Sujet Précédent Sujet Suivant

Comment supprimer XP internet security 2012?

Résolu/Fermé
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 - 20 déc. 2011 à 22:40
 g3n-h@ckm@n - 23 janv. 2012 à 19:45
Bonjour,
j'ai attrapé sur un pc ce virus et je n'arrive pas à le supprimer.
Il me bloque tout..
J'ai fait le tour de quelques méthodes, mais je ne comprend pas tout..
J'ai lancé un pre_scan, mais après que faire??
Si quelqu'un pouvait m'aider, svp..
Merci
A voir également:

53 réponses

Précédent
Réponse 21 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
21 déc. 2011 à 12:26
en attendant voici le rapport de gmer :

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2011-12-21 12:23:22
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST3200826AS rev.3.03
Running: st88m4rd.exe; Driver: D:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\kwddikoc.sys


---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort4 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort5 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP5T0L0-14 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----
0
Réponse 22 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
21 déc. 2011 à 12:29
Re,

Attention, le fichier se trouve sur le disque D:.

Il est peut-être caché.
Fais apparaitre les dossiers systèmes et cachés sur le PC.
Puis réessaie.

------------------------------------------------

Pour montrer sur l'ordinateur tous les fichiers, cachés et systèmes :

--> Poste de travail --> Outils --> Options des dossiers --> Onglet Affichage
# Vérifier que " Afficher les fichiers et dossiers cachés" est coché.
# Vérifier que " Masquer les fichiers protégés du système d'exploitation ( recommandé )" est décoché.

A+
0
Réponse 23 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
21 déc. 2011 à 15:08
Re,

1/ Relance OTL.exe.

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL
PRC - [2011/12/17 11:51:09 | 001,003,520 | RHS- | M] (ante illese) -- D:\Documents and Settings\Famille Venet\M-1-25-5432-6437-5685\winmgr.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Documents and Settings\Famille Venet\M-1-25-5432-6437-5685\winmgr.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"bfjwancf"=-
"{8686D4FE-62EF-46FB-B9FD-00679EB381FF}_is1"=-
"{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}"=-

:files
D:\Documents and Settings\Famille Venet\M-1-25-5432-6437-5685

:Commands
[Emptytemp]


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log


2/ Télécharge AswMBR sur ton bureau ( important ).
http://public.avast.com/~gmerek/aswMBR.exe

* Double-clique sur awsmbr.exe
* Puis clique sur Scan pour lancer l'analyse
* A la fin de l'analyse, clique sur Save Log pour enregistrer le rapport.

Edite ce rapport dans ta prochaine réponse.

A+
0
Réponse 24 / 53
fab1003
22 déc. 2011 à 14:18
re,
depuis le début des manipulations, j'utilise un ordinateur portable et une clé usb pour t'envoyer les rapports du pc "familial", j'ai remarqué l'apparition d'un fichier nommé "winsvrm" (dans description: massi dava argine vogava" que faut -il que je fasse de ce fichier (virus??).
Est-il dangereux de brancher la clé sur mon pc portable??
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
22 déc. 2011 à 14:50
Re,

Pas d'infections visibles sur les supports amovibles sur le PC infecté.
Pour le fichier winsvrm, c'est sur la clé ?

Par précaution, utilise l'outil suivant sur ton portable.

Télécharge USBFix ( par El Desaparecido ) sur ton bureau.

* Double clique sur UsbFix.exe présent sur ton bureau .
* clique sur Rechercher.
* Un message t'avertira de brancher les supports amovibles.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
FAIS-LE.
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

----------------------------------------------------------

Tu me dis que tu utilises un autre PC.
Tu préfères que le PC soit désinfecté avant de le connecter au net.

On va utiliser certains outils qui nécessiteront pourtant que le PC infecté soit connecté au net.
Je te les indiquerais.

Commence par USBFix.
On poursuivra ensuite avec le PC.

A+
0
Réponse 26 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
23 déc. 2011 à 11:44
Voici le rapport de mon pc portable :

############################## | UsbFix V 7.076 | [Recherche]

Utilisateur: Propriétaire (Administrateur) # PC-DE-PROPRIÉTA
Mis à jour le 21/12/2011 par El Desaparecido
Lancé à 11:31:48 | 23/12/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

PC: Acer, inc. (Aspire 5920G ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Core(TM)2 Duo CPU T5450 @ 1.66GHz (1667)
RAM -> [ Total : 2046 | Free : 818 ]
BIOS: ZD1 v0.3508 3E08
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.19170

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: avast! Antivirus [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 139 Go (37 Go libre(s) - 27%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (298 Mo libre(s) - 15%) [] # FAT
H:\ -> Disque fixe # 466 Go (149 Go libre(s) - 32%) [LG External HDD Drive] # NTFS

################## | Processus Actif |

C:\Windows\system32\csrss.exe (652)
C:\Windows\system32\wininit.exe (700)
C:\Windows\system32\csrss.exe (712)
C:\Windows\system32\services.exe (744)
C:\Windows\system32\lsass.exe (760)
C:\Windows\system32\lsm.exe (768)
C:\Windows\system32\winlogon.exe (804)
C:\Windows\system32\svchost.exe (952)
C:\Windows\system32\nvvsvc.exe (1012)
C:\Windows\system32\svchost.exe (1040)
C:\Windows\System32\svchost.exe (1076)
C:\Windows\System32\svchost.exe (1176)
C:\Windows\System32\svchost.exe (1204)
C:\Windows\system32\svchost.exe (1216)
C:\Windows\system32\svchost.exe (1344)
C:\Windows\system32\SLsvc.exe (1360)
C:\Windows\system32\rundll32.exe (1476)
C:\Windows\system32\svchost.exe (1488)
C:\Windows\system32\svchost.exe (1580)
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1760)
C:\Windows\system32\WLANExt.exe (1776)
C:\Windows\System32\spoolsv.exe (960)
C:\Windows\system32\svchost.exe (1312)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1820)
C:\Program Files\Bonjour\mDNSResponder.exe (624)
C:\Program Files\Intel\WiFi\bin\EvtEng.exe (2124)
C:\Windows\system32\FsUsbExService.Exe (2216)
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe (2240)
C:\Program Files\Nero\Update\NASvc.exe (2284)
C:\Windows\system32\svchost.exe (2360)
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (2388)
C:\Program Files\CyberLink\Shared Files\RichVideo.exe (2416)
C:\Windows\system32\svchost.exe (2448)
C:\Windows\System32\svchost.exe (2480)
C:\Windows\system32\SearchIndexer.exe (2508)
C:\Windows\system32\DRIVERS\xaudio.exe (2624)
C:\Windows\system32\wbem\wmiprvse.exe (2848)
C:\Windows\system32\taskeng.exe (1372)
C:\Windows\system32\Dwm.exe (2764)
C:\Windows\Explorer.EXE (2960)
C:\Program Files\Windows Defender\MSASCui.exe (1824)
C:\Program Files\Alwil Software\Avast5\AvastUI.exe (3776)
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe (3628)
C:\Windows\PLFSetI.exe (3168)
C:\Windows\RtHDVCpl.exe (3924)
C:\Users\PROPRI~1\AppData\Local\Temp\RtkBtMnt.exe (1256)
C:\Windows\system32\svchost.exe (3008)
C:\Windows\system32\taskeng.exe (2112)
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (4212)
C:\Windows\System32\rundll32.exe (4228)
C:\Program Files\iTunes\iTunesHelper.exe (4504)
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe (4544)
C:\Program Files\Windows Media Player\wmpnscfg.exe (4620)
C:\Program Files\Windows Media Player\wmpnetwk.exe (3412)
C:\Program Files\iPod\bin\iPodService.exe (5172)
C:\Program Files\Internet Explorer\iexplore.exe (3656)
C:\Program Files\Internet Explorer\iexplore.exe (3212)
C:\Windows\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe (5480)
C:\Windows\system32\wuauclt.exe (1332)
C:\Program Files\Internet Explorer\iexplore.exe (5656)
C:\Program Files\Internet Explorer\iexplore.exe (4144)
C:\Windows\system32\WUDFHost.exe (3404)
\\?\C:\Windows\system32\wbem\WMIADAP.EXE (1796)
C:\UsbFix\Go.exe (1436)
C:\Windows\system32\wbem\wmiprvse.exe (5348)

################## | Éléments infectieux |

Présent! E:\GTRE du 23 09 09.lnk
Présent! E:\GTRE du 25 11 09.lnk
Présent! E:\gtre du 17 03 10.lnk
Présent! E:\EDS 8 04 10.lnk
Présent! E:\PAS CVF.lnk
Présent! E:\ECS 2011.lnk
Présent! E:\PAS 3 DCC.lnk
Présent! E:\2010.lnk
Présent! E:\2011.lnk
Présent! E:\consignation a' Chooz (ouf...).lnk
Présent! E:\joris dossiers.lnk
Présent! E:\Talisman a' Chazey 21 06 2011.lnk
Présent! E:\autorun.inf
Présent! E:\winsvrm.exe
Présent! E:\6497125

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\E
Shell\AutoRun\Command = E:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\F
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{2202fbbe-746a-11df-8bd1-001b2454391f}
Shell\AutoRun\Command = H:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{96df9fb5-17f5-11df-bfa0-001b2454391f}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{c30c0854-8981-11df-aabb-001b2454391f}
Shell\AutoRun\Command = cj1m.com
Shell\open\Command = cj1m.com

HKCU\.\.\.\.\Explorer\MountPoints2\{de4bff8e-a707-11df-a4d8-001b2454391f}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs

HKCU\.\.\.\.\Explorer\MountPoints2\{de4bff93-a707-11df-a4d8-001b2454391f}
Shell\AutoRun\Command = G:\LaunchU3.exe -a



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 27 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
23 déc. 2011 à 16:10
Voici le rapport de suppression :

############################## | UsbFix V 7.076 | [Suppression]

Utilisateur: Propriétaire (Administrateur) # PC-DE-PROPRIÉTA
Mis à jour le 21/12/2011 par El Desaparecido
Lancé à 15:16:20 | 23/12/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

PC: Acer, inc. (Aspire 5920G ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Core(TM)2 Duo CPU T5450 @ 1.66GHz (1667)
RAM -> [ Total : 2046 | Free : 870 ]
BIOS: ZD1 v0.3508 3E08
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.19170

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: avast! Antivirus [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 139 Go (32 Go libre(s) - 23%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (298 Mo libre(s) - 15%) [] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (652)
C:\Windows\system32\wininit.exe (700)
C:\Windows\system32\services.exe (744)
C:\Windows\system32\lsass.exe (760)
C:\Windows\system32\lsm.exe (768)
C:\Windows\system32\svchost.exe (952)
C:\Windows\system32\svchost.exe (1040)
C:\Windows\System32\svchost.exe (1076)
C:\Windows\System32\svchost.exe (1176)
C:\Windows\System32\svchost.exe (1204)
C:\Windows\system32\svchost.exe (1216)
C:\Windows\system32\svchost.exe (1344)
C:\Windows\system32\svchost.exe (1488)
C:\Windows\system32\svchost.exe (1580)
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1760)
C:\Windows\system32\svchost.exe (1312)
C:\Windows\system32\svchost.exe (2360)
C:\Windows\system32\svchost.exe (2448)
C:\Windows\System32\svchost.exe (2480)
C:\Windows\system32\svchost.exe (3008)
C:\Windows\system32\wbem\wmiprvse.exe (5916)
C:\Windows\system32\WUDFHost.exe (4348)
C:\Program Files\Windows Media Player\wmpnetwk.exe (4692)
C:\Windows\system32\SearchIndexer.exe (4812)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2396)
C:\Windows\System32\spoolsv.exe (812)
C:\Windows\system32\SLsvc.exe (3992)
C:\Windows\system32\SearchProtocolHost.exe (5128)
C:\Windows\system32\csrss.exe (4444)
C:\Windows\system32\winlogon.exe (4264)
C:\Windows\system32\Dwm.exe (5624)
C:\Windows\system32\taskeng.exe (5392)
C:\Windows\system32\taskeng.exe (12)
C:\Windows\Explorer.EXE (172)
C:\Program Files\Windows Defender\MSASCui.exe (1800)
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe (4540)
C:\Program Files\Alwil Software\Avast5\AvastUI.exe (3968)
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe (3016)
C:\Windows\PLFSetI.exe (5604)
C:\Windows\RtHDVCpl.exe (3716)
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (4224)
C:\Windows\System32\rundll32.exe (2512)
C:\Program Files\iTunes\iTunesHelper.exe (2948)
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe (3832)
C:\Program Files\Windows Live\Messenger\msnmsgr.exe (4088)
C:\Program Files\Skype\Phone\Skype.exe (3304)
C:\Windows\system32\wuauclt.exe (4464)
C:\Users\PROPRI~1\AppData\Local\Temp\RtkBtMnt.exe (3368)
C:\Program Files\iPod\bin\iPodService.exe (4376)
C:\Windows\system32\taskeng.exe (3932)
C:\Windows\system32\SearchFilterHost.exe (4412)
C:\Windows\System32\mobsync.exe (4768)
C:\Program Files\Windows Media Player\wmpnscfg.exe (3776)
C:\UsbFix\Go.exe (4508)

################## | Processus Stoppés |

Stoppé! C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1760)
Stoppé! C:\Windows\system32\WUDFHost.exe (4348)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (4692)
Stoppé! C:\Windows\system32\SearchIndexer.exe (4812)
Stoppé! C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2396)
Stoppé! C:\Windows\System32\spoolsv.exe (812)
Stoppé! C:\Windows\system32\SLsvc.exe (3992)
Stoppé! C:\Windows\system32\SearchProtocolHost.exe (5128)
Stoppé! C:\Windows\system32\taskeng.exe (5392)
Stoppé! C:\Windows\system32\taskeng.exe (12)
Stoppé! C:\Program Files\Windows Defender\MSASCui.exe (1800)
Stoppé! C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe (4540)
Stoppé! C:\Program Files\Alwil Software\Avast5\AvastUI.exe (3968)
Stoppé! C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe (3016)
Stoppé! C:\Windows\PLFSetI.exe (5604)
Stoppé! C:\Windows\RtHDVCpl.exe (3716)
Stoppé! C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (4224)
Stoppé! C:\Windows\System32\rundll32.exe (2512)
Stoppé! C:\Program Files\iTunes\iTunesHelper.exe (2948)
Stoppé! C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe (3832)
Stoppé! C:\Program Files\Windows Live\Messenger\msnmsgr.exe (4088)
Stoppé! C:\Program Files\Skype\Phone\Skype.exe (3304)
Stoppé! C:\Windows\system32\wuauclt.exe (4464)
Stoppé! C:\Users\PROPRI~1\AppData\Local\Temp\RtkBtMnt.exe (3368)
Stoppé! C:\Program Files\iPod\bin\iPodService.exe (4376)
Stoppé! C:\Windows\system32\taskeng.exe (3932)
Stoppé! C:\Windows\system32\SearchFilterHost.exe (4412)
Stoppé! C:\Windows\System32\mobsync.exe (4768)
Stoppé! C:\Program Files\Windows Media Player\wmpnscfg.exe (3776)
Stoppé! C:\Windows\system32\SearchProtocolHost.exe (2612)

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-119766968-733425121-3529086078-1000
Supprimé! E:\autorun.inf
Supprimé! E:\winsvrm.exe
Supprimé! E:\6497125

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\E
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2202fbbe-746a-11df-8bd1-001b2454391f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{96df9fb5-17f5-11df-bfa0-001b2454391f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c30c0854-8981-11df-aabb-001b2454391f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{de4bff8e-a707-11df-a4d8-001b2454391f}

################## | Listing |

[23/12/2011 - 15:21:35 | SHD ] C:\$Recycle.Bin
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[09/02/2010 - 11:52:47 | D ] C:\Boot
[11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
[06/02/2010 - 10:04:35 | N | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[04/02/2008 - 11:39:22 | N | 18944] C:\Cov2007Base.arx
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[22/12/2011 - 03:27:07 | ASH | 2145820672] C:\hiberfil.sys
[06/02/2010 - 10:57:31 | D ] C:\Intel
[12/02/2010 - 17:54:30 | RHD ] C:\MSOCache
[22/12/2011 - 03:27:04 | ASH | 2459627520] C:\pagefile.sys
[09/02/2010 - 10:36:02 | D ] C:\PerfLogs
[09/06/2011 - 20:07:52 | N | 62] C:\prefs.js
[20/12/2011 - 20:57:30 | D ] C:\Program Files
[20/12/2011 - 20:57:30 | HD ] C:\ProgramData
[23/12/2011 - 08:59:34 | SHD ] C:\System Volume Information
[23/12/2011 - 15:21:36 | D ] C:\UsbFix
[23/12/2011 - 15:16:48 | A | 6985] C:\UsbFix.txt
[06/02/2010 - 10:23:17 | D ] C:\Users
[21/12/2011 - 11:01:10 | D ] C:\Windows
[12/02/2010 - 23:54:29 | N | 914] C:\WirelessDiagLog.csv
[25/11/2009 - 12:28:30 | D ] E:\GTRE du 23 09 09
[25/11/2009 - 12:29:40 | D ] E:\GTRE du 25 11 09
[17/03/2010 - 12:30:10 | D ] E:\gtre du 17 03 10
[01/04/2010 - 09:34:56 | N | 2603867] E:\CONSIGNATION 9 TEP 05 FI.pdf
[01/04/2010 - 10:21:14 | N | 45056] E:\décision edp en zc indice 1 en attente réponse ssr.doc
[08/04/2010 - 09:17:34 | D ] E:\EDS 8 04 10
[07/10/2010 - 08:54:26 | D ] E:\PAS CVF
[21/10/2010 - 11:42:20 | N | 844288] E:\20101004 EDE Causeries Sécurité.ppt
[13/11/2010 - 14:12:28 | D ] E:\Fast800_A4.8_france
[18/11/2010 - 09:17:54 | N | 24064] E:\Sécurité à SCO 18 11 2010.doc
[02/12/2010 - 08:31:58 | D ] E:\ECS 2011
[06/01/2011 - 08:48:44 | D ] E:\PAS 3 DCC
[13/01/2011 - 10:36:30 | N | 1036288] E:\Causerie Sécu Levage.ppt
[17/02/2011 - 09:37:14 | N | 1817088] E:\Minute sécurité 63 11 Manutention manuelle - 1-4h.ppt
[10/03/2011 - 18:39:48 | N | 735064064] E:\Dikkenek.avi
[05/02/2011 - 15:40:42 | N | 732069888] E:\slim-httmtf.avi
[17/03/2011 - 09:09:38 | D ] E:\2010
[17/03/2011 - 09:09:52 | D ] E:\2011
[11/04/2011 - 11:29:24 | N | 555008] E:\présentation ACCIDENT agent SCO le 18 03 2011.doc
[09/05/2011 - 08:21:36 | N | 539136] E:\arrivée d'eau dans condenseur Tr4.doc
[26/05/2011 - 12:04:24 | D ] E:\consignation à Chooz (ouf...)
[09/06/2011 - 21:56:30 | D ] E:\joris dossiers
[28/04/2011 - 08:52:52 | D ] E:\Talisman à Chazey 21 06 2011
[21/09/2011 - 12:35:36 | N | 69120] E:\Dilution 4 EAS 001 BA (4 VD26) proposition actions.doc
[29/11/2011 - 10:47:20 | N | 393216] E:\recensement des problèmes sécurité à SCO.xls
[29/11/2011 - 10:38:12 | N | 23040] E:\RECENSEMENT DES PROBLEMES SECURITE A SCO.doc
[29/11/2011 - 10:38:56 | N | 964096] E:\fiche GETM Demande de modification 5 SAPR 078 QD.doc
[29/11/2011 - 10:39:22 | N | 1312256] E:\Echappement des soupapes SVA au dessus des parcs à gaz.doc
[20/12/2011 - 22:18:32 | N | 771072] E:\RogueKiller.exe
[20/12/2011 - 22:23:50 | N | 6436656] E:\Pre_scan.exe
[20/12/2011 - 22:29:16 | N | 4191643] E:\ZHPDiag2.exe
[20/12/2011 - 23:00:46 | N | 1557791] E:\tdsskiller.zip
[20/12/2011 - 23:38:30 | N | 302592] E:\st88m4rd.exe
[20/12/2011 - 23:38:58 | N | 584192] E:\OTL.exe
[20/12/2011 - 23:46:44 | N | 619] E:\Nouveau document texte.txt
[20/12/2011 - 23:53:44 | N | 161770] E:\OTL.Txt
[20/12/2011 - 23:53:50 | N | 49476] E:\Extras.Txt
[20/12/2011 - 23:37:28 | N | 655] E:\RKreport[3].txt
[20/12/2011 - 23:59:46 | N | 9360] E:\rapportgmer.log
[21/12/2011 - 11:31:58 | N | 87990] E:\12212011_105705.log
[22/12/2011 - 14:07:56 | N | 1917952] E:\aswMBR.exe

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |
0
Réponse 28 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
23 déc. 2011 à 16:13
voici la derniere correction OTL:
All processes killed
========== OTL ==========
No active process named winmgr.exe was found!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\D:\Documents and Settings\Famille Venet\M-1-25-5432-6437-5685\winmgr.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\bfjwancf not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\{8686D4FE-62EF-46FB-B9FD-00679EB381FF}_is1 not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8686D4FE-62EF-46FB-B9FD-00679EB381FF}_is1\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\ not found.
========== FILES ==========
D:\Documents and Settings\Famille Venet\M-1-25-5432-6437-5685 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Account.1883 (Retrieved after unexpected restart.)
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Account.5145 (Retrieved after unexpected restart.)
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Account.8491 (Retrieved after unexpected restart.)
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Famille Venet
->Temp folder emptied: 10115410 bytes
->Temporary Internet Files folder emptied: 30042743 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 2826 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Propriétaire

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 38,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12212011_151456

Files\Folders moved on Reboot...
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF7A7.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF7BB.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF81C.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF830.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF9183.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF958.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF96C.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF9B7.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DF9CB.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFA18.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFA2C.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFB416.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFB4B.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFB5F.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFBAA.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFBC0.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFCDE.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFCF2.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFD3C.tmp not found!
File\Folder D:\Documents and Settings\Famille Venet\Local Settings\Temp\~DFD54.tmp not found!
D:\Documents and Settings\Famille Venet\Local Settings\Temporary Internet Files\Content.IE5\YLALW9K6\affich-23952310-comment-supprimer-xp-internet-security-2012[1].htm moved successfully.
D:\Documents and Settings\Famille Venet\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
D:\Documents and Settings\Famille Venet\Local Settings\Temporary Internet Files\SuggestedSites.dat moved successfully.
C:\WINDOWS\temp\_av_proI.tm~a03396\setup.lok moved successfully.
C:\WINDOWS\temp\_av_proI.tm~a03396\stamp.tmp.dld moved successfully.
File\Folder C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_5b8.dat moved successfully.

Registry entries deleted on Reboot...

----------------------------------------------------------------------------------------------------

et le rapport Aswmbr :
aswMBR version 0.9.9.1116 Copyright(c) 2011 AVAST Software
Run date: 2011-12-23 11:34:31
-----------------------------
11:34:31.484 OS Version: Windows 5.1.2600 Service Pack 2
11:34:31.484 Number of processors: 1 586 0x2F02
11:34:31.515 ComputerName: 113726460314 UserName:
11:34:41.109 Initialize success
11:34:53.515 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
11:34:53.515 Disk 0 Vendor: ST3200826AS 3.03 Size: 190782MB BusType: 3
11:34:53.562 Disk 0 MBR read successfully
11:34:53.562 Disk 0 MBR scan
11:34:53.562 Disk 0 Windows XP default MBR code
11:34:53.578 Disk 0 Partition 1 00 1C Hidd FAT32 LBA MSWIN4.1 7993 MB offset 63
11:34:53.593 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 30710 MB offset 16370235
11:34:53.609 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 152068 MB offset 79280775
11:34:53.656 Disk 0 scanning sectors +390716865
11:34:53.843 Disk 0 scanning C:\WINDOWS\system32\drivers
11:35:00.328 File: C:\WINDOWS\system32\drivers\afd.sys **SUSPICIOUS**
11:35:26.484 Service scanning
11:35:31.640 Modules scanning
11:35:49.812 Module: C:\WINDOWS\System32\drivers\afd.sys **SUSPICIOUS**
11:36:01.093 Disk 0 trace - called modules:
11:36:01.109 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85538f10]<<
11:36:01.109 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8593cab8]
11:36:01.125 3 CLASSPNP.SYS[f75fd05b] -> nt!IofCallDriver -> [0x855f2320]
11:36:01.125 \Driver\00001530[0x855f3698] -> IRP_MJ_CREATE -> 0x85538f10
11:36:01.125 Scan finished successfully
11:36:35.437 Disk 0 MBR has been saved successfully to "D:\Documents and Settings\Famille Venet\Bureau\MBR.dat"
11:36:35.437 The log file has been saved successfully to "D:\Documents and Settings\Famille Venet\Bureau\aswMBR.txt"
0
Réponse 29 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
23 déc. 2011 à 17:21
Re,

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
0
Réponse 30 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
23 déc. 2011 à 18:54
fab1003,

As-tu envoyé le fichier .zip crée sur ton bureau à l"auteur d'USBFix ?
Contact : contact@eldesaparecido.com

Merci.
0
Réponse 31 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
Modifié par fab1003 le 23/12/2011 à 19:20
Re,
ComboFix il faut que je le télécharge pour quel pc, celui qui était infecté ou le pc portable??
Non je lui enverrais.
0
Réponse 32 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
23 déc. 2011 à 19:24
Re,

Télécharge-le sur le PC infecté.

A+
0
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
23 déc. 2011 à 19:32
voici le rap

Utilisateur: Famille Venet (Administrateur) # 113726460314
Mis à jour le 21/12/2011 par El Desaparecido
Lancé à 19:21:16 | 23/12/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

PC: Packard Bell NEC (IMEDIA 6426) (X86-based PC) # Desktop Computer
CPU: AMD Athlon(tm) 64 Processor 3400+ (2188)
RAM -> [ Total : 959 | Free : 378 ]
BIOS: BIOS Date: 12/13/05 11:56:25 Ver: 08.00.12
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ -> Disque fixe # 30 Go (14 Go libre(s) - 46%) [HDD] # NTFS
D:\ (%systemdrive%) -> Disque fixe # 149 Go (48 Go libre(s) - 32%) [DATA] # NTFS
E:\ -> CD-ROM
J:\ -> Disque amovible # 2 Go (310 Mo libre(s) - 15%) [] # FAT

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (464)
C:\WINDOWS\system32\winlogon.exe (624)
C:\WINDOWS\system32\services.exe (676)
C:\WINDOWS\system32\lsass.exe (688)
C:\WINDOWS\system32\Ati2evxx.exe (848)
C:\WINDOWS\system32\svchost.exe (872)
C:\WINDOWS\System32\svchost.exe (1012)
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1252)
C:\Program Files\Alwil Software\Avast4\ashServ.exe (1336)
C:\WINDOWS\system32\Ati2evxx.exe (1440)
C:\WINDOWS\Explorer.EXE (1524)
C:\WINDOWS\SOUNDMAN.EXE (1824)
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe (1832)
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe (1840)
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe (1848)
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe (1860)
C:\Apps\Powercinema\PCMService.exe (1872)
C:\apps\ABoard\ABoard.exe (1888)
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (1928)
C:\Program Files\QuickTime\qttask.exe (1936)
C:\apps\ABoard\AOSD.exe (1952)
C:\Program Files\iTunes\iTunesHelper.exe (1944)
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe (2020)
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (2016)
C:\Program Files\SweetIM\Messenger\SweetIM.exe (192)
C:\APPS\SMP\SmpSys.exe (200)
C:\WINDOWS\system32\ctfmon.exe (220)
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (232)
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe (416)
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe (456)
D:\Documents and Settings\Famille Venet\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (492)
C:\WINDOWS\system32\spoolsv.exe (1384)
C:\WINDOWS\system32\msfeedssync.exe (1900)
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (2140)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (2172)
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe (2224)
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (2260)
C:\WINDOWS\System32\FTRTSVC.exe (2284)
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe (2292)
c:\APPS\HIDSERVICE\HIDSERVICE.exe (2316)
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (2420)
C:\WINDOWS\system32\svchost.exe (2620)
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe (2708)
c:\APPS\Powercinema\Kernel\TV\CLSched.exe (2936)
C:\Program Files\iPod\bin\iPodService.exe (3336)
C:\PROGRA~1\Wanadoo\Watch.exe (396)
C:\Program Files\Internet Explorer\iexplore.exe (2524)
C:\Program Files\Alwil Software\Avast4\setup\avast.setup (2448)
C:\Program Files\Internet Explorer\iexplore.exe (2464)
C:\Program Files\Microsoft\Search Enhancement Pack\SCServer\SCServer.exe (948)
C:\WINDOWS\System32\ping.exe (1784)
C:\UsbFix\Go.exe (3248)
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe (2684)
C:\PROGRA~1\Wanadoo\ComComp.exe (4048)
C:\PROGRA~1\Wanadoo\Toaster.exe (2404)
C:\PROGRA~1\Wanadoo\Inactivity.exe (2680)
C:\PROGRA~1\Wanadoo\PollingModule.exe (3712)
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE (2372)

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
port recherche usbfix :
0
Réponse 33 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
23 déc. 2011 à 19:34
verni29,
je ne trouve pas le fichier zip issu d'usbfix à envoyer
0
Réponse 34 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
23 déc. 2011 à 19:41
fab1003,

Pas simple de donner des consignes sur deux PC à la fois et je crois que tu t'y perds un peu.
C'est un peu de ma faute. j'enchaine les consignes.

Je récapitule.

1/ Tu as bien passé USBFix sur ton PC sain et il a détecté les infections sur la clé.
C'est sur ce PC que tu trouveras le fichier à envoyer.

2/ OTL + AswMBR --> OK

3/ USBFix sur le PC infecté, tu viens de le faire.

Tu peux poursuivre avec Combofix.
On n'aura plus besoin d'utiliser ton PC sain. On va utiliser uniquement le PC infecté.

A+
0
Réponse 35 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
24 déc. 2011 à 16:02
Voici les rapports Combofix :
https://www.cjoint.com/?ALyp5LDvMvW
https://www.cjoint.com/?ALyp7ggUsYW

Par contre, j'ai un probleme sur mon pc infecté, je me connecte à internet, mais je ne peux pas ouvrir de pages avec internet explorer (ou autre navigateur), il me dit que je suis connecté mais ça fait comme si j'étais hors connexion.

De plus, depuis les manip, il est très long pour effectuer n'importe quelle opération.
Pour combofix, il a tourné toute la nuit...
0
Réponse 36 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 25/12/2011 à 02:54
Re,

Oui, Combofix a tourné près de trois heures mais tu as bien fait de le laisser faire son analyse.
Le PC est infecté par une infection sévère et ComboFix l'a en partie nettoyée.

-------------------------------

Relance OTL.

* clique sur aucun
* Puis sous personnalisation , copie le texte suivant : 

/md5start  
afd.sys  
/md5stop


* Clique ensuite sur Analyse.

L'analyse sera assez rapide. Un rapport va s'ouvrir.
Poste le dans ta prochaine réponse

-------------------------------------

Fais ceci :

démarrer --> exécuter --> tape : cmd
Dans la fenêtre msdos, tape : ipconfig /all>C:\config.txt puis valide

Un fichier config.txt a été crée en C:

Poste-le .

A+

EDIT : C'est OK pour l'envoi du fichier pour USBFix ?
Allez jusqu'au bout de la procédure de désinfection.
0
Réponse 37 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
25 déc. 2011 à 12:49
voila c fait
le CR OTL
OTL logfile created on: 25/12/2011 11:51:12 - Run 2
OTL by OldTimer - Version 3.2.31.0 Folder = D:\Documents and Settings\Famille Venet\Bureau
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

959,36 Mb Total Physical Memory | 573,95 Mb Available Physical Memory | 59,83% Memory free
2,26 Gb Paging File | 1,91 Gb Available in Paging File | 84,56% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 29,99 Gb Total Space | 14,02 Gb Free Space | 46,75% Space Free | Partition Type: NTFS
Drive D: | 148,50 Gb Total Space | 48,24 Gb Free Space | 32,48% Space Free | Partition Type: NTFS

Computer Name: 113726460314 | User Name: Famille Venet | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

[color=#E56717]========== Custom Scans ==========[/color]



[color=#A23BEC]< MD5 for: AFD.SYS >[/color]
[2008/08/14 10:51:43 | 000,138,368 | ---- | M] () MD5=090A90736D4D415D839143D3CB25BE50 -- C:\WINDOWS\system32\drivers\afd.sys
[2008/04/13 20:19:23 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\SoftwareDistribution\Download\d43a20c40794c502928d4b7d8ff0ea20\afd.sys
[2008/08/14 11:34:26 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=4D43E74F2A1239D53929B82600F1971C -- C:\WINDOWS\$hf_mig$\KB956803\SP3QFE\afd.sys
[2008/08/14 11:34:26 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=4D43E74F2A1239D53929B82600F1971C -- C:\WINDOWS\SoftwareDistribution\Download\6f762e8545d817cb29f7f245b0c9358f\SP3QFE\afd.sys
[2008/08/14 10:51:43 | 000,138,368 | ---- | M] (Microsoft Corporation) MD5=55E6E1C51B6D30E54335750955453702 -- C:\WINDOWS\SoftwareDistribution\Download\6f762e8545d817cb29f7f245b0c9358f\SP2GDR\afd.sys
[2008/08/14 10:51:43 | 000,138,368 | ---- | M] (Microsoft Corporation) MD5=55E6E1C51B6D30E54335750955453702 -- C:\WINDOWS\system32\dllcache\afd.sys
[2004/08/05 14:00:00 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=5AC495F4CB807B2B98AD2AD591E6D92E -- C:\WINDOWS\$NtUninstallKB956803$\afd.sys
[2008/08/14 10:48:52 | 000,138,368 | ---- | M] (Microsoft Corporation) MD5=6A0397376853E604DE8E1E7A87FC08AC -- C:\WINDOWS\$hf_mig$\KB956803\SP2QFE\afd.sys
[2008/08/14 10:48:52 | 000,138,368 | ---- | M] (Microsoft Corporation) MD5=6A0397376853E604DE8E1E7A87FC08AC -- C:\WINDOWS\SoftwareDistribution\Download\6f762e8545d817cb29f7f245b0c9358f\SP2QFE\afd.sys
[2008/08/14 11:04:36 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7E775010EF291DA96AD17CA4B17137D7 -- C:\WINDOWS\$hf_mig$\KB956803\SP3GDR\afd.sys
[2008/08/14 11:04:36 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7E775010EF291DA96AD17CA4B17137D7 -- C:\WINDOWS\SoftwareDistribution\Download\6f762e8545d817cb29f7f245b0c9358f\SP3GDR\afd.sys
[2008/06/20 11:44:38 | 000,138,368 | ---- | M] (Microsoft Corporation) MD5=944CA435BFCFC82CC1ED9E3A7D731AA9 -- C:\WINDOWS\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\sp2gdr\afd.sys
[2008/06/20 12:48:03 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=D6EE6014241D034E63C49A50CB2B442A -- C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys
[2008/06/20 11:44:08 | 000,138,368 | ---- | M] (Microsoft Corporation) MD5=D99DDFFB33DEACDCF20717CB520379F6 -- C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\afd.sys
[2008/06/20 12:40:08 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=E3049B90FE06F3F740B7CFDA44995E2C -- C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\afd.sys

< End of report >

et le fichier config :


Configuration IP de Windows



Nom de l'hôte . . . . . . . . . . : 113726460314

Suffixe DNS principal . . . . . . :

Type de noeud . . . . . . . . . . : Diffusion

Routage IP activé . . . . . . . . : Non

Proxy WINS activé . . . . . . . . : Non



Carte Ethernet Connexion au réseau local:



Statut du média . . . . . . . . . : Média déconnecté

Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC

Adresse physique . . . . . . . . .: 00-13-D3-DF-37-6B

A+ et joyeux noel
0
Réponse 38 / 53
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 25/12/2011 à 14:06
Re,

On va réutiliser Combofix pour éliminer l'infection ( Zero Access ) présente sur le PC.
Utilise la clé pour transférer le fichier à télécharger.

-------------------------------------------------------

1/ Sur le lien suivant, télécharge le fichier CFScript.txt et enregistre-le sur ton bureau.
http://ww38.toofiles.com/fr/oip/documents/txt/cfscript.html

2) Glisse/dépose le fichier CFScript.txt sur ComBoFix comme indiqué sur ce lien
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+

EDIT : J'allais oublier. Vérifie au redémarrage pour la connexion au net.
Allez jusqu'au bout de la procédure de désinfection.
0
Réponse 39 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
25 déc. 2011 à 21:15
voilà mais j'ai des pb de connection internet sur l'ordi infecté, ci dessous le rapport de combofix.
A+

ComboFix 11-12-23.01 - Famille Venet 25/12/2011 17:32:07.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.959.571 [GMT 1:00]
Lancé depuis: d:\documents and settings\Famille Venet\Bureau\ComboFix.exe
Commutateurs utilisés :: d:\documents and settings\Famille Venet\Bureau\cfscript.txt
AV: avast! antivirus 4.8.1296 [VPS 100430-1] *Enabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\progra~1\Wanadoo\GestMaj.exe
c:\windows\$NtUninstallKB57954$
.
.
--------------- FCopy ---------------
.
c:\windows\$hf_mig$\KB951748\SP2QFE\afd.sys --> c:\windows\system32\drivers\afd.sys
c:\windows\$hf_mig$\KB951748\SP2QFE\afd.sys --> c:\windows\system32\dllcache\afd.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-11-25 au 2011-12-25 ))))))))))))))))))))))))))))))))))))
.
.
2011-12-23 18:20 . 2011-12-23 18:29 -------- d-----w- C:\UsbFix
2011-12-20 21:49 . 2011-12-20 22:37 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-12-20 18:55 . 2011-12-20 18:55 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2011-12-18 12:26 . 2011-12-18 12:26 -------- d-----r- d:\documents and settings\NetworkService\Favoris
2011-12-18 11:47 . 2011-12-18 11:47 -------- d-sh--w- d:\documents and settings\NetworkService\IETldCache
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-20 18:55 . 2011-12-20 18:55 110080 ----a-r- d:\documents and settings\Famille Venet\Application Data\Microsoft\Installer\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\IconF7A21AF7.exe
2011-12-20 18:55 . 2011-12-20 18:55 110080 ----a-r- d:\documents and settings\Famille Venet\Application Data\Microsoft\Installer\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\IconD7F16134.exe
2011-12-20 18:55 . 2011-12-20 18:55 110080 ----a-r- d:\documents and settings\Famille Venet\Application Data\Microsoft\Installer\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\IconCF33A0CE.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2011-12-23_20.19.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-12-25 17:02 . 2011-12-25 17:02 16384 c:\windows\Temp\Perflib_Perfdata_50c.dat
+ 2011-12-25 15:13 . 2011-12-25 15:13 16384 c:\windows\Temp\Perflib_Perfdata_4fc.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2011-08-24 130864]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2011-08-24 16:21 1299248 ----a-r- c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2011-08-24 1299248]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2011-08-24 1299248]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-11-17 975360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-18 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 90112]
"ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Vade Retro Outlook Express"="c:\progra~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2004-10-04 310272]
"Ulead AutoDetector v2"="c:\program files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]
"PCMService"="c:\apps\Powercinema\PCMService.exe" [2005-05-11 127118]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe" [2002-07-11 188416]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2010-04-28 647528]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-02-10 180269]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2011-08-01 114992]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
d:\documents and settings\Famille Venet\Menu Démarrer\Programmes\Démarrage\
Notification de cadeaux MSN.lnk - d:\documents and settings\Famille Venet\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2010-3-7 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
.
d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [1999-8-6 53317]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Hasbro Interactive\\Monopoly\\Monopoly.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06/12/2008 12:32 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/12/2008 12:32 20560]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [10/02/2006 18:27 799744]
R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [06/12/2008 09:52 114616]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/01/2010 13:34 135664]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [06/12/2008 09:52 63555]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [16/01/2010 13:34 135664]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 13:49 227232]
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-12-25 c:\windows\Tasks\Extension de garantie.job
- c:\apps\SMP\PBCARNOT.EXE [2005-11-09 12:55]
.
2011-12-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-16 12:34]
.
2011-12-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-16 12:34]
.
2011-12-25 c:\windows\Tasks\Master CD_DVD Creator.job
- c:\apps\SMP\MCDCHECK.EXE [2005-11-08 14:26]
.
2011-12-25 c:\windows\Tasks\User_Feed_Synchronization-{ED3520E3-7ED3-46D4-BDE5-98635F91CC8D}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: Rechercher sur le Web - c:\program files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
IE: { - c:\program files\Messenger\msmsgs.exe
Trusted Zone: chat-land.org
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\GestMaj.exe
HKLM-Run-WOOTASKBARICON - c:\progra~1\Wanadoo\GestMaj.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-25 18:08
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1486768304-2237576235-2102206337-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(620)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3536)
c:\program files\SweetIM\Messenger\mgAdaptersProxy.dll
c:\progra~1\GOTOSO~1\VADERE~1\VrOe_hook.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\Ati2evxx.exe
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\windows\System32\FTRTSVC.exe
c:\apps\HIDSERVICE\HIDSERVICE.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\apps\ABoard\AOSD.exe
c:\windows\system32\wdfmgr.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2011-12-25 18:16:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-12-25 17:16
ComboFix2.txt 2011-12-23 22:04
.
Avant-CF: 15 029 215 232 octets libres
Après-CF: 14 996 631 552 octets libres
.
- - End Of File - - 217A925901011EE469E807E35F602226
0
Réponse 40 / 53
fab1003 Messages postés 37 Date d'inscription mardi 20 décembre 2011 Statut Membre Dernière intervention 9 janvier 2012 1
25 déc. 2011 à 22:31
ma dernière réponse n'est pas passée, je refais je poste le rapport sous cjoint au as ou il soit trop gros pour "comment ca marche" :
https://www.cjoint.com/?ALzwkyunaFw
A+
0

Discussions similaires

Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses