Posez votre question Signaler

Svchost.exe et CPU à 100% [Résolu]

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention - Dernière réponse le 25 juil. 2011 à 21:19

Bonjour,
C'est après de nombreuses et vaines tentatives que je vous écrit. Depuis 2 mois environ mon pc rame à cause d'un Svchost.exe qui me prends toute la mémoire et le CPU.
J'ai bien tenté ce que la loupiote proposait dans ce post : http://www.commentcamarche.net/forum/affich-2985386-svchost-exe-processeur-100-la-solution?page=5 mais cela n'a malheureusement pas marché, ni le fait d'enlever les MàJ auto de Office 2007.
J'ai un Lenovo Ideapad S-10 2 avec XP.
En espérant que vous pourrez m'aider.
Cordialement

Svchost.exe et CPU à 100% »

Suggestions

Svchost.exe et CPU à 100%
Svchost.exe processeur 100% LA SOLUTION (Résolu) » Forum
UC 100% (Résolu) » Forum
Svchost.exe processeur à 100 % (Résolu) » Forum
CPU 100%,Svchost.exe,instabilité systeme (Résolu) » Forum
CPU 100% avec les applications lié à internet » Forum

Plus

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 10 juil. 2011 à 19:40

SALUT

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com/link/a73760cf8976bc72cf25dc4ce63b4cf49704b75b.exe

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 10 juil. 2011 à 20:19

Merci de ta réponse si rapide.

http://www.cijoint.fr/cjlink.php?file=cj201107/cijl4EI8RF.txt

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 10 juil. 2011 à 20:47

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-
"SunJavaUpdateSched"=-
"WinampAgent"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
[-HKEY_CLASSES_ROOT\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2318C2B1-4965-11d4-9B18-009027A5CD4F}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{2318C2B1-4965-11d4-9B18-009027A5CD4F}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{2318C2B1-4965-11d4-9B18-009027A5CD4F}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[-HKEY_CLASSES_ROOT\CLSID\{A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[-HKEY_CLASSES_ROOT\CLSID\{C5F65718-341D-4e7d-9842-FCB9CC89527E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5F65718-341D-4e7d-9842-FCB9CC89527E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{C5F65718-341D-4e7d-9842-FCB9CC89527E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{C5F65718-341D-4e7d-9842-FCB9CC89527E}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{C5F65718-341D-4e7d-9842-FCB9CC89527E}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{C5F65718-341D-4e7d-9842-FCB9CC89527E}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C5F65718-341D-4e7d-9842-FCB9CC89527E}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{C5F65718-341D-4e7d-9842-FCB9CC89527E}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C5F65718-341D-4e7d-9842-FCB9CC89527E}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C5F65718-341D-4e7d-9842-FCB9CC89527E}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{C5F65718-341D-4e7d-9842-FCB9CC89527E}"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32]
[-HKEY_CURRENT_USER\Software\Ask.com]
[-HKEY_CURRENT_USER\Software\AskToolbar]
[-HKEY_CURRENT_USER\Software\Live-Player]
[-HKEY_CURRENT_USER\Software\OfferBox]
[-HKEY_CURRENT_USER\Software\Spointer]
[-HKEY_CURRENT_USER\Software\Ó¦ÓÃ³ÌÐòÏòµ¼Éú³ÉµÄ±¾µØÓ¦ÓÃ³ÌÐò]
[-HKEY_LOCAL_MACHINE\Software\CrazyLoader]
[HKEY_LOCAL_MACHINE\Software\Live-Player]
[-HKEY_LOCAL_MACHINE\Software\Wnladpku]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\CrazyLoader\crazyloader.exe"=-
"\??\C:\WINDOWS\system32\winlogon.exe"=-
"C:\WINDOWS\Explorer.EXE"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"=-
"16297:TCP"=-
"62580:TCP"=-
"80:TCP"=-
"61233:TCP"=-

file::
c:\windows\system32\jwqcemqx.dll
C:\Documents and Settings\All Users\Application Data\qw0j6rj2eh126b41tbg4561cs4qy0b8ai286q3u8rph5
C:\Documents and Settings\Flo\Local Settings\Application Data\A3C3ECEF-F82D-179F-F474-EF31055E4512.txt
C:\Documents and Settings\Flo\Local Settings\Application Data\pjluprl.dat
C:\Documents and Settings\Flo\Local Settings\Application Data\qw0j6rj2eh126b41tbg4561cs4qy0b8ai286q3u8rph5

folder::
C:\Program Files\CrazyLoader
C:\Documents and Settings\Flo\Application Data\Adobe\plugs
C:\Documents and Settings\All Users\Start Menu\Programs\Live-Player
C:\Documents and Settings\Flo\Application Data\6779E1CDF9AFE7FEF6EB1C1D048CEF9D
C:\Documents and Settings\Flo\Application Data\CrazyLoader
C:\Documents and Settings\Flo\Application Data\live-player
C:\Documents and Settings\Flo\Application Data\OfferBox
C:\Documents and Settings\All Users\Application Data\2470897796
C:\Documents and Settings\All Users\Application Data\4107304452
C:\Documents and Settings\Flo\Local Settings\Application Data\2470897796
C:\Documents and Settings\Flo\Local Settings\Application Data\4107304452
C:\Documents and Settings\Flo\Local Settings\Application Data\crazyloader Air
C:\Program Files\Ask.com
C:\Program Files\CrazyLoader
C:\Program Files\OfferBox

attrib::
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 10 juil. 2011 à 21:13

http://www.cijoint.fr/cjlink.php?file=cj201107/cijoIDkUUl.txt

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 11 juil. 2011 à 06:30

salut refais-en un avec juste ca dedans :

file::
C:\Documents and Settings\All Users\Application Data\2470897796
C:\Documents and Settings\All Users\Application Data\4107304452
C:\Documents and Settings\Flo\Local Settings\Application Data\2470897796
C:\Documents and Settings\Flo\Local Settings\Application Data\4107304452

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 11 juil. 2011 à 21:45

http://www.cijoint.fr/cjlink.php?file=cj201107/cijeK0f26C.txt

Merci

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 11 juil. 2011 à 23:52

ok

▶ Télécharge ici : Ad-remover sur ton bureau :

▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 12 juil. 2011 à 20:39

Bonsoir,

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 20:32:47 on 12/07/2011, Normal boot

Microsoft Windows XP Home Edition Service Pack 3 (X86)
Flo@FLORENT ( )

============== ACTION(S) ==============

File deleted: C:\Documents and Settings\Flo\Application Data\Mozilla\FireFox\Profiles\p7v2whn7.default\searchplugins\askcom.xml
Folder deleted: C:\Documents and Settings\Flo\Start Menu\Programs\CrazyLoader
Folder deleted: C:\Program Files\live-player

(!) -- Temporary files deleted.

-- File opened: C:\Documents and Settings\Flo\Application Data\Mozilla\FireFox\Profiles\p7v2whn7.default\Prefs.js --
Line deleted: user_pref("browser.search.defaultengine", "Ask.com");
Line deleted: user_pref("browser.search.defaultenginename", "Ask.com");
Line deleted: user_pref("browser.search.order.1", "Ask.com");
Line deleted: user_pref("extensions.asktb.cbid", "OF");
Line deleted: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&o={o}&l={l}&...
Line deleted: user_pref("extensions.asktb.dtid", "VIN005YYFR");
Line deleted: user_pref("extensions.asktb.fresh-install", false);
Line deleted: user_pref("extensions.asktb.l", "dis");
Line deleted: user_pref("extensions.asktb.last-config-req", "1288893580877");
Line deleted: user_pref("extensions.asktb.locale", "fr_FR");
Line deleted: user_pref("extensions.asktb.o", "16050");
Line deleted: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Line deleted: user_pref("extensions.asktb.qsrc", "2871");
Line deleted: user_pref("extensions.asktb.r", "3");
Line deleted: user_pref("extensions.asktb.to", "16105");
-- File closed --

Key deleted: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key deleted: HKLM\Software\Classes\CLSID\{6DF77AA3-27AF-46f2-A1DA-B569AC6BEEFF}
Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6DF77AA3-27AF-46f2-A1DA-B569AC6BEEFF}
Key deleted: HKLM\Software\Classes\CLSID\{6F6C45E4-E231-4F0F-8CD8-AA5770303EAA}
Key deleted: HKLM\Software\Classes\Interface\{6F6C45E4-E231-4F0F-8CD8-AA5770303EAA}
Key deleted: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key deleted: HKLM\Software\Classes\CLSID\{86460CE5-46A0-4543-B8FE-2D2AE182A2FE}
Key deleted: HKLM\Software\Classes\CLSID\{C5F65718-341D-4e7d-9842-FCB9CC89527E}
Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5F65718-341D-4e7d-9842-FCB9CC89527E}
Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C5F65718-341D-4e7d-9842-FCB9CC89527E}
Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5F65718-341D-4e7d-9842-FCB9CC89527E}
Key deleted: HKLM\Software\Classes\Interface\{471E3998-588E-41D5-A874-FA11C44B70DE}
Key deleted: HKLM\Software\Classes\Interface\{D4E856E7-C034-49BA-BFEF-B785F3CBD7BA}
Key deleted: HKLM\Software\Classes\Interface\{DB7A9C36-6C85-48BE-BA8D-151B6B144BE0}
Key deleted: HKLM\Software\Classes\Interface\{F77F3DFC-F5DC-4316-AB50-B50B16F2BEF4}
Key deleted: HKLM\Software\Classes\TypeLib\{63AF3145-D2DC-4F1D-BB3A-3AAD9FEC3430}
Key deleted: HKLM\Software\Classes\TypeLib\{D530F69A-EB2D-4EC6-BD37-E123AEFCA011}
Key deleted: HKLM\Software\Classes\Crazyloader.Spointer
Key deleted: HKLM\Software\Classes\Crazyloader.Spointer.1
Key deleted: HKLM\Software\Classes\Crazyloader.SpointerCtrl
Key deleted: HKLM\Software\Classes\Crazyloader.SpointerCtrl.1
Key deleted: HKLM\Software\Live-Player
Key deleted: HKLM\Software\OfferBox
Key deleted: HKCU\Software\Ask.com
Key deleted: HKCU\Software\AskToolbar
Key deleted: HKCU\Software\Live-Player
Key deleted: HKCU\Software\OfferBox
Key deleted: HKCU\Software\Spointer
Key deleted: HKCU\Software\AppDataLow\AskToolbarInfo
Key deleted: HKU\.DEFAULT\Software\OfferBox
Key deleted: HKU\.DEFAULT\Software\ShopperReports3
Key deleted: HKU\.DEFAULT\Software\Spointer
Key deleted: HKLM\Software\Messenger Plus!\OpenCandy
Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\ClickPotato
Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\live-player
Key deleted: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Key deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Key deleted: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key deleted: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key deleted: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DBA4B812-2415-4000-AFCB-56F53E668DC5}
Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CrazyLoader
Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key deleted: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Value deleted: HKLM\Software\Mozilla\Firefox\Extensions|crazyloader@spointer.com
Value deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

============== ADDITIONNAL SCAN ==============

**** Mozilla Firefox Version [3.6.18 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
Plugins\libdivx.dll (The OpenSSL Project, http://www.openssl.org/)
Plugins\npdivx32.dll (DivX,Inc.)
Plugins\npwachk.dll (Nullsoft, Inc.)
Plugins\ssldivx.dll (The OpenSSL Project, http://www.openssl.org/)

-- C:\Documents and Settings\Flo\Application Data\Mozilla\FireFox\Profiles\p7v2whn7.default --
Prefs.js - browser.download.dir, C:\\Documents and Settings\\Flo\\My Documents\\New Folder
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Flo\\Desktop
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.18
Prefs.js - keyword.URL, hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

========================================

**** Internet Explorer Version [7.0.5730.13] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKLM_ElevationPolicy\{A2C4A926-ABA8-4983-817F-4EB832F995DA} - C:\Program Files\Windows Live\Toolbar\wltuser.exe (x)
HKLM_Extensions\{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - "LENOVO" (%WinDir%\system32\oemlinkicon.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\Lenovo\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)
BHO\{A3C3ECEF-F82D-179F-F474-EF31055E4512} - "?" (c:\windows\system32\jwqcemqx.dll) (x)
BHO\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 11 File(s)
C:\Program Files\Ad-Remover\Backup: 14 File(s)

C:\Ad-Report-CLEAN[1].txt - 12/07/2011 20:33:27 (8245 Byte(s))

End at: 20:34:50, 12/07/2011

============== E.O.F ==============

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 12 juil. 2011 à 20:47

re

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ => Clique ici pour voir la Configuration

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 12 juil. 2011 à 21:20

re,

http://www.cijoint.fr/cjlink.php?file=cj201107/cijektUBbZ.txt

http://www.cijoint.fr/cjlink.php?file=cj201107/cijxFqZCEn.txt

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 12 juil. 2011 à 21:29

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : http://www.avg.com/fr-fr/outils-telecharges
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 12 juil. 2011 à 22:51

ComboFix 11-07-12.07 - Flo 12/07/2011 22:17:40.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.1014.643 [GMT 2:00]
Running from: c:\documents and settings\Flo\Desktop\Florent.exe
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\config\systemprofile\Application Data\OfferBox
c:\windows\system32\config\systemprofile\Application Data\OfferBox\config.dat
c:\windows\system32\config\systemprofile\Application Data\OfferBox\config.xml
c:\windows\system32\shimg.dll
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((( Files Created from 2011-06-12 to 2011-07-12 )))))))))))))))))))))))))))))))
.
.
2011-07-12 18:32 . 2011-07-12 18:32 -------- d-----w- c:\program files\Ad-Remover
2011-07-10 18:03 . 2011-07-11 19:43 -------- d-----w- C:\Kill'em
2011-07-10 16:26 . 2011-07-10 16:27 -------- d-----w- c:\program files\Microsoft Works
2011-07-10 16:14 . 2011-07-10 16:14 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2011-07-10 16:12 . 2011-07-10 16:26 -------- d-----w- c:\windows\SHELLNEW
2011-07-10 16:11 . 2011-07-10 16:11 -------- d-----r- C:\MSOCache
2011-07-09 17:49 . 2001-08-17 10:12 97354 ----a-w- c:\windows\system32\dllcache\aspndis3.sys
2011-07-09 17:49 . 2001-08-17 11:51 14848 ----a-w- c:\windows\system32\dllcache\asc3550.sys
2011-07-09 17:49 . 2001-08-17 11:52 22400 ----a-w- c:\windows\system32\dllcache\asc3350p.sys
2011-07-09 17:49 . 2001-08-17 11:52 26496 ----a-w- c:\windows\system32\dllcache\asc.sys
2011-07-09 17:47 . 2001-08-17 10:19 584448 ----a-w- c:\windows\system32\dllcache\adm8810.sys
2011-07-09 17:46 . 2001-08-17 12:56 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll
2011-07-06 20:14 . 2011-07-06 20:14 -------- d-----w- c:\program files\iPod
2011-07-04 14:54 . 2011-07-04 14:54 72192 ----a-w- c:\windows\system32\tasklist.exe
2011-06-26 17:48 . 2011-07-10 18:01 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2011-06-26 17:48 . 2011-06-26 17:48 -------- d-----w- c:\program files\AVAST Software
2011-06-26 17:05 . 2011-06-26 17:05 -------- d-----w- c:\documents and settings\All Users\Application Data\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}
2011-06-26 16:38 . 2011-06-26 16:38 -------- d-----w- c:\documents and settings\Flo\Application Data\Uniblue
2011-06-26 16:37 . 2011-06-26 16:37 -------- d-----w- c:\program files\Uniblue
2011-06-26 16:36 . 2011-06-26 16:36 -------- d-----w- c:\documents and settings\Flo\Local Settings\Application Data\PackageAware
2011-06-26 14:49 . 2011-06-26 14:49 -------- d-----w- c:\program files\CCleaner
2011-06-21 20:33 . 2011-06-21 20:33 133120 ----a-w- c:\windows\system32\drivers\ethricqw.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-15 10:06 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2011-05-15 10:06 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-10 06:06 . 2009-09-30 20:12 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll
2011-05-10 06:06 . 2009-09-30 20:12 42496 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2011-05-02 15:31 . 2006-07-28 18:03 692736 ----a-w- c:\windows\system32\inetcomm.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VeriFace Enc]
@="{771C7324-DA80-49D3-8017-753B0AF60951}"
[HKEY_CLASSES_ROOT\CLSID\{771C7324-DA80-49D3-8017-753B0AF60951}]
2009-09-20 16:32 241752 ----a-w- c:\windows\system32\IcnOvrly.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-30 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-24 17567744]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-09 1512744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"BisonMnt"="c:\windows\BisonC07\BisonM07.exe" [2008-10-14 32768]
"VeriFaceManager"="c:\program files\Lenovo\VeriFaceIII\PManage.exe" [2009-09-20 323584]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-01-04 4462464]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-01 148888]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-01-13 37888]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-06-01 1501064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2009-1-17 604776]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PicNotify]
2009-09-20 16:32 1167360 ----a-w- c:\windows\system32\PicNotify.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaws.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\crazyloader.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"= 14462:TCP:spport
"16297:TCP"= 16297:TCP:spport
"62580:TCP"= 62580:TCP:@xpsp2res.dll,-22009
"61233:TCP"= 61233:TCP:@xpsp2res.dll,-22009
.
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [26/03/2009 19:20 315392]
R2 System_Repair_UpdateMonitor;System Repair Windows Update Monitor;c:\program files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe [19/08/2009 13:19 430080]
R2 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [19/08/2009 13:19 48192]
R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [20/09/2009 18:39 9472]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S1 ethricqw;ethricqw;c:\windows\system32\drivers\ethricqw.sys [21/06/2011 22:33 133120]
S2 AMService;AMService;c:\windows\TEMP\qyqc\setup.exe run --> c:\windows\TEMP\qyqc\setup.exe run [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S2 qiqwlqdz;GEAR ASPI Filter Controller;c:\windows\System32\svchost.exe -k netsvcs [04/08/2004 22:00 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [19/08/2009 13:11 1684736]
S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys --> c:\windows\system32\Drivers\RtsUStor.sys [?]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
S3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [19/08/2009 13:18 81192]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
qiqwlqdz
.
Contents of the 'Scheduled Tasks' folder
.
2011-07-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 19:34]
.
2011-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2011-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2009-10-03 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
- c:\program files\Microsoft IntelliType Pro\itype.exe [2009-06-01 20:43]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: Send to &Bluetooth Device... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\documents and settings\Flo\Application Data\Mozilla\Firefox\Profiles\p7v2whn7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - ORPHANS REMOVED - - - -
.
BHO-{A3C3ECEF-F82D-179F-F474-EF31055E4512} - c:\windows\system32\jwqcemqx.dll
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\documents and settings\All Users\Application Data\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}\bm_installer.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-12 22:33
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BisonMnt = c:\windows\BisonC07\BisonM07.exe????????????????????????????????????????????????????????????????????????????????h5??????????????????????????????????????????????????????'????v?|???????????? ???????????x????x?|?????y!????????????????|?????????????????X?w???
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(876)
c:\windows\system32\WININET.dll
c:\windows\system32\PicNotify.dll
c:\windows\system32\FaceVerify.dll
c:\windows\system32\MainOp.dll
c:\windows\system32\VideoOp.dll
c:\windows\system32\Image.dll
c:\windows\system32\Momo.dll
c:\windows\system32\Apblend.dll
c:\windows\system32\SetDev.dll
c:\windows\system32\FunFrm.dll
c:\windows\system32\facev.dll
c:\windows\system32\3DImageRenderer.dll
c:\windows\system32\d3dx9_35.dll
c:\windows\system32\DevIL.dll
c:\windows\system32\ILU.dll
c:\windows\system32\CamOpex.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system\BisonC07.dll
.
- - - - - - - > 'lsass.exe'(936)
c:\windows\system32\WININET.dll
.
Completion time: 2011-07-12 22:42:05
ComboFix-quarantined-files.txt 2011-07-12 20:41
.
Pre-Run: 24 933 670 912 bytes free
Post-Run: 25 140 490 240 bytes free
.
WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 0A49FB9932D7A7E915572444D05CB317

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 13 juil. 2011 à 01:59

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system\BisonC07.dll
c:\windows\system32\drivers\ethricqw.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

========================================

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Folder::
c:\windows\TEMP\qyqc

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-
"WinampAgent"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"=DWORD:00000000

Driver::
AMService
qiqwlqdz

Netsvc::
qiqwlqdz

RegLock::
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 13 juil. 2011 à 19:36

salut,

http://www.virustotal.com/file-scan/report.html?id=f00fc6c19e85de8939688e2359c8073f3aeb6629ef820f996c28b1f52961da31-1310577859

http://www.virustotal.com/file-scan/report.html?id=e3d66619c1d01acdf47636315a54f9a56c8dc8a4eccf038a9f37d775250c4db2-1310578088

Le combofix arrive

Ajouter un commentaire

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 13 juil. 2011 à 20:28

ComboFix 11-07-13.01 - Flo 13/07/2011 19:57:14.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.1014.653 [GMT 2:00]
Running from: c:\documents and settings\Flo\Desktop\Florent.exe
Command switches used :: c:\documents and settings\Flo\Desktop\CFScript.txt
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Legacy_QIQWLQDZ
-------\Legacy_SSHNAS
-------\Service_AMService
-------\Service_qiqwlqdz
-------\Service_SSHNAS
.
.
((((((((((((((((((((((((( Files Created from 2011-06-13 to 2011-07-13 )))))))))))))))))))))))))))))))
.
.
2011-07-12 19:43 . 2011-07-12 20:47 -------- d-----w- C:\Florent
2011-07-12 18:32 . 2011-07-12 18:32 -------- d-----w- c:\program files\Ad-Remover
2011-07-10 18:03 . 2011-07-11 19:43 -------- d-----w- C:\Kill'em
2011-07-10 16:26 . 2011-07-10 16:27 -------- d-----w- c:\program files\Microsoft Works
2011-07-10 16:14 . 2011-07-10 16:14 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2011-07-10 16:12 . 2011-07-10 16:26 -------- d-----w- c:\windows\SHELLNEW
2011-07-10 16:11 . 2011-07-10 16:11 -------- d-----r- C:\MSOCache
2011-07-09 17:49 . 2001-08-17 10:12 97354 ----a-w- c:\windows\system32\dllcache\aspndis3.sys
2011-07-09 17:49 . 2001-08-17 11:51 14848 ----a-w- c:\windows\system32\dllcache\asc3550.sys
2011-07-09 17:49 . 2001-08-17 11:52 22400 ----a-w- c:\windows\system32\dllcache\asc3350p.sys
2011-07-09 17:49 . 2001-08-17 11:52 26496 ----a-w- c:\windows\system32\dllcache\asc.sys
2011-07-09 17:47 . 2001-08-17 10:19 584448 ----a-w- c:\windows\system32\dllcache\adm8810.sys
2011-07-09 17:46 . 2001-08-17 12:56 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll
2011-07-06 20:14 . 2011-07-06 20:14 -------- d-----w- c:\program files\iPod
2011-07-04 14:54 . 2011-07-04 14:54 72192 ----a-w- c:\windows\system32\tasklist.exe
2011-06-26 17:48 . 2011-07-10 18:01 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2011-06-26 17:48 . 2011-06-26 17:48 -------- d-----w- c:\program files\AVAST Software
2011-06-26 17:05 . 2011-06-26 17:05 -------- d-----w- c:\documents and settings\All Users\Application Data\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}
2011-06-26 16:38 . 2011-06-26 16:38 -------- d-----w- c:\documents and settings\Flo\Application Data\Uniblue
2011-06-26 16:37 . 2011-06-26 16:37 -------- d-----w- c:\program files\Uniblue
2011-06-26 16:36 . 2011-06-26 16:36 -------- d-----w- c:\documents and settings\Flo\Local Settings\Application Data\PackageAware
2011-06-26 14:49 . 2011-06-26 14:49 -------- d-----w- c:\program files\CCleaner
2011-06-21 20:33 . 2011-06-21 20:33 133120 ----a-w- c:\windows\system32\drivers\ethricqw.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-15 10:06 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2011-05-15 10:06 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-10 06:06 . 2009-09-30 20:12 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll
2011-05-10 06:06 . 2009-09-30 20:12 42496 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2011-05-02 15:31 . 2006-07-28 18:03 692736 ----a-w- c:\windows\system32\inetcomm.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-12_20.34.27 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-13 18:12 . 2011-07-13 18:12 16384 c:\windows\temp\Perflib_Perfdata_d4.dat
+ 2011-07-13 17:26 . 2011-07-13 17:26 1095680 c:\windows\system32\sshnas21.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3C3ECEF-F82D-179F-F474-EF31055E4512}]
c:\windows\system32\jwqcemqx.dll [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VeriFace Enc]
@="{771C7324-DA80-49D3-8017-753B0AF60951}"
[HKEY_CLASSES_ROOT\CLSID\{771C7324-DA80-49D3-8017-753B0AF60951}]
2009-09-20 16:32 241752 ----a-w- c:\windows\system32\IcnOvrly.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-30 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-09 1512744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"BisonMnt"="c:\windows\BisonC07\BisonM07.exe" [2008-10-14 32768]
"VeriFaceManager"="c:\program files\Lenovo\VeriFaceIII\PManage.exe" [2009-09-20 323584]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-01-04 4462464]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-01 148888]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-06-01 1501064]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2009-1-17 604776]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PicNotify]
2009-09-20 16:32 1167360 ----a-w- c:\windows\system32\PicNotify.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaws.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\crazyloader.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"= 14462:TCP:spport
"16297:TCP"= 16297:TCP:spport
"62580:TCP"= 62580:TCP:@xpsp2res.dll,-22009
"61233:TCP"= 61233:TCP:@xpsp2res.dll,-22009
.
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [26/03/2009 19:20 315392]
R2 System_Repair_UpdateMonitor;System Repair Windows Update Monitor;c:\program files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe [19/08/2009 13:19 430080]
R2 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [19/08/2009 13:19 48192]
R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [20/09/2009 18:39 9472]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S1 ethricqw;ethricqw;c:\windows\system32\drivers\ethricqw.sys [21/06/2011 22:33 133120]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [19/08/2009 13:11 1684736]
S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys --> c:\windows\system32\Drivers\RtsUStor.sys [?]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
S3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [19/08/2009 13:18 81192]
.
Contents of the 'Scheduled Tasks' folder
.
2011-07-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 19:34]
.
2011-07-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2011-07-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2009-10-03 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
- c:\program files\Microsoft IntelliType Pro\itype.exe [2009-06-01 20:43]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: Send to &Bluetooth Device... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\documents and settings\Flo\Application Data\Mozilla\Firefox\Profiles\p7v2whn7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-13 20:13
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BisonMnt = c:\windows\BisonC07\BisonM07.exe????????????????????????????????????????????????????????????????????????????????h5??????????????????????????????????????????????????????'????v?|???????????? ???????????x????x?|?????y!????????????????|?????????????????X?w???
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\WININET.dll
c:\windows\system32\PicNotify.dll
c:\windows\system32\FaceVerify.dll
c:\windows\system32\MainOp.dll
c:\windows\system32\VideoOp.dll
c:\windows\system32\Image.dll
c:\windows\system32\Momo.dll
c:\windows\system32\Apblend.dll
c:\windows\system32\SetDev.dll
c:\windows\system32\FunFrm.dll
c:\windows\system32\facev.dll
c:\windows\system32\3DImageRenderer.dll
c:\windows\system32\d3dx9_35.dll
c:\windows\system32\DevIL.dll
c:\windows\system32\ILU.dll
c:\windows\system32\CamOpex.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system\BisonC07.dll
.
- - - - - - - > 'lsass.exe'(940)
c:\windows\system32\WININET.dll
.
- - - - - - - > 'explorer.exe'(2032)
c:\windows\system32\WININET.dll
c:\windows\system32\IcnOvrly.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\ieframe.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Lenovo\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Completion time: 2011-07-13 20:19:46 - machine was rebooted
ComboFix-quarantined-files.txt 2011-07-13 18:19
ComboFix2.txt 2011-07-12 20:42
.
Pre-Run: 25 076 789 248 bytes free
Post-Run: 24 949 805 056 bytes free
.
- - End Of File - - CFF3128B4190138E6402A69F184F758F

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 14 juil. 2011 à 04:50

je savais bien pourquoi il me plaisait pas ce fichier!!!

evite de te servir du pc entre temps

Ajouter un commentaire - Site web

Popovff- 15 juil. 2011 à 14:07

Salut,
J'ai pas bien compris ... Que faut il que j'attende exactement ?
Merci

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 15 juil. 2011 à 17:13

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\dllcache\aspndis3.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 15 juil. 2011 à 20:59

http://www.virustotal.com/file-scan/report.html?id=7ae33e06e29ffdcca53d841835259281f94ab5b864b8d69a59b47411886056a5-1310756045

Ajouter un commentaire

Réponse

g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 16 juil. 2011 à 01:11

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\windows\system32\sshnas21.dll
c:\windows\system32\jwqcemqx.dll

Rootkit::
c:\windows\system32\drivers\ethricqw.sys

Registry::
[-HKEY_CLASSES_ROOT\CLSID\A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\A3C3ECEF-F82D-179F-F474-EF31055E4512}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"A3C3ECEF-F82D-179F-F474-EF31055E4512}"=-

Driver::
ethricqw

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Ajouter un commentaire - Site web

Réponse

Popovff 24Messages postés 10 juillet 2011Date d'inscription 25 juillet 2011Dernière intervention 16 juil. 2011 à 12:23

ComboFix 11-07-15.03 - Flo 16/07/2011 11:48:59.3.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.1014.643 [GMT 2:00]
Running from: c:\documents and settings\Flo\Desktop\Florent.exe
Command switches used :: c:\documents and settings\Flo\Desktop\CFScript.txt
.
FILE ::
"c:\windows\system32\jwqcemqx.dll"
"c:\windows\system32\sshnas21.dll"
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\sshnas21.dll
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_ethricqw
.
.
((((((((((((((((((((((((( Files Created from 2011-06-16 to 2011-07-16 )))))))))))))))))))))))))))))))
.
.
2011-07-12 19:43 . 2011-07-12 20:47 -------- d-----w- C:\Florent
2011-07-12 18:32 . 2011-07-12 18:32 -------- d-----w- c:\program files\Ad-Remover
2011-07-10 18:03 . 2011-07-11 19:43 -------- d-----w- C:\Kill'em
2011-07-10 16:26 . 2011-07-10 16:27 -------- d-----w- c:\program files\Microsoft Works
2011-07-10 16:14 . 2011-07-10 16:14 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2011-07-10 16:12 . 2011-07-10 16:26 -------- d-----w- c:\windows\SHELLNEW
2011-07-10 16:11 . 2011-07-10 16:11 -------- d-----r- C:\MSOCache
2011-07-09 17:49 . 2001-08-17 10:12 97354 ----a-w- c:\windows\system32\dllcache\aspndis3.sys
2011-07-09 17:49 . 2001-08-17 11:51 14848 ----a-w- c:\windows\system32\dllcache\asc3550.sys
2011-07-09 17:49 . 2001-08-17 11:52 22400 ----a-w- c:\windows\system32\dllcache\asc3350p.sys
2011-07-09 17:49 . 2001-08-17 11:52 26496 ----a-w- c:\windows\system32\dllcache\asc.sys
2011-07-09 17:47 . 2001-08-17 10:19 584448 ----a-w- c:\windows\system32\dllcache\adm8810.sys
2011-07-09 17:46 . 2001-08-17 12:56 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll
2011-07-06 20:14 . 2011-07-06 20:14 -------- d-----w- c:\program files\iPod
2011-07-04 14:54 . 2011-07-04 14:54 72192 ----a-w- c:\windows\system32\tasklist.exe
2011-06-26 17:48 . 2011-07-10 18:01 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2011-06-26 17:48 . 2011-06-26 17:48 -------- d-----w- c:\program files\AVAST Software
2011-06-26 17:05 . 2011-06-26 17:05 -------- d-----w- c:\documents and settings\All Users\Application Data\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}
2011-06-26 16:38 . 2011-06-26 16:38 -------- d-----w- c:\documents and settings\Flo\Application Data\Uniblue
2011-06-26 16:37 . 2011-06-26 16:37 -------- d-----w- c:\program files\Uniblue
2011-06-26 16:36 . 2011-06-26 16:36 -------- d-----w- c:\documents and settings\Flo\Local Settings\Application Data\PackageAware
2011-06-26 14:49 . 2011-06-26 14:49 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-15 10:06 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2011-05-15 10:06 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-10 06:06 . 2009-09-30 20:12 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll
2011-05-10 06:06 . 2009-09-30 20:12 42496 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2011-05-02 15:31 . 2006-07-28 18:03 692736 ----a-w- c:\windows\system32\inetcomm.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-12_20.34.27 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-16 10:04 . 2011-07-16 10:04 16384 c:\windows\temp\Perflib_Perfdata_b0.dat
- 2011-07-12 20:14 . 2011-07-12 20:14 16384 c:\windows\TEMP\Perflib_Perfdata_b0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3C3ECEF-F82D-179F-F474-EF31055E4512}]
c:\windows\system32\jwqcemqx.dll [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VeriFace Enc]
@="{771C7324-DA80-49D3-8017-753B0AF60951}"
[HKEY_CLASSES_ROOT\CLSID\{771C7324-DA80-49D3-8017-753B0AF60951}]
2009-09-20 16:32 241752 ----a-w- c:\windows\system32\IcnOvrly.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-30 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-09 1512744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"BisonMnt"="c:\windows\BisonC07\BisonM07.exe" [2008-10-14 32768]
"VeriFaceManager"="c:\program files\Lenovo\VeriFaceIII\PManage.exe" [2009-09-20 323584]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-01-04 4462464]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-01 148888]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-06-01 1501064]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2009-1-17 604776]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PicNotify]
2009-09-20 16:32 1167360 ----a-w- c:\windows\system32\PicNotify.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaws.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\crazyloader.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"= 14462:TCP:spport
"16297:TCP"= 16297:TCP:spport
"62580:TCP"= 62580:TCP:@xpsp2res.dll,-22009
"61233:TCP"= 61233:TCP:@xpsp2res.dll,-22009
.
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [26/03/2009 19:20 315392]
R2 System_Repair_UpdateMonitor;System Repair Windows Update Monitor;c:\program files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe [19/08/2009 13:19 430080]
R2 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [19/08/2009 13:19 48192]
R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [20/09/2009 18:39 9472]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [19/08/2009 13:11 1684736]
S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys --> c:\windows\system32\Drivers\RtsUStor.sys [?]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
S3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [19/08/2009 13:18 81192]
.
Contents of the 'Scheduled Tasks' folder
.
2011-07-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 19:34]
.
2011-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2011-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2009-10-03 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
- c:\program files\Microsoft IntelliType Pro\itype.exe [2009-06-01 20:43]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: Send to &Bluetooth Device... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\documents and settings\Flo\Application Data\Mozilla\Firefox\Profiles\p7v2whn7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-16 12:08
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BisonMnt = c:\windows\BisonC07\BisonM07.exe????????????????????????????????????????????????????????????????????????????????h5??????????????????????????????????????????????????????'????v?|???????????? ???????????x????x?|?????y!????????????????|?????????????????X?w???
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(864)
c:\windows\system32\WININET.dll
c:\windows\system32\PicNotify.dll
c:\windows\system32\FaceVerify.dll
c:\windows\system32\MainOp.dll
c:\windows\system32\VideoOp.dll
c:\windows\system32\Image.dll
c:\windows\system32\Momo.dll
c:\windows\system32\Apblend.dll
c:\windows\system32\SetDev.dll
c:\windows\system32\FunFrm.dll
c:\windows\system32\facev.dll
c:\windows\system32\3DImageRenderer.dll
c:\windows\system32\d3dx9_35.dll
c:\windows\system32\DevIL.dll
c:\windows\system32\ILU.dll
c:\windows\system32\CamOpex.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system\BisonC07.dll
.
- - - - - - - > 'lsass.exe'(924)
c:\windows\system32\WININET.dll
.
- - - - - - - > 'explorer.exe'(3260)
c:\windows\system32\WININET.dll
c:\windows\system32\IcnOvrly.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\ieframe.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Lenovo\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Completion time: 2011-07-16 12:16:59 - machine was rebooted
ComboFix-quarantined-files.txt 2011-07-16 10:16
ComboFix2.txt 2011-07-13 18:19
ComboFix3.txt 2011-07-12 20:42
.
Pre-Run: 24 871 055 360 bytes free
Post-Run: 24 861 405 184 bytes free
.
- - End Of File - - 11A0A1D17A0A8BE564D3DB8F2FE8AAB3

Ajouter un commentaire

1 2 3

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Svchost.exe et CPU à 100% [Résolu]

Svchost.exe et CPU à 100% »

Passage au tout numérique : quel coût pour les particuliers ?