Virus W32/batimal.s
Fermé
st463
-
2 mars 2012 à 02:30
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 - 27 mars 2012 à 09:46
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 - 27 mars 2012 à 09:46
A voir également:
- Virus W32/batimal.s
- Svchost.exe virus - Guide
- W32 l32 taille française femme ✓ - Forum Loisirs / Divertissements
- Faux message virus iphone ✓ - Forum iPhone
- Altruistic virus ✓ - Forum Antivirus
- Youtu.be virus - Guide
12 réponses
Utilisateur anonyme
2 mars 2012 à 02:51
2 mars 2012 à 02:51
lu,
qu'elle est ton antivirus?
qu'elle est le lien de virustotal ?
qu'elle est ton antivirus?
qu'elle est le lien de virustotal ?
Fish66
Messages postés
17505
Date d'inscription
dimanche 24 juillet 2011
Statut
Contributeur sécurité
Dernière intervention
16 juin 2021
1 318
2 mars 2012 à 18:55
2 mars 2012 à 18:55
Salut,
Avant d'utiliser ComboFix :
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
===================================================
Attention, avant de commencer, lis attentivement la procédure
********************************************************
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\
* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »
Voici Aide combofix
* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\
*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
*Note : Le rapport se trouve également là : C:\ComboFix.txt
@+
Avant d'utiliser ComboFix :
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
===================================================
Attention, avant de commencer, lis attentivement la procédure
********************************************************
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\
* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »
Voici Aide combofix
* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\
*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
*Note : Le rapport se trouve également là : C:\ComboFix.txt
@+
Salut Fish66, j'ai utilisé Combofix, tout s'est bien déroulé, mon ordi va beaucoup mieux. Que dois-je faire du rapport? Je l'ai savé sur mon ordi.
merci beaucoup de ton aide.
merci beaucoup de ton aide.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Fish66
Messages postés
17505
Date d'inscription
dimanche 24 juillet 2011
Statut
Contributeur sécurité
Dernière intervention
16 juin 2021
1 318
8 mars 2012 à 08:00
8 mars 2012 à 08:00
Bonjour,
Poste moi le rapport combofix pour continuer la désinfection :-)
On n'a pas encore terminé...
@+
Poste moi le rapport combofix pour continuer la désinfection :-)
On n'a pas encore terminé...
@+
Merci encore et beaucoup Fish66 de prendre le temps de me répondre. Voici le rapport de ComboFix.
ComboFix 12-03-01.02 - sval 2012-03-07 19:23:59.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.639.292 [GMT -5:00]
Lancé depuis: \\S0348svr01\Profiles\svalence\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Disabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
- Mode FONCTIONNALITES REDUITES -
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\EventSystem.log
c:\windows\expl.dat
c:\windows\system32\dllc.dat
c:\windows\system32\raddrv.dll
c:\windows\system32\svch.dat
c:\windows\system32\winl.dat
.
c:\windows\explorer.exe . . . est infecté!!
.
c:\windows\system32\svchost.exe . . . est infecté!!
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
c:\windows\system32\drivers\usbehci.sys . . . manque!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-08 au 2012-03-08 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-28 14:13 . 2012-02-28 14:15 -------- d-----w- c:\program files\MP3Gain
2012-02-11 19:33 . 2012-02-11 19:33 -------- d-----w- c:\documents and settings\ct-sports
2012-02-07 15:02 . 2012-03-02 16:07 -------- d-----w- C:\Portailperso
2012-02-07 13:54 . 2012-02-07 13:54 -------- d-----w- c:\documents and settings\svalence\Local Settings\Application Data\Help
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-29 22:22 . 2008-04-13 17:34 1062400 ----a-w- c:\windows\explorer.exe
2012-01-27 12:43 . 2012-01-27 12:43 856 ----a-w- c:\documents and settings\All Users\Application Data\auwmaaa.tmp
2012-01-09 22:09 . 2012-01-09 22:09 828 ----a-w- c:\documents and settings\All Users\Application Data\sgvmaaa.tmp
2012-01-07 11:23 . 2012-01-07 10:32 848 ----a-w- c:\documents and settings\All Users\Application Data\tgvmaaa.tmp
2012-01-06 21:57 . 2012-01-06 21:57 822 ----a-w- c:\documents and settings\All Users\Application Data\ittmaaa.tmp
2012-01-06 21:56 . 2012-01-06 21:56 828 ----a-w- c:\documents and settings\All Users\Application Data\jttmaaa.tmp
2011-12-30 13:49 . 2011-12-29 14:02 835 ----a-w- c:\documents and settings\All Users\Application Data\khymaaa.tmp
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2012-02-29 . E2F4FAD7AA7A52D4859D240FDF139B3B . 548864 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\winlogon.exe
[-] 2008-04-13 . BA424CA6D8FB8BEC86452B00510D8F77 . 548864 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2012-02-29 . E322F8BB5E34BADE813031CA31D24879 . 39424 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\svchost.exe
[-] 2008-04-13 . 3DE48301E559BD0CF7E16C1804833F09 . 39424 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe
.
[-] 2012-02-29 . 44FF3783AFDB96D7FFC09F3A89C83ED6 . 1062400 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"YTLAOF"="\\S0348svr01\Profiles\svalence\Application Data\miglibntt.dll" [2010-09-20 75264]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\udaterui.exe" [2008-03-14 136512]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2008-09-29 124240]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-13 143872]
"Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2007-03-10 24627]
"CitrixReceiver"="c:\program files\Citrix\Receiver\Receiver.exe" [2010-12-17 1254768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe" [2011-11-21 247968]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=
.
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2008-09-29 64432]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [2010-07-14 65584]
S2 ARPriv;Citrix Receiver Install Helper Service;c:\program files\Citrix\Receiver\PrivService.exe [2010-12-17 259440]
S2 McAfeeEngineService;McAfee Engine Service;c:\program files\McAfee\VirusScan Enterprise\EngineServer.exe [2008-09-29 19456]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2008-09-29 67904]
S2 r_server;Remote Administrator Service;c:\windows\system32\r_server.exe [2004-06-16 708608]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4c730e6-23b9-11df-a45b-000255bf2023}]
\Shell\AutoRun\command - E:\setup.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9e77381-488b-11df-a469-000255bf2023}]
\Shell\AutoRun\command - E:\autorun.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ca/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: cantire.com\myct
TCP: DhcpNameServer = 192.168.1.120
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-ConnectionCenter - AppR_c:\program files\Citrix\ICA Client\concentr.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-07 20:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c1,dc,61,28,dc,c1,02,4d,a8,b0,88,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c1,dc,61,28,dc,c1,02,4d,a8,b0,88,\
.
Heure de fin: 2012-03-07 20:20:07
ComboFix-quarantined-files.txt 2012-03-08 01:20
.
Avant-CF: 316 235 776 octets libres
Après-CF: 6 685 003 776 octets libres
.
- - End Of File - - 8C3DEF516DB3DAF5E53B7A9E408AC98B
ComboFix 12-03-01.02 - sval 2012-03-07 19:23:59.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.639.292 [GMT -5:00]
Lancé depuis: \\S0348svr01\Profiles\svalence\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Disabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
- Mode FONCTIONNALITES REDUITES -
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\EventSystem.log
c:\windows\expl.dat
c:\windows\system32\dllc.dat
c:\windows\system32\raddrv.dll
c:\windows\system32\svch.dat
c:\windows\system32\winl.dat
.
c:\windows\explorer.exe . . . est infecté!!
.
c:\windows\system32\svchost.exe . . . est infecté!!
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
c:\windows\system32\drivers\usbehci.sys . . . manque!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-08 au 2012-03-08 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-28 14:13 . 2012-02-28 14:15 -------- d-----w- c:\program files\MP3Gain
2012-02-11 19:33 . 2012-02-11 19:33 -------- d-----w- c:\documents and settings\ct-sports
2012-02-07 15:02 . 2012-03-02 16:07 -------- d-----w- C:\Portailperso
2012-02-07 13:54 . 2012-02-07 13:54 -------- d-----w- c:\documents and settings\svalence\Local Settings\Application Data\Help
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-29 22:22 . 2008-04-13 17:34 1062400 ----a-w- c:\windows\explorer.exe
2012-01-27 12:43 . 2012-01-27 12:43 856 ----a-w- c:\documents and settings\All Users\Application Data\auwmaaa.tmp
2012-01-09 22:09 . 2012-01-09 22:09 828 ----a-w- c:\documents and settings\All Users\Application Data\sgvmaaa.tmp
2012-01-07 11:23 . 2012-01-07 10:32 848 ----a-w- c:\documents and settings\All Users\Application Data\tgvmaaa.tmp
2012-01-06 21:57 . 2012-01-06 21:57 822 ----a-w- c:\documents and settings\All Users\Application Data\ittmaaa.tmp
2012-01-06 21:56 . 2012-01-06 21:56 828 ----a-w- c:\documents and settings\All Users\Application Data\jttmaaa.tmp
2011-12-30 13:49 . 2011-12-29 14:02 835 ----a-w- c:\documents and settings\All Users\Application Data\khymaaa.tmp
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2012-02-29 . E2F4FAD7AA7A52D4859D240FDF139B3B . 548864 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\winlogon.exe
[-] 2008-04-13 . BA424CA6D8FB8BEC86452B00510D8F77 . 548864 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2012-02-29 . E322F8BB5E34BADE813031CA31D24879 . 39424 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\svchost.exe
[-] 2008-04-13 . 3DE48301E559BD0CF7E16C1804833F09 . 39424 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe
.
[-] 2012-02-29 . 44FF3783AFDB96D7FFC09F3A89C83ED6 . 1062400 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"YTLAOF"="\\S0348svr01\Profiles\svalence\Application Data\miglibntt.dll" [2010-09-20 75264]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\udaterui.exe" [2008-03-14 136512]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2008-09-29 124240]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-13 143872]
"Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2007-03-10 24627]
"CitrixReceiver"="c:\program files\Citrix\Receiver\Receiver.exe" [2010-12-17 1254768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe" [2011-11-21 247968]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=
.
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2008-09-29 64432]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [2010-07-14 65584]
S2 ARPriv;Citrix Receiver Install Helper Service;c:\program files\Citrix\Receiver\PrivService.exe [2010-12-17 259440]
S2 McAfeeEngineService;McAfee Engine Service;c:\program files\McAfee\VirusScan Enterprise\EngineServer.exe [2008-09-29 19456]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2008-09-29 67904]
S2 r_server;Remote Administrator Service;c:\windows\system32\r_server.exe [2004-06-16 708608]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4c730e6-23b9-11df-a45b-000255bf2023}]
\Shell\AutoRun\command - E:\setup.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9e77381-488b-11df-a469-000255bf2023}]
\Shell\AutoRun\command - E:\autorun.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ca/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: cantire.com\myct
TCP: DhcpNameServer = 192.168.1.120
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-ConnectionCenter - AppR_c:\program files\Citrix\ICA Client\concentr.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-07 20:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c1,dc,61,28,dc,c1,02,4d,a8,b0,88,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c1,dc,61,28,dc,c1,02,4d,a8,b0,88,\
.
Heure de fin: 2012-03-07 20:20:07
ComboFix-quarantined-files.txt 2012-03-08 01:20
.
Avant-CF: 316 235 776 octets libres
Après-CF: 6 685 003 776 octets libres
.
- - End Of File - - 8C3DEF516DB3DAF5E53B7A9E408AC98B
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
12 mars 2012 à 14:10
12 mars 2012 à 14:10
belle pioche ^^
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
17 mars 2012 à 12:20
17 mars 2012 à 12:20
oui et du coup il tourne en "fonctionnalités réduites" :-)
Fish66
Messages postés
17505
Date d'inscription
dimanche 24 juillet 2011
Statut
Contributeur sécurité
Dernière intervention
16 juin 2021
1 318
16 mars 2012 à 17:32
16 mars 2012 à 17:32
Salut,
Désolé pour le retard ...
=========================
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
-----------------------------------------------------------------------------------
/md5start
explorer.exe
svchost.exe
winlogon.exe
/md5stop
-----------------------------------------------------------------------------------
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
@+
Désolé pour le retard ...
=========================
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
-----------------------------------------------------------------------------------
/md5start
explorer.exe
svchost.exe
winlogon.exe
/md5stop
-----------------------------------------------------------------------------------
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
@+
Salut Fish66, mon ordi à figé, donc j'ai du redémarrer et tout ce dont j'avais fait semblait perdu, j'ai donc réutilisé ComboFix, de plus, je n'avais pas renommé Combofix comme le mentionne "g3n-h@ckm@n". J'ai maintenant un nouveau rapport, je te l'envoie sur le site "cijoint.fr" et si rien n'a changé, j'utiliserai OTL comme convenu.
Merci encore de ta précieuse aide.
Merci encore de ta précieuse aide.
Fish66
Messages postés
17505
Date d'inscription
dimanche 24 juillet 2011
Statut
Contributeur sécurité
Dernière intervention
16 juin 2021
1 318
19 mars 2012 à 16:17
19 mars 2012 à 16:17
Salut,
Tu auras du le renommer comme a dit GEN que je le salue au
passage et comme je t'ai demandé : >>> ICI<<<
Tu peux utiliser ce site pour héberger les rapports : http://pjjoint.malekal.com/
@+
Tu auras du le renommer comme a dit GEN que je le salue au
passage et comme je t'ai demandé : >>> ICI<<<
Tu peux utiliser ce site pour héberger les rapports : http://pjjoint.malekal.com/
@+
Fish66
Messages postés
17505
Date d'inscription
dimanche 24 juillet 2011
Statut
Contributeur sécurité
Dernière intervention
16 juin 2021
1 318
19 mars 2012 à 16:44
19 mars 2012 à 16:44
Re,
Pour le nouveau rapport combofix, il n'y'a pas de nouveau, les fichiers infectés (bamital) ne sont pas remplacés!
Tu peux supprimer le fichier combo puis tu l'enregistres sous un autre nom comme déjà expliqué et tu le relances en mode sans échec avec prise en charge du réseau .
======================================
Manque le rapport OTL
@+
Pour le nouveau rapport combofix, il n'y'a pas de nouveau, les fichiers infectés (bamital) ne sont pas remplacés!
Tu peux supprimer le fichier combo puis tu l'enregistres sous un autre nom comme déjà expliqué et tu le relances en mode sans échec avec prise en charge du réseau .
======================================
Manque le rapport OTL
@+
Salut Fish66, voici donc le rapport OTL:
http://pjjoint.malekal.com/files.php?id=20120326_f1210q15s10f9
J'attend de tes nouvelles pour la suite et merci encore.
http://pjjoint.malekal.com/files.php?id=20120326_f1210q15s10f9
J'attend de tes nouvelles pour la suite et merci encore.
Fish66
Messages postés
17505
Date d'inscription
dimanche 24 juillet 2011
Statut
Contributeur sécurité
Dernière intervention
16 juin 2021
1 318
27 mars 2012 à 09:46
27 mars 2012 à 09:46
Bonjour,
Tu vas suivre maintenant les procédures indiquées ci-dessous :
1/
Télécharges et enregistre le fichier 1explorer.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1explorer.exe dans ton disque C puis tu le renommes par : explorer.exe (C:\explorer.exe)
2/
Télécharges et enregistre le fichier 1winlogon.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1winlogon.exe dans ton disque C puis tu le renommes par : winlogon.exe (C:\winlogon.exe)
3/
Télécharges et enregistre le fichier 1svchost.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1svchost.exe dans ton disque C puis tu le renommes par : svchost.exe (C:\svchost.exe)
4/
Télécharges et enregistre le fichier 1usbehci.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1usbehci.exe
dans : c:\windows\system32\drivers\ puis tu le renommes par : usbehci.sys (c:\windows\system32\drivers\usbehci.sys)
=========================================
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la partie "Personnalisation", copie/colle les instructions suivantes :
:Files
C:\WINDOWS\explorer.exe | C:\explorer.exe /replace
c:\windows\system32\svchost.exe | C:\svchost.exe /replace
c:\windows\system32\winlogon.exe | C:\winlogon.exe /replace
* Clique sur le bouton Correction.
* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
* Accepte en cliquant sur OK.
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
@+
Tu vas suivre maintenant les procédures indiquées ci-dessous :
1/
Télécharges et enregistre le fichier 1explorer.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1explorer.exe dans ton disque C puis tu le renommes par : explorer.exe (C:\explorer.exe)
2/
Télécharges et enregistre le fichier 1winlogon.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1winlogon.exe dans ton disque C puis tu le renommes par : winlogon.exe (C:\winlogon.exe)
3/
Télécharges et enregistre le fichier 1svchost.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1svchost.exe dans ton disque C puis tu le renommes par : svchost.exe (C:\svchost.exe)
4/
Télécharges et enregistre le fichier 1usbehci.exe à partir ce lien : http://sd-1.archive-host.com/membres/up/193094576412487685/1usbehci.exe
dans : c:\windows\system32\drivers\ puis tu le renommes par : usbehci.sys (c:\windows\system32\drivers\usbehci.sys)
=========================================
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la partie "Personnalisation", copie/colle les instructions suivantes :
:Files
C:\WINDOWS\explorer.exe | C:\explorer.exe /replace
c:\windows\system32\svchost.exe | C:\svchost.exe /replace
c:\windows\system32\winlogon.exe | C:\winlogon.exe /replace
* Clique sur le bouton Correction.
* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
* Accepte en cliquant sur OK.
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
@+
