infection par un malwareFermé

Question

Bonjour, 
jai été recemment infecté par un malware qui redirige mes recherches googles vers des sites de pub et de faux antivirus comme  packupdate107_231.exe et fait considerablement ramé mon ordi .J'avais avast et jai installé antivir qui a détécté le virus dans le fichier explorer.exe et winlogon.exe je lai supprimer mais au redemarrage impossible d'afficher le bureau jai donc fait une restauration systeme et c'est revenu mais j'ai toujours le virus . J'ai aussi installé hijackthis et malwares bytes mais tout deux n'on rien trouvé , a votre demande je posterai les rapports.
merci d'avance pour votre aide .
darreugne



Configuration: Windows Vista / Internet Explorer 8.0

Utilisateur anonyme · Accepted Answer

Bonsoir

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

Utilisateur anonyme · Answer

merci de votre reponse voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijQloIWhg.txt
en esperant que ca vous aide .

Utilisateur anonyme · Answer

Bonjour

Excuse moi ;je t'avais oublié.

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

Utilisateur anonyme · Answer

Merci de ta reponse je teste et te tiens au courant

Darreugne · Answer

Et suis je infecté ou pas ?

Utilisateur anonyme · Answer

voici le rapport :
ComboFix 10-10-01.01 - papa 02/10/2010  11:26:39.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3069.1822 [GMT 2:00]
Lancé depuis: c:\users\penelope\Desktop\asdehi.exe
.
[i] ADS - Windows: deleted 24 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\FlashGet Network
c:\users\papa\AppData\Roaming\BITS
c:\users\papa\AppData\Roaming\BITS\BITS.ini
c:\users\papa\AppData\Roaming\BITS\P2PCfg.ini
c:\users\papa\AppData\Roaming\BITS\UPnP.ini
c:\users\papa\AppData\Roaming\FlashGetBHO
c:\users\papa\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll
c:\users\papa\AppData\Roaming\FlashGetBHO\FlashGetHook.dll
c:\users\papa\AppData\Roaming\FlashGetBHO\GetAllUrl.htm
c:\users\papa\AppData\Roaming\FlashGetBHO\GetUrl.htm
c:\users\papa\AppData\Roaming\inst.exe
c:\windows\desktop
c:\windows\desktop\Saitek Gaming Extensions.lnk
c:\windows\libem.INI
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\muzapp.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

c:\windows\explorer.exe . . . est infecté!!

c:\windows\System32\wininit.exe . . . est infecté!!

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-02 au 2010-10-02  ))))))))))))))))))))))))))))))))))))
.

2010-10-02 10:18 . 2010-10-02 10:18	--------	d-----w-	c:\users\penelope\AppData\Local	emp
2010-10-02 10:18 . 2010-10-02 10:18	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-02 10:18 . 2010-10-02 10:19	--------	d-----w-	c:\users\papa\AppData\Local	emp
2010-10-02 10:18 . 2010-10-02 10:18	--------	d-----w-	c:\users	imothee\AppData\Local	emp
2010-10-02 10:18 . 2010-10-02 10:18	--------	d-----w-	c:\users\maman\AppData\Local	emp
2010-10-02 10:17 . 2010-10-02 10:17	--------	d-----w-	c:\users\enguerrand\AppData\Local	emp
2010-10-02 08:52 . 2010-10-02 08:52	--------	d-----w-	c:\windows\system32\wbemepository
2010-10-01 17:07 . 2010-10-01 17:14	--------	d-----w-	c:\program files\ZHPDiag2
2010-10-01 16:52 . 2010-10-02 08:03	--------	d-----w-	c:\program files\ZHPDiag
2010-10-01 16:17 . 2010-10-01 16:17	--------	d-----w-	c:\users\papa\AppData\Roaming\Yahoo!
2010-10-01 16:17 . 2010-10-02 08:03	--------	d-----w-	c:\program files\Yahoo!
2010-09-26 16:12 . 2010-09-26 16:12	--------	d-----w-	c:\programdata\Avira
2010-09-26 16:12 . 2010-09-26 16:12	--------	d-----w-	c:\program files\Avira
2010-09-25 18:57 . 2010-09-25 18:57	--------	d-----w-	c:\users\penelope\AppData\Roaming\Malwarebytes
2010-09-25 17:04 . 2010-10-02 08:44	--------	d-----w-	c:\program files\CCleaner
2010-09-25 16:50 . 2010-09-25 16:50	35	----a-w-	c:\users\papa\AppData\Roaming\SetValue.bat
2010-09-25 16:13 . 2010-09-25 16:13	--------	d-----w-	c:\users\enguerrand\AppData\Roaming\Malwarebytes
2010-09-25 14:57 . 2010-09-25 14:57	--------	d-----w-	c:\users\papa\AppData\Roaming\Malwarebytes
2010-09-25 14:57 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-25 14:57 . 2010-09-25 14:57	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-25 14:57 . 2010-09-25 14:57	--------	d-----w-	c:\programdata\Malwarebytes
2010-09-25 14:57 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-24 20:19 . 2010-09-24 20:19	--------	d-----w-	c:\users\penelope\AppData\Roaming\The Creative Assembly
2010-09-24 12:32 . 2010-09-24 12:32	--------	d-----w-	c:\users\papa\AppData\Roaming\The Creative Assembly
2010-09-24 12:28 . 2010-09-24 12:28	--------	d-----w-	c:\users\enguerrand\AppData\Roaming\The Creative Assembly
2010-09-23 14:23 . 2010-09-23 14:23	40222	----a-w-	c:\users\papa\AppData\Roaming\Microsoft\Inst\Mon\F\x.exe
2010-09-23 13:59 . 2010-09-23 16:51	--------	d-----w-	c:\program files\Common Files\Steam
2010-09-23 13:59 . 2010-10-02 08:44	--------	d-----w-	c:\program files\Steam
2010-09-22 15:13 . 2010-09-22 15:13	1894294	----a-w-	c:\users\Public\samp03bsvr_R2_win32.zip
2010-09-22 14:53 . 2010-09-22 14:53	--------	d-----w-	c:\program files\Maïdo Production
2010-09-20 16:44 . 2010-09-20 16:44	511664	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtbE75.tmp.exe
2010-09-20 16:40 . 2010-09-20 16:41	--------	d-----w-	c:\users	imothee\AppData\Local\Adobe
2010-09-15 14:36 . 2010-04-05 17:02	317952	----a-w-	c:\windows\system32\MP4SDECD.DLL
2010-09-15 14:36 . 2010-04-16 16:46	502272	----a-w-	c:\windows\system32\usp10.dll
2010-09-15 14:36 . 2010-08-17 14:11	128000	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-15 14:36 . 2010-05-27 20:08	739328	----a-w-	c:\windows\system32\inetcomm.dll
2010-09-11 16:33 . 2010-09-11 16:33	--------	d-----w-	c:\users\penelope\AppData\Roaming\CASIO
2010-09-11 16:33 . 2010-09-11 16:37	128	---ha-r-	c:\programdata\CASIO\Manager PLUS Trial\VZLlibC.dll
2010-09-11 16:33 . 2010-09-11 16:33	64	---ha-r-	c:\programdata\CASIO\Manager PLUS Trial\FYl32C.dll
2010-09-11 16:32 . 2010-09-11 16:34	--------	d-----w-	c:\program files\CASIO
2010-09-11 16:32 . 2010-09-11 16:32	--------	d-----w-	c:\programdata\CASIO
2010-09-11 16:23 . 2010-09-11 16:23	--------	d-----w-	C:\FXIWIN19
2010-09-11 16:23 . 1994-09-16 11:00	20976	----a-w-	c:\windows\system\CTL3D.DLL
2010-09-11 14:30 . 2010-09-11 14:30	3218432	----a-w-	c:\users\Public\umbrella-4.1.3.exe
2010-09-08 13:48 . 2010-09-08 13:48	--------	d-----w-	c:\users\papa\AppData\Roaming\FlashGet
2010-09-08 12:50 . 2010-09-08 12:51	--------	d-----w-	c:\users\enguerrand\AppData\Roaming\Download Manager
2010-09-08 12:14 . 2010-09-08 12:15	--------	d-----w-	C:\Hive
2010-09-05 17:03 . 2010-09-05 17:03	45056	----a-r-	c:\users\papa\AppData\Roaming\Microsoft\Installer\{0C38DE0A-5FC3-47E8-9FD0-69B5DC75FFB7}\NewShortcut111_0C38DE0A5FC347E89FD069B5DC75FFB7.exe
2010-09-05 17:03 . 2010-09-05 17:03	45056	----a-r-	c:\users\papa\AppData\Roaming\Microsoft\Installer\{0C38DE0A-5FC3-47E8-9FD0-69B5DC75FFB7}\NewShortcut11_0C38DE0A5FC347E89FD069B5DC75FFB7.exe
2010-09-05 17:03 . 2010-09-05 17:03	45056	----a-r-	c:\users\papa\AppData\Roaming\Microsoft\Installer\{0C38DE0A-5FC3-47E8-9FD0-69B5DC75FFB7}\ARPPRODUCTICON.exe
2010-09-05 17:03 . 2010-09-05 17:03	40960	----a-r-	c:\users\papa\AppData\Roaming\Microsoft\Installer\{0C38DE0A-5FC3-47E8-9FD0-69B5DC75FFB7}\NewShortcut3_0C38DE0A5FC347E89FD069B5DC75FFB7.exe
2010-09-05 16:49 . 2010-09-05 16:49	--------	d-----w-	c:\program files\HIP GAMES
2010-09-05 12:47 . 2010-10-02 08:44	--------	d-----w-	c:\users\enguerrand\AppData\Roaming\vlc
2010-09-05 12:09 . 2010-10-02 08:44	--------	d-----w-	c:\users\papa\AppData\Roaming\vlc

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 09:52 . 2010-06-20 11:10	--------	d-----w-	c:\program files\Common Files\Akamai
2010-10-02 08:44 . 2010-04-12 09:11	--------	d-----w-	c:\program files\vtech
2010-10-02 08:44 . 2009-08-18 17:29	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-09-25 16:50 . 2010-09-25 16:50	691	----a-w-	c:\users\papa\AppData\Roaming\GetValue.vbs
2010-09-23 07:45 . 2008-01-21 08:40	760184	----a-w-	c:\windows\system32\perfh00C.dat
2010-09-23 07:45 . 2008-01-21 08:40	158016	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-22 17:39 . 2009-08-26 18:13	--------	d-----w-	c:\users\papa\AppData\Roaming\Skype
2010-09-22 15:36 . 2009-10-29 17:37	--------	d-----w-	c:\program files\Scribus 1.3.3.13
2010-09-22 14:53 . 2010-09-22 14:53	--------	d-----w-	c:\program files\Maïdo Production
2010-09-20 16:42 . 2009-09-03 15:59	73848	----a-w-	c:\users	imothee\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-16 11:02 . 2009-06-25 14:15	--------	d-----w-	c:\programdata\Microsoft Help
2010-09-16 11:01 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-09-15 06:50 . 2009-08-01 11:24	73848	----a-w-	c:\users\papa\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-15 06:48 . 2009-08-12 20:05	73848	----a-w-	c:\users\maman\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-12 14:52 . 2009-10-30 19:25	73848	----a-w-	c:\users\penelope\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-12 14:47 . 2009-08-01 12:48	73848	----a-w-	c:\users\enguerrand\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-11 16:32 . 2006-11-02 10:25	51200	----a-w-	c:\windows\Inf\infpub.dat
2010-09-11 16:32 . 2006-11-02 10:25	143360	----a-w-	c:\windows\Inf\infstrng.dat
2010-09-11 16:32 . 2006-11-02 10:25	143360	----a-w-	c:\windows\Inf\infstor.dat
2010-09-07 15:12 . 2010-08-15 17:52	38848	----a-w-	c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-08-15 17:52	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-08-15 17:53	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-08-15 17:53	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-08-15 17:53	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-08-15 17:52	50768	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2010-09-07 14:47 . 2010-08-15 17:53	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-09-05 15:45 . 2010-02-14 14:36	--------	d-----w-	c:\program files\Cossacks - Back To War
2010-08-31 13:17 . 2010-03-28 14:23	--------	d-----w-	c:\users\enguerrand\AppData\Roaming\codeblocks
2010-08-31 09:56 . 2009-09-09 11:22	1356	----a-w-	c:\users\enguerrand\AppData\Local\d3d9caps.dat
2010-08-29 17:31 . 2010-08-29 16:44	--------	d-----w-	c:\users\enguerrand\AppData\Roaming\Xfire
2010-08-29 17:00 . 2010-08-29 17:00	--------	d-----w-	c:\programdata\Xfire
2010-08-29 16:27 . 2010-02-15 14:38	--------	d-----w-	c:\program files\THQ
2010-08-29 16:27 . 2009-06-25 13:42	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-08-29 16:26 . 2010-08-29 16:26	--------	d-----w-	c:\users\enguerrand\AppData\Roaming\InstallShield
2010-08-16 15:59 . 2009-06-25 14:17	--------	d-----w-	c:\program files\Microsoft Works
2010-08-15 17:52 . 2010-08-15 17:52	--------	d-----w-	c:\programdata\Alwil Software
2010-08-15 17:52 . 2010-08-15 17:52	--------	d-----w-	c:\program files\Alwil Software
2010-08-13 09:36 . 2010-04-25 16:24	--------	d-----w-	c:\program files\Common Files\Adobe
2010-08-12 13:53 . 2010-08-12 13:53	--------	d-----w-	c:\program files\MTA San Andreas
2010-08-10 10:58 . 2010-04-29 16:56	--------	d-----w-	c:\program files\Common Files\Blizzard Entertainment
2010-07-26 16:16 . 2010-07-26 16:16	99290	----a-r-	c:\users\enguerrand\AppData\Roaming\Microsoft\Installer\{C95A141D-D3AB-413E-A1C4-7E7C4E0CBA3E}\_07FC018F53ABB69236099D.exe
2010-07-09 19:04 . 2010-07-09 19:04	41872	----a-w-	c:\windows\system32\xfcodec.dll
.

------- Sigcheck -------

[-] 2009-04-11 . 5173CAD343EC848C74DC8B3CACAE9F13 . 2926592 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[7] 2009-04-11 . D07D4C3038F3578FFCE1C0237F2A1253 . 2926592 . . [6.0.6002.18005] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe
[7] 2008-10-30 . 50BA5850147410CDE89C523AD3BC606E . 2927616 . . [6.0.6001.22298] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[7] 2008-10-29 . 4F554999D7D5F05DAAEBBA7B5BA1089D . 2927104 . . [6.0.6001.18164] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[7] 2008-10-29 . 37440D09DEAE0B672A04DCCF7ABF06BE . 2923520 . . [6.0.6000.16771] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[7] 2008-10-28 . E7156B0B74762D9DE0E66BDCDE06E5FB . 2923520 . . [6.0.6000.20947] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[7] 2008-01-21 . FFA764631CB70A30065C12EF8E174F9F . 2927104 . . [6.0.6001.18000] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe

[-] 2008-01-21 . 3BFFB7DDD558C735A7D77828248B280B . 96768 . . [6.0.6000.16386] . . c:\windows\System32\wininit.exe
[7] 2008-01-21 . 101BA3EA053480BB5D957EF37C06B5ED . 96768 . . [6.0.6001.18000] . . c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Steam"="c:\program files\Steam\Steam.exe" [2010-09-23 1242448]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-25 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
"Toshiba TEMPRO"="c:\program files\Toshiba TEMPRO\TemproTray.exe" [2009-03-23 1045904]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-21 61440]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2009-03-06 468320]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2009-03-09 55160]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2009-03-31 503808]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2009-03-23 729088]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-05-15 7514656]
"ToshibaServiceStation"="c:\program files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2009-04-01 1283384]
"NDSTray.exe"="c:\program files\TOSHIBA\ConfigFree\NDSTray.exe" [2009-06-03 304496]
"cfFncEnabler.exe"="c:\program files\TOSHIBA\ConfigFree\cfFncEnabler.exe" [2009-05-21 21840]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba	raybar.exe" [2008-09-26 417792]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-03-04 96144]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-05-07 591696]
"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]
"SAITEKAUTOCONFIGURE"="c:\users\Public\a installer absolument\saicnfig.exe" [2000-08-02 45056]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-06-20 500208]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2009-01-29 57344]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe" [2009-03-16 6158240]

c:\users\enguerrand\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
Sommaire de OneNote.onetoc2 [2009-10-30 3656]

c:\users\maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-2-24 391072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 135664]
R3 CacheDump;CacheDump;c:\users\penelope\AppData\Local\Temp\cachedump.exe [x]
R3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\DRIVERS\fantom.sys [2006-03-10 39424]
R3 PVUSB;CESG502 USB Driver;c:\windows\system32\DRIVERS\CESG502.sys [2007-03-13 47648]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-09-19 98432]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-09-19 14848]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-09-19 123648]
R3 ss_bserd;SAMSUNG USB Mobile Logging Driver;c:\windows\system32\DRIVERS\ss_bserd.sys [2009-09-19 100224]
R3 WMSvc;Service de gestion Web;c:\windows\system32\inetsrv\wmsvc.exe [2008-01-21 11264]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R3 wxpSvc;webcamXP Service;c:\program files\wLite\wService.exe [2010-05-02 5027328]
S1 aswSP;aswSP; [x]
S1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\system32\DRIVERStlprot.sys [2007-04-23 25896]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 21504]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-04-21 176128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2009-12-22 95568]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-12-22 217088]
S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers
pf.sys [2009-10-20 50704]
S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-03-23 116104]
S2 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-04-01 62776]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2009-12-22 18136]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-12-22 36640]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-20 7168]
S3 rtl819xp;Pilote NT pour carte réseau (Mini-) PCI Realtek RTL8190\RTL8192E pour réseau Wi-Fi 802.11n;c:\windows\system32\DRIVERStl819xp.sys [2009-03-09 500224]
S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe [2008-08-25 77824]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
rsmsvcs	REG_MULTI_SZ   	ntmssvc
Akamai	REG_MULTI_SZ   	Akamai
.
Contenu du dossier 'Tâches planifiées'

2010-10-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 17:40]

2010-10-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 17:40]

2010-10-02 c:\windows\Tasks\User_Feed_Synchronization-{646052C7-A1D1-4D9C-B27A-217323826F7B}.job
- c:\windows\system32\msfeedssync.exe [2010-08-15 04:24]

2010-10-02 c:\windows\Tasks\User_Feed_Synchronization-{974D65D5-D6FC-4713-81C6-AA1F522D3183}.job
- c:\windows\system32\msfeedssync.exe [2010-08-15 04:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 192.168.0.2:80
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2D06158FAC79A790.dll/cmsidewiki.html
IE: ????3?? - c:\users\papa\AppData\Roaming\FlashGetBHO\GetUrl.htm
IE: ????3?????? - c:\users\papa\AppData\Roaming\FlashGetBHO\GetAllUrl.htm
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
LSP: c:\windows\system32\wpclsp.dll
TCP: {52427AB2-639B-47E8-A8B9-79213A433AC2} = 8.8.8.8,8.8.4.4
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-TOSCDSPD - TOSCDSPD.EXE
HKCU-Run-FlashGet 3 - c:\program files\FlashGet Network\FlashGet 3\FlashGet3.exe
HKLM-Run-InstallMon - c:\users\papa\AppData\Roaming\fbx.exe
AddRemove-Getif 2.2 - c:\program files\Getif 2.2\Uninst.isu
AddRemove-Oxygène - c:\program files\Memsoft Oxygene 8\uninst.exe
AddRemove-wLite - c:\program files\wLite\wl-uninst.exe
AddRemove-01_Simmental - c:\program files\SAMSUNG\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\SAMSUNG\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\SAMSUNG\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\SAMSUNG\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\program files\SAMSUNG\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-02 12:19
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\wxpSvc]
"ImagePath"="c:\program files\wLite\wService.exe /startedbyscm:5053B757-40E35B3B-webcamSRV"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-517348800-1394076694-509466007-1000\Software\Microsoft\Internet Explorer\MenuExt\O(uë_f 3*N} ]
@Allowed: (Read) (RestrictedCode)
@="c:\Users\papa\AppData\Roaming\FlashGetBHO\GetUrl.htm"
"contexts"=dword:00000022

[HKEY_USERS\S-1-5-21-517348800-1394076694-509466007-1000\Software\Microsoft\Internet Explorer\MenuExt\O(uë_f 3*N} hQè þ"¥c]
@Allowed: (Read) (RestrictedCode)
@="c:\Users\papa\AppData\Roaming\FlashGetBHO\GetAllUrl.htm"
"contexts"=dword:000000f3

[HKEY_USERS\S-1-5-21-517348800-1394076694-509466007-1000\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-10-02  12:25:26
ComboFix-quarantined-files.txt  2010-10-02 10:25

Avant-CF: 37 870 313 472 octets libres
Après-CF: 42 966 466 560 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=1 Sets=1,2,3,4,5,6
- - End Of File - - B54A9CA0003D606D9E1EFF7D2E6EE0A3

Utilisateur anonyme · Answer

Re

                           ___________________________________ 
ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===| 
                ----------------------------------------------------------------------------------------------- 

Toujours avec toutes les protections désactivées, fais ceci : 

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) 
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : 

                                       ---------------------------------------------------------- 


KillAll:: 

File::
c:\users\papa\AppData\Roaming\Microsoft\Inst\Mon\F\x.exe
c:\users\Public\samp03bsvr_R2_win32.zip
c:\programdata\CASIO\Manager PLUS Trial\VZLlibC.dll
c:\programdata\CASIO\Manager PLUS Trial\FYl32C.dll
c:\users\Public\umbrella-4.1.3.exe

Fcopy::
c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe | c:\windows\explorer.exe    
c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe | c:\windows\System32\wininit.exe    



                              -----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt 
* Quitte le Bloc Notes 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US 
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+

Darreugne · Answer

Merci braucoup je teste ceci et te poste le rapport a+

Utilisateur anonyme · Answer

voici le rapport je precise que suite a cette manip je n'ai plus de bureau ni de barre des taches !! sauf en mode sans echec
lorsque j'essaye de le lancer par processus ca me dit explorer.exe contien un virus ipossible de terminer l'operation !
que faire ?
rapport:
ComboFix 10-10-01.01 - papa 02/10/2010  14:24:30.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3069.1971 [GMT 2:00]
Lancé depuis: C:\Users\penelope\Desktop\asdehi.exe
Commutateurs utilisés :: C:\Users\penelope\Desktop\CFScript.txt

FILE ::
"c:\programdata\CASIO\Manager PLUS Trial\FYl32C.dll"
"c:\programdata\CASIO\Manager PLUS Trial\VZLlibC.dll"
"c:\users\papa\AppData\Roaming\Microsoft\Inst\Mon\F\x.exe"
"c:\users\Public\samp03bsvr_R2_win32.zip"
"c:\users\Public\umbrella-4.1.3.exe"
.

Utilisateur anonyme · Answer

voila le lien et je fais comment poàur remettre mon bureau plz???
http://www.cijoint.fr/cjlink.php?file=cj201010/cijiTuaYE5.txt

Utilisateur anonyme · Answer

Re

Ok;changeons de méthode: Avec un CD Live.

Télécharge OTLPENet sur le bureau.
Double clique ou clic droit sous Vista oy Seven pour lancer l'application.
On va te demander si tu veux graver ...
Prépare un CD vierge et lance OTLPENet, cela va te permettre de graver une image iso. 
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM 
Pour se faire suivre ce lien : Booter sur un CD 
Tuto OTLPE 

Tu lances l'iso d'OTLPENet que tu as gravé sur le PC à problèmes.
*	une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune 

*	Double-clique sur l'icone OTLPE 
*	quand demandé "Do you wish to load the remote registry", select Yes 
*	quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes 
*	vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK 
*	sous Custom Scan box 
1) copie_colle le contenu du cadre ci dessous: 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
cdrom.sys 
disk.sys 
ndis.sys 
mountmgr.sys 
aec.sys 
rasacd.sys 
mrxsmb10.sys 
mrxsmb20.sys 
termdd.sys 
mrxsmb.sys 
win32k.sys 
storport.sys 
IdeChnDr.sys 
viasraid.sys 
explorer.exe 
winlogon.exe 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
CREATERESTOREPOINT

*	copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller. 

*	2) Clic Run Scan pour démarrer le scan. 
*	Une fois terminé , le fichier se trouve là C:\OTL.txt 
*	Copie_colle le contenu dans ta prochaine réponse. 


@+

Darreugne · Answer

Et je fais comment pour télécharger sur le bureau vu que je n'ai plus de bureau ?

Utilisateur anonyme · Answer

re  

Editer: 

Enregistre le ailleurs. 

@ 
---------Contributeur Sécurité---------  
On a tous été un jour débutant dans quelque chose.  
Mais le savoir est la récompense de l'assiduité.

Darreugne · Answer

Donc si j'ai bien compris je fait une restauration système et après je fait l'analyse demande ?

Darreugne · Answer

Est ce normal que lorsque je lance otlpe ça me dit que ça ne fonctionne pas avec Windows 2000 ou + ???

Utilisateur anonyme · Answer

Re

J'espère que tu as fait cela sur un CD ré inscriptible.
Tu as procédé au gravage à une vitesse trop élevée.
On est pas pressé...
Donc ;recommence ;merci.
@+

Utilisateur anonyme · Answer

meme avec une vitesse moins importante ca ne fonctionne pas donc j'ai formater et réinstaller! 
tout tes diagnostic n'ont servi strictement a rien ! 
Merci quand meme de ton aide  qui m'a un peu apris  certain truc ;)
 @+

Infection par un malware

17 réponses

Discussions similaires

Newsletters