
"c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MDXGTHKN
-------\Service_mdxgthkn


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
.

2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Conference\\Conference.dll"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
.
Contenu du dossier 'Tâches planifiées'

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5643
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: tradedoubler.com\www
DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-16 18:02
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys atapi.sys splr.sys >>UNKNOWN [0x86B8E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75d8f28
\Driver\ACPI -> ACPI.sys @ 0xf7411cb8
\Driver\atapi -> prosync1.sys @ 0xf7a7e651
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf72b7bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72c4a21
SendHandler -> NDIS.sys @ 0xf72a287b
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(464)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Java\jre1.5.0_17\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-07-16 18:09:39 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-16 16:09
ComboFix2.txt 2010-07-16 15:43
ComboFix3.txt 2010-07-16 15:01
ComboFix4.txt 2010-07-16 14:29
ComboFix5.txt 2010-07-16 15:53

Avant-CF: 30 130 225 152 octets libres
Après-CF: 30 119 231 488 octets libres

- - End Of File - - 0BE5DEF481649D4A6B74714A761C1417
0
Réponse 19 / 27
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juil. 2010 à 18:20
ok c'est bon

fais le reste quand tu peux
0
Réponse 20 / 27
mati62
17 juil. 2010 à 02:33
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2726
Windows 5.1.2600 Service Pack 3

17/07/2010 02:31:16
mbam-log-2010-07-17 (02-31-07).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 211727
Temps écoulé: 8 hour(s), 0 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Ad-Remover\Quarantine\C\WINDOWS\system32\kDvMUxKGSQ-_.exe.vir (Trojan.BHO) -> No action taken.
C:\System Volume Information\_restore{5BDC1270-1411-4ABA-B27B-86698B96DB8B}\RP158\A0092505.exe (Trojan.BHO) -> No action taken.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses