Problème de virus
Résolu/Fermé
dedette95
-
9 nov. 2011 à 10:24
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 9 nov. 2011 à 15:45
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 9 nov. 2011 à 15:45
A voir également:
- Problème de virus
- Svchost.exe virus - Guide
- Vérificateur de lien virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
14 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
9 nov. 2011 à 10:25
9 nov. 2011 à 10:25
slt colle un rapport avec l'option 2 de roguekiller
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Voici le rapport demander
RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: CAB1 [Droits d'admin]
Mode: Suppression -- Date : 09/11/2011 10:31:24
¤¤¤ Processus malicieux: 3 ¤¤¤
[SUSP PATH] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc]
[SUSP PATH] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc]
[RESIDUE] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 2 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Privacy Protection (C:\Documents and Settings\All Users\Application Data\privacy.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Par contre j'ai du mal avec zhpdiag 1.28, le téléchargement ne se lance pas, je continue d'essayer...
RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: CAB1 [Droits d'admin]
Mode: Suppression -- Date : 09/11/2011 10:31:24
¤¤¤ Processus malicieux: 3 ¤¤¤
[SUSP PATH] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc]
[SUSP PATH] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc]
[RESIDUE] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 2 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Privacy Protection (C:\Documents and Settings\All Users\Application Data\privacy.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Par contre j'ai du mal avec zhpdiag 1.28, le téléchargement ne se lance pas, je continue d'essayer...
Quand je télécharge zhpdiag 1.28 il me le met automatiquement dans C:documentsandsettings/... et quand je veux l'ouvrir il met dit que C:documentsandsettings/... n'est pas une application win32 valide ?????
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
9 nov. 2011 à 11:20
9 nov. 2011 à 11:20
salut pour avancer
t'es infecté de 0access
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
♦ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.</gras>
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
Notes:
♦ Le rapport se trouve également là : C:\ComboFix.txt
♦ tutoriel combofix
t'es infecté de 0access
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
♦ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.</gras>
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
Notes:
♦ Le rapport se trouve également là : C:\ComboFix.txt
♦ tutoriel combofix
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le rapport :
ComboFix 11-11-08.02 - CAB1 09/11/2011 11:35:10.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.678 [GMT 1:00]
Lancé depuis: c:\documents and settings\CAB1\Bureau\dedette95.exe
AV: *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
AV: F-Secure Client Security 9.00 *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
FW: F-Secure Client Security 9.00 *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\privacy.exe
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\CAB1\Recent\facture.zip
c:\documents and settings\CAB1\Recent\Thumbs.db
c:\windows\$NtUninstallKB26118$
c:\windows\$NtUninstallKB26118$\1191176840
c:\windows\$NtUninstallKB26118$\3743237860\@
c:\windows\$NtUninstallKB26118$\3743237860\L\wpfcdaii
c:\windows\$NtUninstallKB26118$\3743237860\loader.tlb
c:\windows\$NtUninstallKB26118$\3743237860\U\@00000001
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000c0
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000cb
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000cf
c:\windows\$NtUninstallKB26118$\3743237860\U\@80000000
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000c0
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000cb
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000cf
c:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
c:\windows\system32\
c:\windows\system32\c_78750.nl_
c:\windows\system32\c_78750.nls
.
Une copie infectée de c:\windows\system32\drivers\netbt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078235.exe
.
Une copie infectée de c:\windows\system32\Ati2evxx.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\i386\ati2evxx.exe
.
Une copie infectée de c:\program files\F-Secure\Anti-Virus\fsgk32st.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP277\A0090249.exe
.
Une copie infectée de c:\program files\F-Secure\Common\FNRB32.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP260\A0078313.exe
.
Une copie infectée de c:\program files\F-Secure\FWES\Program\fsdfwd.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078241.exe
.
Une copie infectée de c:\program files\F-Secure\Common\FSMA32.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078236.EXE
.
Une copie infectée de c:\program files\Google\Update\GoogleUpdate.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP264\A0079668.exe
.
Une copie infectée de c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP263\A0079591.exe
.
Une copie infectée de c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078238.exe
.
Une copie infectée de c:\program files\iPod\bin\iPodService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078243.exe
.
Une copie infectée de c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078239.EXE
.
Une copie infectée de c:\program files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP286\A0096141.EXE
.
Une copie infectée de c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078238.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_df1d46e4
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-09 au 2011-11-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\drivers\netbt.sys
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\dllcache\netbt.sys
2011-11-09 09:30 . 2011-11-09 09:30 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-09 09:13 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-11-09 09:13 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-11-09 09:05 . 2011-11-09 09:05 -------- d-----w- c:\windows\system32\KB905474
2011-11-08 12:46 . 2011-11-08 12:46 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-08 12:37 . 2011-11-08 12:37 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
2011-11-08 12:16 . 2009-10-15 17:21 82432 ------w- c:\windows\system32\dllcache\fontsub.dll
2011-11-08 12:16 . 2009-06-21 22:06 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2011-11-08 12:16 . 2009-10-23 14:27 3555328 ------w- c:\windows\system32\dllcache\moviemk.exe
2011-11-08 12:15 . 2008-05-01 14:31 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2011-11-08 12:15 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-11-08 12:09 . 2009-11-21 16:42 470528 ------w- c:\windows\system32\dllcache\aclayers.dll
2011-11-08 12:09 . 2010-06-14 14:30 743936 ------w- c:\windows\system32\dllcache\helpsvc.exe
2011-11-08 12:06 . 2009-06-05 07:46 655872 ------w- c:\windows\system32\dllcache\mstscax.dll
2011-11-08 12:06 . 2008-12-16 12:49 351232 ------w- c:\windows\system32\dllcache\winhttp.dll
2011-11-08 11:27 . 2008-04-21 21:27 219136 ------w- c:\windows\system32\dllcache\wordpad.exe
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuapi.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 19168 ----a-w- c:\windows\system32\wuaueng.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2011-11-08 11:16 . 2009-08-06 18:23 24792 ----a-w- c:\windows\system32\wucltui.dll.mui
2011-10-28 11:32 . 2011-10-28 11:34 -------- d-----w- c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP
2011-10-28 11:27 . 2011-10-28 11:35 -------- d-----w- C:\sh4ldr
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Enigma Software Group
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-23 13:11 . 2011-06-15 11:44 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-17 09:01 . 2010-10-06 13:11 42672 ----a-w- c:\windows\system32\drivers\fsbts.sys
2011-04-14 16:47 . 2011-05-31 08:21 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"PMX Daemon"="ICO.EXE" [2006-11-08 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2009-11-26 301680]
"F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2009-11-26 1653360]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-12-12 24576]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-9-24 654848]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06/10/2010 14:11 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06/10/2010 14:11 80016]
R1 eusk2par;Aladdin SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [30/09/2010 09:20 25680]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\HIPS\drivers\fshs.sys [06/10/2010 14:11 68080]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [06/10/2010 14:11 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [06/10/2010 14:11 61088]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [26/12/2006 19:42 18432]
S3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [26/12/2006 19:42 14336]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [09/11/2011 10:30 111872]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-11-09 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-11-09 21:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\CAB1\Application Data\Mozilla\Firefox\Profiles\m4sv5res.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-DriverScanner - c:\program files\Uniblue\DriverScanner\launcher.exe
AddRemove-HijackThis - c:\documents and settings\CAB1\Local Settings\Temporary Internet Files\Content.IE5\G9R5AOIW\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-09 11:45
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3892)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\F-Secure\Common\FSMA32.EXE
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\F-Secure\Common\FSHDLL32.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\F-Secure\Common\FNRB32.EXE
c:\program files\F-Secure\Common\FIH32.EXE
c:\program files\F-Secure\FWES\Program\fsdfwd.exe
c:\windows\stsystra.exe
c:\windows\system32\ICO.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-11-09 11:51:31 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-11-09 10:51
.
Avant-CF: 158 271 115 264 octets libres
Après-CF: 159 718 326 272 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - F5C09151B96B45EEB3729D24816CDD8B
ComboFix 11-11-08.02 - CAB1 09/11/2011 11:35:10.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.678 [GMT 1:00]
Lancé depuis: c:\documents and settings\CAB1\Bureau\dedette95.exe
AV: *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
AV: F-Secure Client Security 9.00 *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
FW: F-Secure Client Security 9.00 *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\privacy.exe
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\CAB1\Recent\facture.zip
c:\documents and settings\CAB1\Recent\Thumbs.db
c:\windows\$NtUninstallKB26118$
c:\windows\$NtUninstallKB26118$\1191176840
c:\windows\$NtUninstallKB26118$\3743237860\@
c:\windows\$NtUninstallKB26118$\3743237860\L\wpfcdaii
c:\windows\$NtUninstallKB26118$\3743237860\loader.tlb
c:\windows\$NtUninstallKB26118$\3743237860\U\@00000001
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000c0
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000cb
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000cf
c:\windows\$NtUninstallKB26118$\3743237860\U\@80000000
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000c0
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000cb
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000cf
c:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
c:\windows\system32\
c:\windows\system32\c_78750.nl_
c:\windows\system32\c_78750.nls
.
Une copie infectée de c:\windows\system32\drivers\netbt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078235.exe
.
Une copie infectée de c:\windows\system32\Ati2evxx.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\i386\ati2evxx.exe
.
Une copie infectée de c:\program files\F-Secure\Anti-Virus\fsgk32st.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP277\A0090249.exe
.
Une copie infectée de c:\program files\F-Secure\Common\FNRB32.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP260\A0078313.exe
.
Une copie infectée de c:\program files\F-Secure\FWES\Program\fsdfwd.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078241.exe
.
Une copie infectée de c:\program files\F-Secure\Common\FSMA32.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078236.EXE
.
Une copie infectée de c:\program files\Google\Update\GoogleUpdate.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP264\A0079668.exe
.
Une copie infectée de c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP263\A0079591.exe
.
Une copie infectée de c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078238.exe
.
Une copie infectée de c:\program files\iPod\bin\iPodService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078243.exe
.
Une copie infectée de c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078239.EXE
.
Une copie infectée de c:\program files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP286\A0096141.EXE
.
Une copie infectée de c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078238.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_df1d46e4
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-09 au 2011-11-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\drivers\netbt.sys
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\dllcache\netbt.sys
2011-11-09 09:30 . 2011-11-09 09:30 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-09 09:13 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-11-09 09:13 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-11-09 09:05 . 2011-11-09 09:05 -------- d-----w- c:\windows\system32\KB905474
2011-11-08 12:46 . 2011-11-08 12:46 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-08 12:37 . 2011-11-08 12:37 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
2011-11-08 12:16 . 2009-10-15 17:21 82432 ------w- c:\windows\system32\dllcache\fontsub.dll
2011-11-08 12:16 . 2009-06-21 22:06 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2011-11-08 12:16 . 2009-10-23 14:27 3555328 ------w- c:\windows\system32\dllcache\moviemk.exe
2011-11-08 12:15 . 2008-05-01 14:31 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2011-11-08 12:15 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-11-08 12:09 . 2009-11-21 16:42 470528 ------w- c:\windows\system32\dllcache\aclayers.dll
2011-11-08 12:09 . 2010-06-14 14:30 743936 ------w- c:\windows\system32\dllcache\helpsvc.exe
2011-11-08 12:06 . 2009-06-05 07:46 655872 ------w- c:\windows\system32\dllcache\mstscax.dll
2011-11-08 12:06 . 2008-12-16 12:49 351232 ------w- c:\windows\system32\dllcache\winhttp.dll
2011-11-08 11:27 . 2008-04-21 21:27 219136 ------w- c:\windows\system32\dllcache\wordpad.exe
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuapi.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 19168 ----a-w- c:\windows\system32\wuaueng.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2011-11-08 11:16 . 2009-08-06 18:23 24792 ----a-w- c:\windows\system32\wucltui.dll.mui
2011-10-28 11:32 . 2011-10-28 11:34 -------- d-----w- c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP
2011-10-28 11:27 . 2011-10-28 11:35 -------- d-----w- C:\sh4ldr
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Enigma Software Group
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-23 13:11 . 2011-06-15 11:44 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-17 09:01 . 2010-10-06 13:11 42672 ----a-w- c:\windows\system32\drivers\fsbts.sys
2011-04-14 16:47 . 2011-05-31 08:21 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"PMX Daemon"="ICO.EXE" [2006-11-08 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2009-11-26 301680]
"F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2009-11-26 1653360]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-12-12 24576]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-9-24 654848]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06/10/2010 14:11 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06/10/2010 14:11 80016]
R1 eusk2par;Aladdin SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [30/09/2010 09:20 25680]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\HIPS\drivers\fshs.sys [06/10/2010 14:11 68080]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [06/10/2010 14:11 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [06/10/2010 14:11 61088]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [26/12/2006 19:42 18432]
S3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [26/12/2006 19:42 14336]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [09/11/2011 10:30 111872]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-11-09 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-11-09 21:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\CAB1\Application Data\Mozilla\Firefox\Profiles\m4sv5res.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-DriverScanner - c:\program files\Uniblue\DriverScanner\launcher.exe
AddRemove-HijackThis - c:\documents and settings\CAB1\Local Settings\Temporary Internet Files\Content.IE5\G9R5AOIW\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-09 11:45
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3892)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\F-Secure\Common\FSMA32.EXE
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\F-Secure\Common\FSHDLL32.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\F-Secure\Common\FNRB32.EXE
c:\program files\F-Secure\Common\FIH32.EXE
c:\program files\F-Secure\FWES\Program\fsdfwd.exe
c:\windows\stsystra.exe
c:\windows\system32\ICO.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-11-09 11:51:31 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-11-09 10:51
.
Avant-CF: 158 271 115 264 octets libres
Après-CF: 159 718 326 272 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - F5C09151B96B45EEB3729D24816CDD8B
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
9 nov. 2011 à 11:58
9 nov. 2011 à 11:58
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
KillAll:: RegLockDel:: [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*] File:: C:\WINDOWS\system32\FM20ENU.DLL DirLook:: C:\sh4ldr
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Je pensais que c'était terminé car tout refonctionnent normalement (imprimante, google...)
Mais c'est toi le pro, alors je m'execute de suite
Mais c'est toi le pro, alors je m'execute de suite
ComboFix 11-11-08.02 - CAB1 09/11/2011 12:17:27.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.549 [GMT 1:00]
Lancé depuis: c:\documents and settings\CAB1\Bureau\dedette95.exe
Commutateurs utilisés :: c:\documents and settings\CAB1\Bureau\CFScript.txt
AV: *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
AV: F-Secure Client Security 9.00 *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
FW: F-Secure Client Security 9.00 *Disabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
FILE ::
"c:\windows\system32\FM20ENU.DLL"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\FM20ENU.DLL
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-09 au 2011-11-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\drivers\netbt.sys
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\dllcache\netbt.sys
2011-11-09 09:30 . 2011-11-09 09:30 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-09 09:13 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-11-09 09:13 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-11-09 09:05 . 2011-11-09 09:05 -------- d-----w- c:\windows\system32\KB905474
2011-11-08 12:46 . 2011-11-08 12:46 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-08 12:37 . 2011-11-08 12:37 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
2011-11-08 12:16 . 2009-10-15 17:21 82432 ------w- c:\windows\system32\dllcache\fontsub.dll
2011-11-08 12:16 . 2009-06-21 22:06 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2011-11-08 12:16 . 2009-10-23 14:27 3555328 ------w- c:\windows\system32\dllcache\moviemk.exe
2011-11-08 12:15 . 2008-05-01 14:31 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2011-11-08 12:15 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-11-08 12:09 . 2009-11-21 16:42 470528 ------w- c:\windows\system32\dllcache\aclayers.dll
2011-11-08 12:09 . 2010-06-14 14:30 743936 ------w- c:\windows\system32\dllcache\helpsvc.exe
2011-11-08 12:06 . 2009-06-05 07:46 655872 ------w- c:\windows\system32\dllcache\mstscax.dll
2011-11-08 12:06 . 2008-12-16 12:49 351232 ------w- c:\windows\system32\dllcache\winhttp.dll
2011-11-08 11:27 . 2008-04-21 21:27 219136 ------w- c:\windows\system32\dllcache\wordpad.exe
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuapi.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 19168 ----a-w- c:\windows\system32\wuaueng.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2011-11-08 11:16 . 2009-08-06 18:23 24792 ----a-w- c:\windows\system32\wucltui.dll.mui
2011-10-28 11:32 . 2011-10-28 11:34 -------- d-----w- c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP
2011-10-28 11:27 . 2011-10-28 11:35 -------- d-----w- C:\sh4ldr
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Enigma Software Group
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-23 13:11 . 2011-06-15 11:44 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-17 09:01 . 2010-10-06 13:11 42672 ----a-w- c:\windows\system32\drivers\fsbts.sys
2011-04-14 16:47 . 2011-05-31 08:21 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\sh4ldr ----
.
2011-10-28 11:28 . 2011-10-28 11:28 8192 ----a-w- c:\sh4ldr\shldr.mbr
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"PMX Daemon"="ICO.EXE" [2006-11-08 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2009-11-26 301680]
"F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2009-11-26 1653360]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-12-12 24576]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-9-24 654848]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06/10/2010 14:11 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06/10/2010 14:11 80016]
R1 eusk2par;Aladdin SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [30/09/2010 09:20 25680]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\HIPS\drivers\fshs.sys [06/10/2010 14:11 68080]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [06/10/2010 14:11 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [06/10/2010 14:11 61088]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [26/12/2006 19:42 18432]
S3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [26/12/2006 19:42 14336]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [09/11/2011 10:30 111872]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-11-09 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-11-09 21:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\CAB1\Application Data\Mozilla\Firefox\Profiles\m4sv5res.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-09 12:23
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3984)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\F-Secure\Common\FSMA32.EXE
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\F-Secure\Common\FSHDLL32.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\F-Secure\Common\FNRB32.EXE
c:\program files\F-Secure\FWES\Program\fsdfwd.exe
c:\program files\F-Secure\Common\FIH32.EXE
c:\windows\stsystra.exe
c:\windows\system32\ICO.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-11-09 12:29:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-11-09 11:29
ComboFix2.txt 2011-11-09 10:51
.
Avant-CF: 159 713 591 296 octets libres
Après-CF: 159 709 913 088 octets libres
.
- - End Of File - - 13C7BDC86728672A07EA8B6667289391
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.549 [GMT 1:00]
Lancé depuis: c:\documents and settings\CAB1\Bureau\dedette95.exe
Commutateurs utilisés :: c:\documents and settings\CAB1\Bureau\CFScript.txt
AV: *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
AV: F-Secure Client Security 9.00 *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
FW: F-Secure Client Security 9.00 *Disabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
FILE ::
"c:\windows\system32\FM20ENU.DLL"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\FM20ENU.DLL
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-09 au 2011-11-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\drivers\netbt.sys
2011-11-09 10:32 . 2004-08-05 12:00 162816 ----a-w- c:\windows\system32\dllcache\netbt.sys
2011-11-09 09:30 . 2011-11-09 09:30 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-09 09:13 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-11-09 09:13 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-11-09 09:05 . 2011-11-09 09:05 -------- d-----w- c:\windows\system32\KB905474
2011-11-08 12:46 . 2011-11-08 12:46 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-08 12:37 . 2011-11-08 12:37 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2011-11-08 12:17 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
2011-11-08 12:16 . 2009-10-15 17:21 82432 ------w- c:\windows\system32\dllcache\fontsub.dll
2011-11-08 12:16 . 2009-06-21 22:06 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2011-11-08 12:16 . 2009-10-23 14:27 3555328 ------w- c:\windows\system32\dllcache\moviemk.exe
2011-11-08 12:15 . 2008-05-01 14:31 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2011-11-08 12:15 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-11-08 12:09 . 2009-11-21 16:42 470528 ------w- c:\windows\system32\dllcache\aclayers.dll
2011-11-08 12:09 . 2010-06-14 14:30 743936 ------w- c:\windows\system32\dllcache\helpsvc.exe
2011-11-08 12:06 . 2009-06-05 07:46 655872 ------w- c:\windows\system32\dllcache\mstscax.dll
2011-11-08 12:06 . 2008-12-16 12:49 351232 ------w- c:\windows\system32\dllcache\winhttp.dll
2011-11-08 11:27 . 2008-04-21 21:27 219136 ------w- c:\windows\system32\dllcache\wordpad.exe
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuapi.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 19168 ----a-w- c:\windows\system32\wuaueng.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24 16096 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2011-11-08 11:16 . 2009-08-06 18:23 24792 ----a-w- c:\windows\system32\wucltui.dll.mui
2011-10-28 11:32 . 2011-10-28 11:34 -------- d-----w- c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP
2011-10-28 11:27 . 2011-10-28 11:35 -------- d-----w- C:\sh4ldr
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Enigma Software Group
2011-10-28 11:27 . 2011-10-28 11:27 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-23 13:11 . 2011-06-15 11:44 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-17 09:01 . 2010-10-06 13:11 42672 ----a-w- c:\windows\system32\drivers\fsbts.sys
2011-04-14 16:47 . 2011-05-31 08:21 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\sh4ldr ----
.
2011-10-28 11:28 . 2011-10-28 11:28 8192 ----a-w- c:\sh4ldr\shldr.mbr
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"PMX Daemon"="ICO.EXE" [2006-11-08 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2009-11-26 301680]
"F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2009-11-26 1653360]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-12-12 24576]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-9-24 654848]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06/10/2010 14:11 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06/10/2010 14:11 80016]
R1 eusk2par;Aladdin SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [30/09/2010 09:20 25680]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\HIPS\drivers\fshs.sys [06/10/2010 14:11 68080]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [06/10/2010 14:11 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [06/10/2010 14:11 61088]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [26/12/2006 19:42 18432]
S3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [26/12/2006 19:42 14336]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [09/11/2011 10:30 111872]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-11-09 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-11-09 21:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\CAB1\Application Data\Mozilla\Firefox\Profiles\m4sv5res.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-09 12:23
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3984)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\F-Secure\Common\FSMA32.EXE
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\F-Secure\Common\FSHDLL32.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\F-Secure\Common\FNRB32.EXE
c:\program files\F-Secure\FWES\Program\fsdfwd.exe
c:\program files\F-Secure\Common\FIH32.EXE
c:\windows\stsystra.exe
c:\windows\system32\ICO.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-11-09 12:29:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-11-09 11:29
ComboFix2.txt 2011-11-09 10:51
.
Avant-CF: 159 713 591 296 octets libres
Après-CF: 159 709 913 088 octets libres
.
- - End Of File - - 13C7BDC86728672A07EA8B6667289391
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
9 nov. 2011 à 12:37
9 nov. 2011 à 12:37
ok la suite avec jlpjlp :)
Merci beaucoup pour ton aide!!
Tu ne m'as pas sauvé la vie mais presque!!
Tu ne m'as pas sauvé la vie mais presque!!
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
9 nov. 2011 à 12:47
9 nov. 2011 à 12:47
mdr 2 fois rien ^^
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
9 nov. 2011 à 14:10
9 nov. 2011 à 14:10
beau boulot !
pour controler
télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
pour controler
télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Rapport MALWAREBYTE :
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8124
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
09/11/2011 15:33:02
mbam-log-2011-11-09 (15-33-02).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 173954
Temps écoulé: 2 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8124
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
09/11/2011 15:33:02
mbam-log-2011-11-09 (15-33-02).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 173954
Temps écoulé: 2 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
J'ai bien eu un rapport de ZHPDiag
Par contre quand je clic sur www.cijoint.fr il me dirige vers http://www.online.net/, donc je ne trouve pas la partie "joindre un fichier ?!
Par contre quand je clic sur www.cijoint.fr il me dirige vers http://www.online.net/, donc je ne trouve pas la partie "joindre un fichier ?!
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
9 nov. 2011 à 15:45
9 nov. 2011 à 15:45
ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.