Gros pb de redirection vers liens commerciaux [Résolu]

Dr gonzo 2Messages postés 18 novembre 2008Date d'inscription - Dernière réponse le 23 nov. 2008 à 16:26

Bonjour,
il y a environ une semaine, j'ai attrapé un virus qui provoque la redirection de mes recherches google vers des liens commerciaux, mais également une déconnexion fréquente de mon réseau wifi (la connexion se refait automatiquement au bout d'une minute), et aussi des bugs au démarages (le pc reste bloqué sur un écran noir).
Dans un premier temps j'ai effectué un scan avec Antivir, il a trouvé plusieurs fichiers infectés, je les ai supprimé. Après j'ai voulu effectué un scan avec mes trois logiciels de désinfections habituels : Spybot search&destroy, ad-Aware et Malwares'byte. Sauf que Malware et spybot refusent de se lancer (j'ai essayer de les désinstaller et de les réinstaller, le problème persiste avec Malware et je n'ai pas pu réinstaller spybot) et quand a ad-Aware, il me dit que les définitions ont 500 jours (alors que je suis sur d'avoir fait une mise a jours dans les derniers mois) et il refuse de se mettre a jour (impossible de se connecter au serveur).
Suite à ça j'ai effectué des recherches internet et j'ai trouver ce forum. J'ai essayé de suivre la méthode de désinfection préliminaire donner à cette page : http://www.commentcamarche.net/faq/sujet 3174 virus methode preliminaire de desinfection version fr
Résultats :
- CCleaner, pas de problème, je l'ai installé, il m'a trouver des trucs, je les ai supprimer.
- AVG : j'ai pu l'installer mais impossible de le mettre a jour, j'ai quand même fait un scan du PC, il m'a trouvé des trucs je les ai suprimer, je posterais le rapport a la fin de mon post.
- Bitdefender en ligne : impossible de me connecter ni a la page donné, ni au domaine bitdefender.fr que se soit avec firefox ou ie.
- hijackthis : impossible de l'installer sur mon PC (même en mode sans echec).
J'ai également essayé de passer un coup de Smitfraudfix (en mode sans echec), là encore il m'a trouvé des chose a nettoyer, j'ai effectué le nettoyage mais les problèmes persistent. (tant que j'étais en mode sans échec j'ai repasser un coup de CCleaner, j'ai lu dans un post que ça pouvait être plus efficace)
Voilà, je poste quand même le rapport AVG (je peux poster celui de Smitfraudfix au besoin) :
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 16:07:48 18/11/2008
+ Résultat de l'analyse:
[1412] VM_00140000 -> Adware.Lop : Nettoyé.
:mozilla.103:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.42:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.43:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.44:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.45:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.46:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.47:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.105:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adengage : Nettoyé.
:mozilla.106:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Adengage : Nettoyé.
:mozilla.14:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.15:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.7:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.12:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.28:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.10:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.11:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.8:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.9:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.18:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.19:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.20:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.21:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.22:C:\Documents and Settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
Fin du rapport
Voilà, si vous pouvez m'aider se serait génial, parce que là je ne sais plus trop quoi faire !
Merci.

Gros pb de redirection vers liens commerciaux »

Suggestions

Gros pb de redirection vers liens commerciaux
Redirection sur liens commerciaux » Forum
Les liens sponsorisés (Google AdWords, AdSense, etc.) » Fiches pratiques
Redirection de liens google (Résolu) » Forum
Redirection de liens google (Résolu) » Forum
Redirection des liens sous google (Résolu) » Forum

Plus

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 18 nov. 2008 à 18:00

Salut,

pour partir sur des outils propres :

A- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/TC/ToolsCleaner2.exe

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
---> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

B- Télécharges et installes le logiciel HijackThis :

ici http://static.commentcamarche.net/www.commentcamarche.net/download/fichiers/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici http://www.clubic.com/lancer-le-telechargement-51452-0-hijackthis.html

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse ...

Ajouter un commentaire

Réponse

Dr gonzo 2Messages postés 18 novembre 2008Date d'inscription 18 nov. 2008 à 19:00

Voilà le rapport de toolcleaner :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Documents and Settings\Yann\Bureau\SmitFraudFix.zip: trouvé !
C:\Documents and Settings\Yann\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Yann\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Yann\Bureau\SmitfraudFix\SmitFraudfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Yann\Bureau\SmitFraudFix.zip: supprimé !
C:\Documents and Settings\Yann\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Yann\Bureau\SmitFraudfix: supprimé !

Et le rapport HijackThis (je sais pas comment ça se fait que j'ai réussi a l'installer, tout a l'heure j'avais pas pu !)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:56, on 18/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [title mail ball bias] C:\Documents and Settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: Ajouter cette page à la file d'attente de Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidqueue.htm
O8 - Extra context menu item: Ajouter à la file d'attente le lien ciblé - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlinkqueue.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir cette page avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebid.htm
O8 - Extra context menu item: Ouvrir le lien ciblé avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlink.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 18 nov. 2008 à 19:02

bon ....

commences par ceci :

1-Vas dans panneau de config/ajout et suppression de prg .
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou
"Adverts" --->si ils s'y trouvent , supprimes les .

2-Télécharges Lop S&D :
http://eric.71.mespages.googlepages.com/LopSD.exe

Déconnetes toi et fermes toutes tes applications en cours .

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .

Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : http://eric.71.mespages.googlepages.com/lop.sd.exe

Ajouter un commentaire

Réponse

Dr gonzo 2Messages postés 18 novembre 2008Date d'inscription 18 nov. 2008 à 19:44

Il n'y avais pas de programmes a supprimer dans le panneau de config.

Voici le rapport de Lop S&D :

--------------------\\ Lop S&D 4.2.4-9c XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Version 1.00
USER : Yann ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:12 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:123 Go (Free:76 Go)
G:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [1] ( 18/11/2008|19:26 )

--------------------\\ Listing des dossiers dans APPLIC~1

[21/12/2004|14:02] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[22/12/2004|20:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ACD Systems
[23/07/2008|18:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[23/09/2006|22:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[16/09/2008|15:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[30/04/2006|21:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\citybooktitlemail
[21/12/2004|15:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[22/12/2004|17:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FaxCtr
[27/10/2008|16:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FreeDownloadManager.ORG
[16/11/2008|16:03] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
[31/03/2005|14:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Anti-Virus Personal
[07/01/2005|17:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
[15/09/2008|11:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[17/08/2006|13:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[15/11/2006|23:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MimarSinan
[20/09/2006|20:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
[21/07/2005|19:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Corporation
[13/08/2007|19:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
[12/11/2008|14:23] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[13/08/2007|19:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Teleca
[12/07/2006|15:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[21/12/2004|14:02] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[04/02/2006|16:01] C:\DOCUME~1\LOCALS~1\APPLIC~1\Help
[21/12/2004|14:02] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[21/12/2004|14:02] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[07/01/2005|22:31] C:\DOCUME~1\Yann\APPLIC~1\ACD Systems
[23/07/2008|18:27] C:\DOCUME~1\Yann\APPLIC~1\Adobe
[17/08/2005|12:48] C:\DOCUME~1\Yann\APPLIC~1\AdobeUM
[20/05/2005|10:51] C:\DOCUME~1\Yann\APPLIC~1\Ahead
[13/10/2008|12:18] C:\DOCUME~1\Yann\APPLIC~1\BID
[29/10/2006|22:26] C:\DOCUME~1\Yann\APPLIC~1\Creative
[22/02/2005|14:34] C:\DOCUME~1\Yann\APPLIC~1\CyberLink
[08/10/2006|18:32] C:\DOCUME~1\Yann\APPLIC~1\DeepBurner
[26/08/2006|18:43] C:\DOCUME~1\Yann\APPLIC~1\DSound
[03/03/2006|18:13] C:\DOCUME~1\Yann\APPLIC~1\dvdcss
[23/01/2007|18:54] C:\DOCUME~1\Yann\APPLIC~1\FaxCtr
[30/01/2005|19:28] C:\DOCUME~1\Yann\APPLIC~1\FK SoftWare
[18/11/2008|19:26] C:\DOCUME~1\Yann\APPLIC~1\Free Download Manager
[16/11/2008|16:03] C:\DOCUME~1\Yann\APPLIC~1\Grisoft
[25/12/2004|20:29] C:\DOCUME~1\Yann\APPLIC~1\Help
[21/12/2004|14:07] C:\DOCUME~1\Yann\APPLIC~1\Identities
[20/08/2008|19:10] C:\DOCUME~1\Yann\APPLIC~1\InstallShield
[25/02/2005|16:16] C:\DOCUME~1\Yann\APPLIC~1\Lavasoft
[15/02/2005|19:19] C:\DOCUME~1\Yann\APPLIC~1\Macromedia
[15/09/2008|11:32] C:\DOCUME~1\Yann\APPLIC~1\Malwarebytes
[02/05/2006|13:12] C:\DOCUME~1\Yann\APPLIC~1\MealCool
[20/09/2006|20:50] C:\DOCUME~1\Yann\APPLIC~1\Media Player Classic
[14/05/2007|20:05] C:\DOCUME~1\Yann\APPLIC~1\Microsoft
[26/11/2006|20:24] C:\DOCUME~1\Yann\APPLIC~1\Mozilla
[21/09/2006|23:11] C:\DOCUME~1\Yann\APPLIC~1\Real
[12/01/2007|18:49] C:\DOCUME~1\Yann\APPLIC~1\REAPER
[21/07/2005|19:42] C:\DOCUME~1\Yann\APPLIC~1\Sony Corporation
[13/08/2007|19:00] C:\DOCUME~1\Yann\APPLIC~1\Sony Ericsson
[11/04/2005|14:31] C:\DOCUME~1\Yann\APPLIC~1\Steinberg
[28/03/2005|17:31] C:\DOCUME~1\Yann\APPLIC~1\Sun
[27/05/2007|16:18] C:\DOCUME~1\Yann\APPLIC~1\TaoUSign
[13/08/2007|19:27] C:\DOCUME~1\Yann\APPLIC~1\Teleca
[02/05/2006|13:15] C:\DOCUME~1\Yann\APPLIC~1\Thisdownloadsize
[26/04/2006|01:02] C:\DOCUME~1\Yann\APPLIC~1\vlc
[18/09/2007|15:39] C:\DOCUME~1\Yann\APPLIC~1\Vso
[05/03/2006|20:49] C:\DOCUME~1\Yann\APPLIC~1\VSO_HWE

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[18/11/2008 19:00][--ah-c---] C:\WINDOWS\tasks\AC98F1AE9183641E.job
[18/11/2008 18:41][--ah-c---] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 13:00][-r-h-c---] C:\WINDOWS\tasks\desktop.ini

( AC98F1AE9183641E.job )=( c:\docume~1\yann\applic~1\thisdo~1\Joypinghope.exe )

--------------------\\ Listing des dossiers dans C:\Program Files

[02/12/2005|00:04] C:\Program Files\7sin
[21/03/2006|22:43] C:\Program Files\7-Zip
[21/07/2007|23:34] C:\Program Files\AAMS
[04/03/2005|18:40] C:\Program Files\ABBYY FineReader 5.0 Sprint
[15/11/2006|23:13] C:\Program Files\ACD Systems
[09/02/2005|17:44] C:\Program Files\ACDSee32
[17/08/2005|11:56] C:\Program Files\Adobe
[10/04/2006|21:41] C:\Program Files\Ahead
[22/12/2004|13:06] C:\Program Files\Alcohol Soft
[05/11/2005|01:40] C:\Program Files\Anti-Leech
[29/10/2007|23:02] C:\Program Files\Arturia
[28/09/2005|17:57] C:\Program Files\ASIO4ALL v2
[28/09/2005|17:11] C:\Program Files\ASIO4ALL v2.6
[08/10/2006|18:11] C:\Program Files\Astonsoft
[13/01/2005|23:53] C:\Program Files\ATI Technologies
[24/01/2005|22:43] C:\Program Files\Audio Phonics, Inc
[16/09/2008|15:12] C:\Program Files\Avira
[13/10/2008|12:18] C:\Program Files\Bulk Image Downloader
[16/11/2008|15:43] C:\Program Files\CCleaner
[24/12/2004|20:23] C:\Program Files\CDex_150
[11/04/2005|15:30] C:\Program Files\CDXTRACT4
[28/02/2005|17:00] C:\Program Files\ComPlus Applications
[23/01/2005|20:16] C:\Program Files\CoolView Xpress
[22/12/2004|12:03] C:\Program Files\Creative
[21/12/2004|15:01] C:\Program Files\CyberLink
[15/04/2005|17:22] C:\Program Files\Digidesign
[26/08/2006|18:43] C:\Program Files\DSound
[06/07/2006|23:10] C:\Program Files\Duncan Amplification
[13/08/2007|19:19] C:\Program Files\Fichiers communs
[16/09/2006|15:38] C:\Program Files\FileZilla
[01/06/2007|21:12] C:\Program Files\Free Audio Pack
[27/10/2008|16:05] C:\Program Files\Free Download Manager
[16/11/2008|16:03] C:\Program Files\Grisoft
[12/04/2005|16:47] C:\Program Files\Guitar Pro 4
[28/02/2005|17:15] C:\Program Files\HighMAT CD Writing Wizard
[20/08/2008|19:10] C:\Program Files\InstallShield Installation Information
[21/12/2004|14:15] C:\Program Files\Intel
[16/10/2008|08:11] C:\Program Files\Internet Explorer
[19/08/2005|13:08] C:\Program Files\intx_mod
[28/03/2005|17:26] C:\Program Files\Java
[31/03/2005|14:01] C:\Program Files\Kaspersky Lab
[23/09/2006|22:49] C:\Program Files\K-Lite Codec Pack
[25/02/2005|16:13] C:\Program Files\Lavasoft
[12/10/2008|15:53] C:\Program Files\Lexmark 2200 Series
[22/12/2004|17:49] C:\Program Files\Lexmark Fax Solutions
[14/11/2008|15:03] C:\Program Files\Malwarebytes' Anti-Malware
[20/09/2006|20:49] C:\Program Files\Media Player Classic
[16/10/2008|08:17] C:\Program Files\Messenger
[21/12/2004|14:02] C:\Program Files\microsoft frontpage
[26/06/2005|15:29] C:\Program Files\Microsoft Office
[23/08/2007|18:10] C:\Program Files\Microsoft Picture It! 7
[28/02/2005|18:17] C:\Program Files\Microsoft Visual Studio
[01/03/2005|08:46] C:\Program Files\Microsoft Works
[28/02/2005|18:16] C:\Program Files\Microsoft.NET
[28/02/2005|17:00] C:\Program Files\Movie Maker
[18/11/2008|19:22] C:\Program Files\Mozilla Firefox
[17/02/2005|17:38] C:\Program Files\MSN
[21/12/2004|13:58] C:\Program Files\MSN Gaming Zone
[19/09/2007|18:38] C:\Program Files\MSN Messenger
[16/10/2008|08:10] C:\Program Files\MSXML 4.0
[21/04/2005|01:53] C:\Program Files\MyAlbum
[16/10/2006|23:13] C:\Program Files\Native Instruments
[28/02/2005|17:00] C:\Program Files\NetMeeting
[01/03/2005|08:48] C:\Program Files\OfficeUpdate11
[13/12/2006|13:04] C:\Program Files\Outlook Express
[21/05/2006|18:12] C:\Program Files\Pegasys Inc
[20/08/2008|17:51] C:\Program Files\Pochette Express 2
[11/04/2005|17:04] C:\Program Files\Postal2
[02/11/2005|21:57] C:\Program Files\Power Tab Software
[21/03/2006|20:18] C:\Program Files\Project64 1.6
[20/08/2008|19:10] C:\Program Files\SAGEM
[20/08/2008|18:37] C:\Program Files\SAGEM Wi-Fi USB 802.11g
[20/08/2008|19:09] C:\Program Files\Securitoo
[21/12/2004|14:00] C:\Program Files\Services en ligne
[21/07/2005|19:38] C:\Program Files\Sony
[21/07/2005|19:38] C:\Program Files\Sony Corporation
[13/08/2007|19:19] C:\Program Files\Sony Ericsson
[07/04/2008|23:26] C:\Program Files\Soulseek
[12/11/2008|14:23] C:\Program Files\Spybot - Search & Destroy
[28/09/2005|17:35] C:\Program Files\Steinberg
[21/04/2005|01:00] C:\Program Files\SuperCopier
[06/11/2007|19:09] C:\Program Files\The GodFather
[30/04/2006|21:05] C:\Program Files\Thisdownloadsize
[06/09/2006|17:03] C:\Program Files\Total Video Converter
[18/11/2008|18:47] C:\Program Files\Trend Micro
[21/12/2004|14:07] C:\Program Files\Uninstall Information
[21/01/2006|22:33] C:\Program Files\Unreal
[06/05/2007|17:43] C:\Program Files\Vellocet
[29/05/2005|17:41] C:\Program Files\VideoLAN
[17/07/2006|19:13] C:\Program Files\VirtualDub-1.6.14
[17/07/2006|19:13] C:\Program Files\VirtualDubMod_1_5_10_2_All_inclusive
[27/05/2006|20:47] C:\Program Files\vso
[16/10/2006|23:18] C:\Program Files\Waves
[03/04/2006|22:03] C:\Program Files\WinAce
[23/08/2007|18:10] C:\Program Files\Winamp
[28/02/2005|17:15] C:\Program Files\Windows Journal Viewer
[23/08/2007|18:10] C:\Program Files\Windows Media Connect
[19/02/2006|03:02] C:\Program Files\Windows Media Player
[28/02/2005|16:59] C:\Program Files\Windows NT
[21/12/2004|14:00] C:\Program Files\WindowsUpdate
[07/01/2005|17:16] C:\Program Files\WinRAR
[28/09/2005|17:40] C:\Program Files\Wuschel's ASIO4ALL1.8
[21/12/2004|14:02] C:\Program Files\xerox
[27/04/2006|23:27] C:\Program Files\Xilisoft
[21/03/2005|22:59] C:\Program Files\Yahoo!

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[22/12/2004|20:15] C:\Program Files\Fichiers communs\ACD Systems
[02/07/2005|00:31] C:\Program Files\Fichiers communs\Adobe
[07/01/2005|17:29] C:\Program Files\Fichiers communs\Adobe Systems Shared
[10/04/2006|21:41] C:\Program Files\Fichiers communs\Ahead
[28/02/2005|18:17] C:\Program Files\Fichiers communs\DESIGNER
[11/04/2005|16:21] C:\Program Files\Fichiers communs\DirectX
[07/01/2005|17:23] C:\Program Files\Fichiers communs\InstallShield
[28/03/2005|17:23] C:\Program Files\Fichiers communs\Java
[02/07/2005|00:32] C:\Program Files\Fichiers communs\Microsoft Shared
[21/12/2004|14:00] C:\Program Files\Fichiers communs\MSSoap
[21/12/2004|14:51] C:\Program Files\Fichiers communs\ODBC
[21/12/2004|14:00] C:\Program Files\Fichiers communs\Services
[21/07/2005|19:36] C:\Program Files\Fichiers communs\Sony Shared
[21/12/2004|14:51] C:\Program Files\Fichiers communs\SpeechEngines
[13/12/2006|13:04] C:\Program Files\Fichiers communs\System
[13/08/2007|19:20] C:\Program Files\Fichiers communs\Teleca Shared

--------------------\\ Process

( 50 Processes )

iexplore.exe ~ [PID:1224]

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

C:\DOCUME~1\Yann\APPLIC~1\thisdo~1
C:\DOCUME~1\Yann\APPLIC~1\thisdo~1\eclmcxnh.exe
C:\DOCUME~1\Yann\APPLIC~1\thisdo~1\lwwqaygv.exe
C:\Program Files\thisdo~1
C:\WINDOWS\Tasks\AC98F1AE9183641E.job

--------------------\\ Verification du Registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

[F:8][D:8]-> C:\DOCUME~1\Yann\LOCALS~1\Temp
[F:28][D:0]-> C:\DOCUME~1\Yann\Cookies
[F:186][D:4]-> C:\DOCUME~1\Yann\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 18/11/2008|19:30 - Option : [1]

--------------------\\ Fin du rapport a 19:30:29

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 18 nov. 2008 à 19:50

Ok ... très intéressant ...

1- ! Déconnectes toi et fermes toutes tes applications en cours !

Relances Lop S&D ,

--->choisis cette fois l'option 2 ( nettoyage ) et valides ...

->ne touches à rien pendant que l'outil travail .

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse + un nouveau rapport Hijackthis pour analyse ...

Une fois ces deux rapports posté , fais la suite :

======================

2- CCleaner

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

=======================

3- fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes CFix et valides .

- le renommage au téléchargement est primordial pour contrer le virus TDSS, sinon l'outil sera inutilisable -

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix pour analyse ...

Ajouter un commentaire

Réponse

Dr gonzo 2Messages postés 18 novembre 2008Date d'inscription 18 nov. 2008 à 20:33

Voici le rapport lop S&D :

--------------------\\ Lop S&D 4.2.4-9c XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Version 1.00
USER : Yann ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:12 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:123 Go (Free:76 Go)
G:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [2] ( 18/11/2008|20:08 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - C:\DOCUME~1\Yann\APPLIC~1\thisdo~1\eclmcxnh.exe
Supprime! - C:\DOCUME~1\Yann\APPLIC~1\thisdo~1\lwwqaygv.exe
Supprime! - C:\WINDOWS\Tasks\AC98F1AE9183641E.job
Supprime! - C:\DOCUME~1\Yann\APPLIC~1\thisdo~1
Supprime! - C:\Program Files\thisdo~1

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Listing des dossiers dans APPLIC~1

[21/12/2004|14:02] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[22/12/2004|20:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ACD Systems
[23/07/2008|18:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[23/09/2006|22:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[16/09/2008|15:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[30/04/2006|21:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\citybooktitlemail
[21/12/2004|15:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[22/12/2004|17:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FaxCtr
[27/10/2008|16:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FreeDownloadManager.ORG
[16/11/2008|16:03] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
[31/03/2005|14:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Anti-Virus Personal
[07/01/2005|17:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
[15/09/2008|11:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[17/08/2006|13:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[15/11/2006|23:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MimarSinan
[20/09/2006|20:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
[21/07/2005|19:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Corporation
[13/08/2007|19:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
[12/11/2008|14:23] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[13/08/2007|19:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Teleca
[12/07/2006|15:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[21/12/2004|14:02] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[04/02/2006|16:01] C:\DOCUME~1\LOCALS~1\APPLIC~1\Help
[21/12/2004|14:02] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[21/12/2004|14:02] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[07/01/2005|22:31] C:\DOCUME~1\Yann\APPLIC~1\ACD Systems
[23/07/2008|18:27] C:\DOCUME~1\Yann\APPLIC~1\Adobe
[17/08/2005|12:48] C:\DOCUME~1\Yann\APPLIC~1\AdobeUM
[20/05/2005|10:51] C:\DOCUME~1\Yann\APPLIC~1\Ahead
[13/10/2008|12:18] C:\DOCUME~1\Yann\APPLIC~1\BID
[29/10/2006|22:26] C:\DOCUME~1\Yann\APPLIC~1\Creative
[22/02/2005|14:34] C:\DOCUME~1\Yann\APPLIC~1\CyberLink
[08/10/2006|18:32] C:\DOCUME~1\Yann\APPLIC~1\DeepBurner
[26/08/2006|18:43] C:\DOCUME~1\Yann\APPLIC~1\DSound
[03/03/2006|18:13] C:\DOCUME~1\Yann\APPLIC~1\dvdcss
[23/01/2007|18:54] C:\DOCUME~1\Yann\APPLIC~1\FaxCtr
[30/01/2005|19:28] C:\DOCUME~1\Yann\APPLIC~1\FK SoftWare
[18/11/2008|20:05] C:\DOCUME~1\Yann\APPLIC~1\Free Download Manager
[16/11/2008|16:03] C:\DOCUME~1\Yann\APPLIC~1\Grisoft
[25/12/2004|20:29] C:\DOCUME~1\Yann\APPLIC~1\Help
[21/12/2004|14:07] C:\DOCUME~1\Yann\APPLIC~1\Identities
[20/08/2008|19:10] C:\DOCUME~1\Yann\APPLIC~1\InstallShield
[25/02/2005|16:16] C:\DOCUME~1\Yann\APPLIC~1\Lavasoft
[15/02/2005|19:19] C:\DOCUME~1\Yann\APPLIC~1\Macromedia
[15/09/2008|11:32] C:\DOCUME~1\Yann\APPLIC~1\Malwarebytes
[02/05/2006|13:12] C:\DOCUME~1\Yann\APPLIC~1\MealCool
[20/09/2006|20:50] C:\DOCUME~1\Yann\APPLIC~1\Media Player Classic
[14/05/2007|20:05] C:\DOCUME~1\Yann\APPLIC~1\Microsoft
[26/11/2006|20:24] C:\DOCUME~1\Yann\APPLIC~1\Mozilla
[21/09/2006|23:11] C:\DOCUME~1\Yann\APPLIC~1\Real
[12/01/2007|18:49] C:\DOCUME~1\Yann\APPLIC~1\REAPER
[21/07/2005|19:42] C:\DOCUME~1\Yann\APPLIC~1\Sony Corporation
[13/08/2007|19:00] C:\DOCUME~1\Yann\APPLIC~1\Sony Ericsson
[11/04/2005|14:31] C:\DOCUME~1\Yann\APPLIC~1\Steinberg
[28/03/2005|17:31] C:\DOCUME~1\Yann\APPLIC~1\Sun
[27/05/2007|16:18] C:\DOCUME~1\Yann\APPLIC~1\TaoUSign
[13/08/2007|19:27] C:\DOCUME~1\Yann\APPLIC~1\Teleca
[26/04/2006|01:02] C:\DOCUME~1\Yann\APPLIC~1\vlc
[18/09/2007|15:39] C:\DOCUME~1\Yann\APPLIC~1\Vso
[05/03/2006|20:49] C:\DOCUME~1\Yann\APPLIC~1\VSO_HWE

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[18/11/2008 18:41][--ah-c---] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 13:00][-r-h-c---] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[02/12/2005|00:04] C:\Program Files\7sin
[21/03/2006|22:43] C:\Program Files\7-Zip
[21/07/2007|23:34] C:\Program Files\AAMS
[04/03/2005|18:40] C:\Program Files\ABBYY FineReader 5.0 Sprint
[15/11/2006|23:13] C:\Program Files\ACD Systems
[09/02/2005|17:44] C:\Program Files\ACDSee32
[17/08/2005|11:56] C:\Program Files\Adobe
[10/04/2006|21:41] C:\Program Files\Ahead
[22/12/2004|13:06] C:\Program Files\Alcohol Soft
[05/11/2005|01:40] C:\Program Files\Anti-Leech
[29/10/2007|23:02] C:\Program Files\Arturia
[28/09/2005|17:57] C:\Program Files\ASIO4ALL v2
[28/09/2005|17:11] C:\Program Files\ASIO4ALL v2.6
[08/10/2006|18:11] C:\Program Files\Astonsoft
[13/01/2005|23:53] C:\Program Files\ATI Technologies
[24/01/2005|22:43] C:\Program Files\Audio Phonics, Inc
[16/09/2008|15:12] C:\Program Files\Avira
[13/10/2008|12:18] C:\Program Files\Bulk Image Downloader
[16/11/2008|15:43] C:\Program Files\CCleaner
[24/12/2004|20:23] C:\Program Files\CDex_150
[11/04/2005|15:30] C:\Program Files\CDXTRACT4
[28/02/2005|17:00] C:\Program Files\ComPlus Applications
[23/01/2005|20:16] C:\Program Files\CoolView Xpress
[22/12/2004|12:03] C:\Program Files\Creative
[21/12/2004|15:01] C:\Program Files\CyberLink
[15/04/2005|17:22] C:\Program Files\Digidesign
[26/08/2006|18:43] C:\Program Files\DSound
[06/07/2006|23:10] C:\Program Files\Duncan Amplification
[13/08/2007|19:19] C:\Program Files\Fichiers communs
[16/09/2006|15:38] C:\Program Files\FileZilla
[01/06/2007|21:12] C:\Program Files\Free Audio Pack
[27/10/2008|16:05] C:\Program Files\Free Download Manager
[16/11/2008|16:03] C:\Program Files\Grisoft
[12/04/2005|16:47] C:\Program Files\Guitar Pro 4
[28/02/2005|17:15] C:\Program Files\HighMAT CD Writing Wizard
[20/08/2008|19:10] C:\Program Files\InstallShield Installation Information
[21/12/2004|14:15] C:\Program Files\Intel
[16/10/2008|08:11] C:\Program Files\Internet Explorer
[19/08/2005|13:08] C:\Program Files\intx_mod
[28/03/2005|17:26] C:\Program Files\Java
[31/03/2005|14:01] C:\Program Files\Kaspersky Lab
[23/09/2006|22:49] C:\Program Files\K-Lite Codec Pack
[25/02/2005|16:13] C:\Program Files\Lavasoft
[12/10/2008|15:53] C:\Program Files\Lexmark 2200 Series
[22/12/2004|17:49] C:\Program Files\Lexmark Fax Solutions
[14/11/2008|15:03] C:\Program Files\Malwarebytes' Anti-Malware
[20/09/2006|20:49] C:\Program Files\Media Player Classic
[16/10/2008|08:17] C:\Program Files\Messenger
[21/12/2004|14:02] C:\Program Files\microsoft frontpage
[26/06/2005|15:29] C:\Program Files\Microsoft Office
[23/08/2007|18:10] C:\Program Files\Microsoft Picture It! 7
[28/02/2005|18:17] C:\Program Files\Microsoft Visual Studio
[01/03/2005|08:46] C:\Program Files\Microsoft Works
[28/02/2005|18:16] C:\Program Files\Microsoft.NET
[28/02/2005|17:00] C:\Program Files\Movie Maker
[18/11/2008|19:42] C:\Program Files\Mozilla Firefox
[17/02/2005|17:38] C:\Program Files\MSN
[21/12/2004|13:58] C:\Program Files\MSN Gaming Zone
[19/09/2007|18:38] C:\Program Files\MSN Messenger
[16/10/2008|08:10] C:\Program Files\MSXML 4.0
[21/04/2005|01:53] C:\Program Files\MyAlbum
[16/10/2006|23:13] C:\Program Files\Native Instruments
[28/02/2005|17:00] C:\Program Files\NetMeeting
[01/03/2005|08:48] C:\Program Files\OfficeUpdate11
[13/12/2006|13:04] C:\Program Files\Outlook Express
[21/05/2006|18:12] C:\Program Files\Pegasys Inc
[20/08/2008|17:51] C:\Program Files\Pochette Express 2
[11/04/2005|17:04] C:\Program Files\Postal2
[02/11/2005|21:57] C:\Program Files\Power Tab Software
[21/03/2006|20:18] C:\Program Files\Project64 1.6
[20/08/2008|19:10] C:\Program Files\SAGEM
[20/08/2008|18:37] C:\Program Files\SAGEM Wi-Fi USB 802.11g
[20/08/2008|19:09] C:\Program Files\Securitoo
[21/12/2004|14:00] C:\Program Files\Services en ligne
[21/07/2005|19:38] C:\Program Files\Sony
[21/07/2005|19:38] C:\Program Files\Sony Corporation
[13/08/2007|19:19] C:\Program Files\Sony Ericsson
[07/04/2008|23:26] C:\Program Files\Soulseek
[12/11/2008|14:23] C:\Program Files\Spybot - Search & Destroy
[28/09/2005|17:35] C:\Program Files\Steinberg
[21/04/2005|01:00] C:\Program Files\SuperCopier
[06/11/2007|19:09] C:\Program Files\The GodFather
[06/09/2006|17:03] C:\Program Files\Total Video Converter
[18/11/2008|18:47] C:\Program Files\Trend Micro
[21/12/2004|14:07] C:\Program Files\Uninstall Information
[21/01/2006|22:33] C:\Program Files\Unreal
[06/05/2007|17:43] C:\Program Files\Vellocet
[29/05/2005|17:41] C:\Program Files\VideoLAN
[17/07/2006|19:13] C:\Program Files\VirtualDub-1.6.14
[17/07/2006|19:13] C:\Program Files\VirtualDubMod_1_5_10_2_All_inclusive
[27/05/2006|20:47] C:\Program Files\vso
[16/10/2006|23:18] C:\Program Files\Waves
[03/04/2006|22:03] C:\Program Files\WinAce
[23/08/2007|18:10] C:\Program Files\Winamp
[28/02/2005|17:15] C:\Program Files\Windows Journal Viewer
[23/08/2007|18:10] C:\Program Files\Windows Media Connect
[19/02/2006|03:02] C:\Program Files\Windows Media Player
[28/02/2005|16:59] C:\Program Files\Windows NT
[21/12/2004|14:00] C:\Program Files\WindowsUpdate
[07/01/2005|17:16] C:\Program Files\WinRAR
[28/09/2005|17:40] C:\Program Files\Wuschel's ASIO4ALL1.8
[21/12/2004|14:02] C:\Program Files\xerox
[27/04/2006|23:27] C:\Program Files\Xilisoft
[21/03/2005|22:59] C:\Program Files\Yahoo!

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[22/12/2004|20:15] C:\Program Files\Fichiers communs\ACD Systems
[02/07/2005|00:31] C:\Program Files\Fichiers communs\Adobe
[07/01/2005|17:29] C:\Program Files\Fichiers communs\Adobe Systems Shared
[10/04/2006|21:41] C:\Program Files\Fichiers communs\Ahead
[28/02/2005|18:17] C:\Program Files\Fichiers communs\DESIGNER
[11/04/2005|16:21] C:\Program Files\Fichiers communs\DirectX
[07/01/2005|17:23] C:\Program Files\Fichiers communs\InstallShield
[28/03/2005|17:23] C:\Program Files\Fichiers communs\Java
[02/07/2005|00:32] C:\Program Files\Fichiers communs\Microsoft Shared
[21/12/2004|14:00] C:\Program Files\Fichiers communs\MSSoap
[21/12/2004|14:51] C:\Program Files\Fichiers communs\ODBC
[21/12/2004|14:00] C:\Program Files\Fichiers communs\Services
[21/07/2005|19:36] C:\Program Files\Fichiers communs\Sony Shared
[21/12/2004|14:51] C:\Program Files\Fichiers communs\SpeechEngines
[13/12/2006|13:04] C:\Program Files\Fichiers communs\System
[13/08/2007|19:20] C:\Program Files\Fichiers communs\Teleca Shared

--------------------\\ Process

( 49 Processes )

iexplore.exe ~ [PID:3444]

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

[F:8][D:8]-> C:\DOCUME~1\Yann\LOCALS~1\Temp
[F:31][D:0]-> C:\DOCUME~1\Yann\Cookies
[F:228][D:4]-> C:\DOCUME~1\Yann\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 18/11/2008|19:30 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 18/11/2008|20:12 - Option : [2]

--------------------\\ Fin du rapport a 20:12:12

Et le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:49, on 18/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [title mail ball bias] C:\Documents and Settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: Ajouter cette page à la file d'attente de Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidqueue.htm
O8 - Extra context menu item: Ajouter à la file d'attente le lien ciblé - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlinkqueue.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir cette page avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebid.htm
O8 - Extra context menu item: Ouvrir le lien ciblé avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlink.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

Ajouter un commentaire

Réponse

Dr gonzo 18 nov. 2008 à 21:03

Bon alors je n'arrive pas à télécharger combofix. Le téléchargement se lance et au bout de 5 sec ça m'affiche que le téléchargement est terminé sauf que le fichier n'apparait pas sur le bureau (et 5 sec s'est vraiment trop court pour qu'il ait eu le temps de télécharger quoi que se soit). J'ai recommencer la manip plusieurs fois pour être sur.

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 18 nov. 2008 à 21:14

Question :

- Il faut bien le renommer au téléchargement !

- Sinon as tu à ta porté un PC saint avec lequel tu pourrai faire le téléchargement , puis utilisé un clé usb pour mettre l'outil sur le bureau du PC malade ? ...

Ajouter un commentaire

Réponse

Dr gonzo 18 nov. 2008 à 21:36

En fait je dois partir pour aller voir un pote (je voulais te proposer de reprendre demain dans la matinée) et comme ça j'en profiterais pour récupérer chez lui le logiciel sur ma clef USB (parce que sinon chez moi j'ai qu'un seul PC).
Merci pour ton aide, je reposte demain pour te dire ou j'en suis.

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 18 nov. 2008 à 21:41

comme ça j'en profiterais pour récupérer chez lui le logiciel sur ma clef USB

très bien ... ^^

à demain pour le ésultat de ComboFix ...

Ajouter un commentaire

Réponse

Dr gonzo 19 nov. 2008 à 13:57

Bonjour, je n'ai pas de périphérique dont le nom contient TDSS, je vais donc faire la manip avec combofix

Ajouter un commentaire

sKe69- 19 nov. 2008 à 13:59

Re,

tu es bien sûr ? ... t'as bien cherché ? ... tu as bien fais " afficher les périph. cachés " avant ? ...

Réponse

Dr gonzo 19 nov. 2008 à 15:32

Alors effectivement j'avais oublier de faire "afficher les périphériques cachés", je l'ai fait et j'ai trouvé deux périphérique avec TDSS, je les ai désactivés tous les deux, j'ai du redémaré. Au redemarage antivir m'a mis 5 alertes virus, je lui ai dit de supprimer les fichiers puis j'ai lancer malware et j'ai pu le mettre a jour. Pendant le scan de malware, antivir m'a mis encore 6 ou 7 alertes (je lui ai dit de suprimer le fichier a chaque fois). Malware a finit son scan et voici le rapport (mais j'ai tester une recherche google vite fait et je n'ai pas était redirigé) :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1411
Windows 5.1.2600 Service Pack 2

19/11/2008 15:14:32
mbam-log-2008-11-19 (15-14-32).txt

Type de recherche: Examen rapide
Eléments examinés: 52378
Temps écoulé: 26 minute(s), 40 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSirxy.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSktkl.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSrojf.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers\TDSSpcuu.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10891.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Yann\Local Settings\Temp\TDSS389c.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Yann\Local Settings\Temp\TDSS2299.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSqein.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSqrwn.log (Trojan.TDSS) -> Quarantined and deleted successfully.

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 19 nov. 2008 à 15:41

Super !

je te remercie d'avoir utiliser cette tactique ! cela est d'un grand intéret pour nous helper ... ^^

Continuons :

1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes ( via celle-ci ) .

2- refais un coup de CCleaner ( registre compris ).

3- utilises Combofix :

Mets le sur ton bureau ( et pas ailleurs ! )

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Ajouter un commentaire

Réponse

Dr gonzo 19 nov. 2008 à 16:21

Combofix m'a mis le message suivant pendant qu'il se lancer, j'ai cliquer sur non.

---------------------------
Question - Console de récupération
---------------------------
ComboFix a détecté que la 'CONSOLE DE RECUPERATION WINDOWS' n'existe pas sur ce PC

Vous auriez VRAIMENT TOUT INTERET à l'installer. Voulez-vous le faire maintenant?

*Note* - Une connexion internet active est indispensable.
---------------------------
Oui Non
---------------------------

Après avoir cliqué sur non le logiciel s'est lancer et voici le rapport :

ComboFix 08-11-18.02 - Yann 2008-11-19 15:58:38.1 - NTFSx86
Lancé depuis: c:\documents and settings\Yann\Bureau\CFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/B /COLOR
.
[i] ADS - svchost.exe: deleted 132 bytes in 1 streams. /i
[i] ADS - explorer.exe: deleted 228 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_SYSREST.SYS
-------\Legacy_TDSSSERV
-------\Legacy_TDSSSERV.SYS
-------\Service_Iprip
-------\Service_TDSSserv
-------\Service_TDSSserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-19 au 2008-11-19 ))))))))))))))))))))))))))))))))))))
.

9999-12-16 07:43 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui
9999-12-16 07:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
9999-12-16 07:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
9999-12-16 07:43 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui
2008-11-18 19:26 . 2008-11-18 20:12 <REP> d-------- C:\Lop SD
2008-11-18 18:47 . 2008-11-18 18:47 <REP> d-------- c:\program files\Trend Micro
2008-11-17 17:08 . 2008-11-18 16:38 2,780 --a------ c:\windows\system32\tmp.reg
2008-11-16 16:03 . 2008-11-16 16:03 <REP> d-------- c:\documents and settings\Yann\Application Data\Grisoft
2008-11-16 16:03 . 2008-11-16 16:03 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-11-16 16:03 . 2007-05-30 13:10 10,872 --a------ c:\windows\system32\drivers\AvgAsCln.sys
2008-11-16 15:43 . 2008-11-16 15:43 <REP> d-------- c:\program files\CCleaner
2008-11-14 15:02 . 2008-11-14 15:03 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-14 15:02 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-14 15:02 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-11 22:58 . 2008-11-12 14:08 527 --a------ c:\windows\system32\TDSSwgqe.dat
2008-10-27 16:17 . 2004-11-28 19:42 205,312 --a------ c:\program files\ZipRepar.exe
2008-10-27 16:05 . 2008-10-27 16:05 <REP> d-------- c:\program files\Free Download Manager
2008-10-27 16:05 . 2008-11-19 16:05 <REP> d-------- c:\documents and settings\Yann\Application Data\Free Download Manager
2008-10-27 16:05 . 2008-10-27 16:05 <REP> d-------- c:\documents and settings\All Users\Application Data\FreeDownloadManager.ORG
2008-10-19 13:59 . 2008-10-19 15:34 <REP> d-------- c:\windows\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 13:23 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-12 13:23 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll
2008-10-16 07:10 --------- d-----w c:\program files\MSXML 4.0
2008-10-13 11:18 --------- d-----w c:\program files\Bulk Image Downloader
2008-10-13 11:18 --------- d-----w c:\documents and settings\Yann\Application Data\BID
2008-10-12 14:53 --------- d-----w c:\program files\Lexmark 2200 Series
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-28 08:03 74,752 ----a-w c:\windows\system32\msw3prt.dll
2008-08-28 08:03 104,960 ----a-w c:\windows\system32\win32spl.dll
2008-08-20 05:37 663,552 ----a-w c:\windows\system32\wininet.dll
2006-04-11 13:33 281,088 -c--a-w c:\program files\MancheFormule.exe
2004-12-30 17:36 0 -c--a-w c:\program files\armaerr.txt
2004-08-05 12:00 311,864 -c--a-w c:\program files\HTML32.CNV
2004-08-05 12:00 213,066 -c--a-w c:\program files\MSWRD632.WPC
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"SuperCopier.exe"="c:\program files\SuperCopier\SuperCopier.exe" [2003-04-24 683520]
"Free Download Manager"="c:\program files\Free Download Manager\fdm.exe" [2008-05-20 2474031]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-16 32768]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2004-02-04 294912]
"Camera Detector"="c:\progra~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE" [2003-11-17 208896]
"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 36975]
"title mail ball bias"="c:\documents and settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe" [2006-04-30 365403]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Sagem - Utilitaire r‚seau pour Cl‚ USB Wi-Fi 802.11g.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2008-08-20 679936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.div3"= DivXc32.dll
"MIDI1"= myokent.dll
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.DIV4"= DivXc32f.dll
"VIDC.MPG4"= msmpeg4.dll
"VIDC.MP42"= msmpeg4.dll
"VIDC.MP43"= msmpeg4.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kX Mixer]
kxmixer --startup [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a--c--- 2004-11-30 20:10 344064 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDVDDET]
--a------ 2003-06-18 01:00 45056 c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTSysVol]
--a------ 2003-09-17 10:43 57344 c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a--c--- 2002-07-18 18:36 28672 c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a--c--- 2001-07-09 00:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]
--a------ 2003-10-08 16:35 139264 c:\program files\Creative\MediaSource\RemoteControl\RcMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBDrvDet]
--a--c--- 2002-12-03 18:06 45056 c:\program files\Creative\SB Drive Det\SBDrvDet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--a--c--- 2000-05-11 01:00 90112 c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2006-06-09 01:17 35328 c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
--a------ 2003-10-06 07:57 24576 c:\windows\system32\CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SOProc_RegSoAlertWxLiteNnAj]
--a------ 2006-12-19 22:49 8509952 c:\windows\system32\shell32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SOProc_RegSoAlertWxSzNn]
--a------ 2006-12-19 22:49 8509952 c:\windows\system32\shell32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Soulseek\\slsk.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\Unreal\\System\\UnrealTournament.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

R0 xmasbus;xmasbus;c:\windows\system32\DRIVERS\xmasbus.sys [2004-12-22 140800]
R0 xmasscsi;xmasscsi;c:\windows\system32\Drivers\xmasscsi.sys [2004-12-22 5504]
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [2005-08-30 10995]
R2 PfDetNT;PfDetNT;\??\c:\windows\system32\drivers\PfModNT.sys [2004-12-22 15840]
R3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\DRIVERS\WlanUIG.sys [2008-08-20 379456]
S3 kxwdmdrv;kX WDM Driver Service;c:\windows\system32\drivers\kx.sys [2004-02-16 571776]
S3 p2pgasvc;Authentification de groupe réseau homologue;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 p2pimsvc;Gestionnaire d'identité réseau homologue;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 p2psvc;Réseau homologue;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 PNRPSvc;Protocole de résolution de noms d'homologues;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 SE2Fbus;Sony Ericsson Device 047 Driver driver (WDM);c:\windows\system32\DRIVERS\SE2Fbus.sys [2007-08-13 61600]
S3 SE2Fmdfl;Sony Ericsson Device 047 USB WMC Modem Filter;c:\windows\system32\DRIVERS\SE2Fmdfl.sys [2007-08-13 9360]
S3 SE2Fmdm;Sony Ericsson Device 047 USB WMC Modem Driver;c:\windows\system32\DRIVERS\SE2Fmdm.sys [2007-08-13 97184]
S3 SE2Fmgmt;Sony Ericsson Device 047 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\SE2Fmgmt.sys [2007-08-13 88688]
S3 se2Fnd5;Sony Ericsson Device 047 USB Ethernet Emulation SEMC47 (NDIS);c:\windows\system32\DRIVERS\se2Fnd5.sys [2007-08-13 18704]
S3 SE2Fobex;Sony Ericsson Device 047 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\SE2Fobex.sys [2007-08-13 86560]
S3 se2Funic;Sony Ericsson Device 047 USB Ethernet Emulation SEMC47 (WDM);c:\windows\system32\DRIVERS\se2Funic.sys [2007-08-13 90800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe

.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Yann\Application Data\Mozilla\Firefox\Profiles\wmvy2fwc.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 16:03:01
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\[u]0/u.log 0 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Lexmark 2200 Series\lxbvbmon.exe
c:\program files\Fichiers communs\Teleca Shared\CapabilityManager.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\tcpsvcs.exe
c:\program files\Fichiers communs\Teleca Shared\Generic.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-11-19 16:11:56 - La machine a redémarré [Yann]
ComboFix-quarantined-files.txt 2008-11-19 15:11:48

Avant-CF: 13,150,920,704 octets libres
Après-CF: 13,067,927,552 octets libres

216 --- E O F --- 2008-11-14 13:30:02

et celui de HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:14:43, on 19/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [title mail ball bias] C:\Documents and Settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: Ajouter cette page à la file d'attente de Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidqueue.htm
O8 - Extra context menu item: Ajouter à la file d'attente le lien ciblé - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlinkqueue.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir cette page avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebid.htm
O8 - Extra context menu item: Ouvrir le lien ciblé avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlink.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 19 nov. 2008 à 16:55

Bien ... on avance mais il reste encore du travail ...

1- refais un coup de Ccleaner ( registre compris )

2- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

3- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\program files\ZipRepar.exe

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :
C:\Documents and Settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe
C:\windows\system32\drivers\kx.sys
C:\windows\system32\drivers\PfModNT.sys

postes moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Ajouter un commentaire

Réponse

Dr gonzo 19 nov. 2008 à 17:17

Voilà le premier rapport pour C:\program files\ZipRepar.exe :

File size: 205312 bytes
MD5...: ba78a4991e6a7881c9126eb305e8d447
SHA1..: bdddbe36c91551efadb1a2cfd8dda0c9e480dffe
SHA256: 96dab1a57af88fcb6f1cbd5dfff63e9f83df32e9da0216fe91113483389eb285
SHA512: 1aedd1f2d95ef7284fe2eba69d6637d082f0ef3a12ed48aeee62b57618a32118
302fcddcd30542f43fb6d7127e3caa65122ccea31d5a366cedb305b96a9eeafb
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x488840
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x57000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x58000 0x31000 0x30a00 7.92 ac2922bce50cf624e685c727f3f0f675
.rsrc 0x89000 0x2000 0x1400 4.09 d671dd8aae1dca34707322315330cafb

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> advapi32.dll: RegCloseKey
> comctl32.dll: ImageList_Add
> comdlg32.dll: GetOpenFileNameA
> gdi32.dll: SaveDC
> ole32.dll: CoInitialize
> oleaut32.dll: VariantCopy
> user32.dll: GetDC
> version.dll: VerQueryValueA

( 0 exports )
packers (F-Prot): UPX
packers (Kaspersky): UPX

Ajouter un commentaire

sKe69- 19 nov. 2008 à 17:21

ce n'est pas complet comme rapport ,
il me faut surtout le listing des anti virus avec le résultat de leur recherche ... ^^

Réponse

Dr gonzo 19 nov. 2008 à 17:40

Ok c'est bien ce qu'il me semblait.

pour C:\program files\ZipRepar.exe

Fichier ZipRepar.exe reçu le 2008.11.19 17:26:28 (CET)
Situation actuelle: terminé
Résultat: 3/36 (8.33%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.19 -
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 -
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 -
eSafe 7.0.17.0 2008.11.19 Suspicious File
eTrust-Vet 31.6.6217 2008.11.19 -
Ewido 4.0 2008.11.19 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.19 -
Fortinet 3.117.0.0 2008.11.19 -
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 not-a-virus:AdWare.Win32.DownloadWare
K7AntiVirus 7.10.528 2008.11.19 -
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.19 -
NOD32 3624 2008.11.19 -
Norman 5.80.02 2008.11.19 -
Panda 9.0.0.4 2008.11.19 Suspicious file
PCTools 4.4.2.0 2008.11.19 -
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 -
Sophos 4.35.0 2008.11.19 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.19 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.19 -
Information additionnelle
File size: 205312 bytes
MD5...: ba78a4991e6a7881c9126eb305e8d447
SHA1..: bdddbe36c91551efadb1a2cfd8dda0c9e480dffe
SHA256: 96dab1a57af88fcb6f1cbd5dfff63e9f83df32e9da0216fe91113483389eb285
SHA512: 1aedd1f2d95ef7284fe2eba69d6637d082f0ef3a12ed48aeee62b57618a32118
302fcddcd30542f43fb6d7127e3caa65122ccea31d5a366cedb305b96a9eeafb
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x488840
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x57000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x58000 0x31000 0x30a00 7.92 ac2922bce50cf624e685c727f3f0f675
.rsrc 0x89000 0x2000 0x1400 4.09 d671dd8aae1dca34707322315330cafb

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> advapi32.dll: RegCloseKey
> comctl32.dll: ImageList_Add
> comdlg32.dll: GetOpenFileNameA
> gdi32.dll: SaveDC
> ole32.dll: CoInitialize
> oleaut32.dll: VariantCopy
> user32.dll: GetDC
> version.dll: VerQueryValueA

( 0 exports )
packers (F-Prot): UPX
packers (Kaspersky): UPX

pour C:\Documents and Settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe

Fichier Moveproxy.exe reçu le 2008.11.19 17:16:06 (CET)
Situation actuelle: terminé
Résultat: 27/36 (75.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 ADSPY/Lop.ad.24
Authentium 5.1.0.4 2008.11.18 W32/LopP.E
Avast 4.8.1281.0 2008.11.18 Win32:Swizzor-gen
AVG 8.0.0.199 2008.11.19 Lop.B
BitDefender 7.2 2008.11.19 GenPack:Trojan.Swizzor.HJ
CAT-QuickHeal 10.00 2008.11.19 Win32.Trojan.C2Lop.B.5
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 Trojan.Swizzor
eSafe 7.0.17.0 2008.11.18 -
eTrust-Vet 31.6.6217 2008.11.19 Win32/Swizzor
Ewido 4.0 2008.11.19 -
F-Prot 4.4.4.56 2008.11.18 W32/LopP.E
F-Secure 8.0.14332.0 2008.11.19 Swizzor.gen
Fortinet 3.117.0.0 2008.11.19 -
GData 19 2008.11.19 GenPack:Trojan.Swizzor.HJ
Ikarus T3.1.1.45.0 2008.11.19 AdWare.Lop.AG
K7AntiVirus 7.10.528 2008.11.19 -
Kaspersky 7.0.0.125 2008.11.19 not-a-virus:AdWare.Win32.Lop.bb
McAfee 5438 2008.11.18 Swizzor.gen
Microsoft 1.4104 2008.11.19 Trojan:Win32/C2Lop.B
NOD32 3624 2008.11.19 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.80.02 2008.11.19 Swizzor.gen
Panda 9.0.0.4 2008.11.19 Trj/Ofuscated.gen
PCTools 4.4.2.0 2008.11.19 Trojan.Lop_com
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 Trojan.DL.Swizzor.dvu
SecureWeb-Gateway 6.7.6 2008.11.19 Ad-Spyware.Lop.ad.24
Sophos 4.35.0 2008.11.19 Troj/Swizz-Fam
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.19 Adware.Lop
TheHacker 6.3.1.1.158 2008.11.19 Trojan/Downloader.Swizzor
TrendMicro 8.700.0.1004 2008.11.19 TROJ_SWIZZOR.KQ
VBA32 3.12.8.9 2008.11.19 AdWare.Win32.Lop.ag
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.19 Packed/UPC
Information additionnelle
File size: 365403 bytes
MD5...: d752c1000eeca22b1e20645ddad0194d
SHA1..: 13b009923f06e8bf2aa479cd82a411615580ba0f
SHA256: 8511fd393fbe3fd7e63759ff84fa9339b6b8338042d30adcbe163eb431f5f595
SHA512: 835d08aa349d98133fe2e89e82f3cbd08f642a7b938326fdea2c8193a28d9290
7dd8d489845b4948880c2e7914d1cb366e7c7ba5430c612dfd7b86a8c00eb096
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401074
timedatestamp.....: 0x43b18c24 (Tue Dec 27 18:47:00 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5b756 0x265bc 8.00 3a71113e3d08a5e7e6b60dd803c3ccad
.rdata 0x5d000 0xa84a 0x5044 7.99 d7432bf5eab06ff2752e881176373d96
.data 0x68000 0x61578 0x27cec 8.00 c35282f4a2bae113990f0bb083c963c8
.rsrc 0xca000 0x1e0 0x13c 4.94 30ea38652513b57bef14831aa3d7d9cf
.reloc 0xcb000 0x7f74 0x4b47 7.99 5c3d33e07f5c4e4a23037d72f74029bb

( 1 imports )
> KERNEL32.DLL: -

( 0 exports )

pour C:\windows\system32\drivers\kx.sys :

Fichier kx.sys reçu le 2008.11.19 17:21:51 (CET)
Situation actuelle: terminé
Résultat: 0/36 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.19 -
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 -
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 -
eSafe 7.0.17.0 2008.11.18 -
eTrust-Vet 31.6.6217 2008.11.19 -
Ewido 4.0 2008.11.19 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.19 -
Fortinet 3.117.0.0 2008.11.19 -
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 -
K7AntiVirus 7.10.528 2008.11.19 -
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.19 -
NOD32 3624 2008.11.19 -
Norman 5.80.02 2008.11.19 -
Panda 9.0.0.4 2008.11.19 -
PCTools 4.4.2.0 2008.11.19 -
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 -
Sophos 4.35.0 2008.11.19 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.19 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.19 -
Information additionnelle
File size: 571776 bytes
MD5...: 2404b1c9c1f4f7e3f43fc0050608f490
SHA1..: 4fa51ff9581e9544268a252d93de2a06b0a29eda
SHA256: 13594944479c3a718a60971129641cd4b654dd7d51a046e8ba36b15ca43d7225
SHA512: 36990cf3b9c676588176533db290fd5d6f7627f461d61cd8c0131557e770b053
161f5ddbeb7c34ed96d47e6a9fc0859821fcb2c9fb9792007fd230a7be052c6a
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x96f24
timedatestamp.....: 0x40313a39 (Mon Feb 16 21:46:33 2004)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x528cc 0x52900 6.37 5703e8dd5e6b23dc6044c9a4f104b702
.rdata 0x52c80 0x3718 0x3780 6.02 6c7d020b57b4c433983d4d5a965d79a7
.data 0x56400 0xea00 0xea00 3.54 78f708dec4ab75d955ac0e902101398c
PAGE 0x64e00 0x21fe7 0x22000 6.45 f9d3c30c22f559a02ddc200c41486d14
.edata 0x86e00 0x80 0x80 4.37 55cde00cd449d7544be7e52b85606278
INIT 0x86e80 0x7fc 0x800 5.54 9e236fe28eadc9e25de2f420a3f8a650
.rsrc 0x87680 0x418 0x480 3.19 f22e30b154a0d8c79235382ac9595cdb
.reloc 0x87b00 0x3e34 0x3e80 6.63 be8713de4d5a38765c8980890d084848

( 4 imports )
> NTOSKRNL.EXE: IoGetDeviceProperty, ExFreePool, ZwClose, RtlFreeUnicodeString, ZwSetValueKey, wcslen, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, strncpy, KeInitializeDpc, IoOpenDeviceInterfaceRegistryKey, wcsstr, RtlInitUnicodeString, IoGetDeviceInterfaces, KeInitializeSpinLock, KeSynchronizeExecution, KeInsertQueueDpc, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, ExAllocatePoolWithTag, strstr, _vsnprintf, DbgPrint, ZwQueryValueKey, KeSaveFloatingPointState, KeRestoreFloatingPointState, InterlockedIncrement, InterlockedDecrement, toupper, isxdigit, _purecall, IoFreeMdl, MmMapLockedPages, MmBuildMdlForNonPagedPool, IoAllocateMdl, MmUnlockPages, MmProbeAndLockPages, MmUnmapLockedPages, IoDeleteSymbolicLink, IoSetDeviceInterfaceState, IoCreateSymbolicLink, IoRegisterDeviceInterface, MmAllocatePagesForMdl, MmFreePagesFromMdl, RtlAssert, RtlRaiseException
> HAL.DLL: KfAcquireSpinLock, KeGetCurrentIrql, KfReleaseSpinLock
> portcls.sys: PcRegisterAdapterPowerManagement, PcRegisterPhysicalConnection, PcNewPort, PcRegisterSubdevice, PcAddAdapterDevice, PcNewServiceGroup, PcNewInterruptSync, PcInitializeAdapterDriver
> ntoskrnl.exe: strncmp, MmFreeContiguousMemory, MmAllocateContiguousMemory, MmGetPhysicalAddress

( 3 exports )
_ac3_decode_frame@4, _ac3_init@4, _get_frame_size@16

pour C:\windows\system32\drivers\PfModNT.sys

Fichier PfModNT.sys reçu le 2008.11.19 17:33:16 (CET)
Situation actuelle: terminé
Résultat: 0/36 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.19 -
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 -
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 -
eSafe 7.0.17.0 2008.11.19 -
eTrust-Vet 31.6.6217 2008.11.19 -
Ewido 4.0 2008.11.19 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.19 -
Fortinet 3.117.0.0 2008.11.19 -
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 -
K7AntiVirus 7.10.528 2008.11.19 -
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.19 -
NOD32 3624 2008.11.19 -
Norman 5.80.02 2008.11.19 -
Panda 9.0.0.4 2008.11.19 -
PCTools 4.4.2.0 2008.11.19 -
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 -
Sophos 4.35.0 2008.11.19 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.19 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.19 -
Information additionnelle
File size: 15840 bytes
MD5...: c8a2d6ff660ac601b7bb9a9b16a5c25e
SHA1..: f9fc00b53dec9040f5493060c251b8b630578f93
SHA256: bbf97622ab15943f614ae3901860de4b1380d5878fcc6eaa2384b4c9432c0b4b
SHA512: 7e2a6ccf478aa486dbfee51314d330dc542de6ddfd3f47a7d4987e5e8f1bef20
c04f1549d507faf63aa3d9b4a766a023862bced2328e2ef0ab618c6c9a83404e
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10ae4
timedatestamp.....: 0x3e657ad0 (Wed Mar 05 04:19:28 2003)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0xae4 0xb00 6.20 fc83be8b3a6d950f00e0c0fb0d9abb7e
.rdata 0xdc0 0x6c 0x80 2.27 50c48f5b0b2e8e510c386829b92e23fa
.data 0xe40 0x2888 0x28a0 0.00 4b6926325b72261cbdc0c9bcb558b0e4
INIT 0x36e0 0x1fa 0x200 4.86 784a860445a618cdaaea22ececce0879
.rsrc 0x38e0 0x3f8 0x400 3.29 4103054a93267520887f94e24e16e570
.reloc 0x3ce0 0xb4 0xc0 3.93 e1367440c5324eb591c175499eea2a8f

( 2 imports )
> ntoskrnl.exe: IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlCopyUnicodeString, KeInitializeTimer, IoDeleteSymbolicLink, IoReportResourceUsage, IofCompleteRequest, ExAllocatePoolWithTag, ExFreePool, _alldiv, RtlInitUnicodeString, _allmul
> HAL.dll: HalSetBusDataByOffset, HalGetBusDataByOffset, KeQueryPerformanceCounter, HalGetBusData

( 0 exports )

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 19 nov. 2008 à 17:48

Très bien ....

la suite :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"title mail ball bias"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kX Mixer]

File::
c:\windows\system32\TDSSwgqe.dat
c:\program files\ZipRepar.exe
c:\documents and settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe

Folder::
c:\documents and settings\All Users\Application Data\citybooktitlemail

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Ajouter un commentaire

Réponse

Dr gonzo 19 nov. 2008 à 18:13

Voilà le rapport de combofix :

ComboFix 08-11-18.02 - Yann 2008-11-19 18:02:26.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.211 [GMT 1:00]
Lancé depuis: c:\documents and settings\Yann\Bureau\CFix.exe
Commutateurs utilisés :: c:\documents and settings\Yann\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/B /COLOR

FILE ::
c:\documents and settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe
c:\program files\ZipRepar.exe
c:\windows\system32\TDSSwgqe.dat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\citybooktitlemail
c:\documents and settings\All Users\Application Data\citybooktitlemail\Dent Wave.exe
c:\documents and settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe
c:\documents and settings\All Users\Application Data\citybooktitlemail\Moveproxy.exe.txt
c:\documents and settings\All Users\Application Data\citybooktitlemail\Send error bike
c:\program files\ZipRepar.exe
c:\windows\system32\TDSSwgqe.dat

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-19 au 2008-11-19 ))))))))))))))))))))))))))))))))))))
.

9999-12-16 07:43 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui
9999-12-16 07:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
9999-12-16 07:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
9999-12-16 07:43 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui
2008-11-18 19:26 . 2008-11-18 20:12 <REP> d-------- C:\Lop SD
2008-11-18 18:47 . 2008-11-18 18:47 <REP> d-------- c:\program files\Trend Micro
2008-11-17 17:08 . 2008-11-18 16:38 2,780 --a------ c:\windows\system32\tmp.reg
2008-11-16 16:03 . 2008-11-16 16:03 <REP> d-------- c:\documents and settings\Yann\Application Data\Grisoft
2008-11-16 16:03 . 2008-11-16 16:03 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-11-16 16:03 . 2007-05-30 13:10 10,872 --a------ c:\windows\system32\drivers\AvgAsCln.sys
2008-11-16 15:43 . 2008-11-16 15:43 <REP> d-------- c:\program files\CCleaner
2008-11-14 15:02 . 2008-11-14 15:03 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-14 15:02 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-14 15:02 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-10-27 16:05 . 2008-10-27 16:05 <REP> d-------- c:\program files\Free Download Manager
2008-10-27 16:05 . 2008-11-19 18:02 <REP> d-------- c:\documents and settings\Yann\Application Data\Free Download Manager
2008-10-27 16:05 . 2008-10-27 16:05 <REP> d-------- c:\documents and settings\All Users\Application Data\FreeDownloadManager.ORG
2008-10-19 13:59 . 2008-10-19 15:34 <REP> d-------- c:\windows\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 13:23 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-12 13:23 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll
2008-10-16 07:10 --------- d-----w c:\program files\MSXML 4.0
2008-10-13 11:18 --------- d-----w c:\program files\Bulk Image Downloader
2008-10-13 11:18 --------- d-----w c:\documents and settings\Yann\Application Data\BID
2008-10-12 14:53 --------- d-----w c:\program files\Lexmark 2200 Series
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-28 08:03 74,752 ----a-w c:\windows\system32\msw3prt.dll
2008-08-28 08:03 104,960 ----a-w c:\windows\system32\win32spl.dll
2008-08-20 05:37 663,552 ----a-w c:\windows\system32\wininet.dll
2006-04-11 13:33 281,088 -c--a-w c:\program files\MancheFormule.exe
2004-12-30 17:36 0 -c--a-w c:\program files\armaerr.txt
2004-08-05 12:00 311,864 -c--a-w c:\program files\HTML32.CNV
2004-08-05 12:00 213,066 -c--a-w c:\program files\MSWRD632.WPC
.

((((((((((((((((((((((((((((( snapshot@2008-11-19_16.10.45.92 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-19 14:45:39 52,880 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-19 16:06:42 52,880 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-19 14:45:39 63,762 ----a-w c:\windows\system32\perfc00C.dat
+ 2008-11-19 16:06:43 63,762 ----a-w c:\windows\system32\perfc00C.dat
- 2008-11-19 14:45:39 380,658 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-19 16:06:43 380,658 ----a-w c:\windows\system32\perfh009.dat
- 2008-11-19 14:45:39 445,394 ----a-w c:\windows\system32\perfh00C.dat
+ 2008-11-19 16:06:43 445,394 ----a-w c:\windows\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"SuperCopier.exe"="c:\program files\SuperCopier\SuperCopier.exe" [2003-04-24 683520]
"Free Download Manager"="c:\program files\Free Download Manager\fdm.exe" [2008-05-20 2474031]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-16 32768]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2004-02-04 294912]
"Camera Detector"="c:\progra~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE" [2003-11-17 208896]
"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 36975]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Sagem - Utilitaire r‚seau pour Cl‚ USB Wi-Fi 802.11g.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2008-08-20 679936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.div3"= DivXc32.dll
"MIDI1"= myokent.dll
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.DIV4"= DivXc32f.dll
"VIDC.MPG4"= msmpeg4.dll
"VIDC.MP42"= msmpeg4.dll
"VIDC.MP43"= msmpeg4.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a--c--- 2004-11-30 20:10 344064 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDVDDET]
--a------ 2003-06-18 01:00 45056 c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTSysVol]
--a------ 2003-09-17 10:43 57344 c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a--c--- 2002-07-18 18:36 28672 c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a--c--- 2001-07-09 00:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]
--a------ 2003-10-08 16:35 139264 c:\program files\Creative\MediaSource\RemoteControl\RcMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBDrvDet]
--a--c--- 2002-12-03 18:06 45056 c:\program files\Creative\SB Drive Det\SBDrvDet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--a--c--- 2000-05-11 01:00 90112 c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2006-06-09 01:17 35328 c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
--a------ 2003-10-06 07:57 24576 c:\windows\system32\CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SOProc_RegSoAlertWxLiteNnAj]
--a------ 2006-12-19 22:49 8509952 c:\windows\system32\shell32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SOProc_RegSoAlertWxSzNn]
--a------ 2006-12-19 22:49 8509952 c:\windows\system32\shell32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Soulseek\\slsk.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\Unreal\\System\\UnrealTournament.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

R0 xmasbus;xmasbus;c:\windows\system32\DRIVERS\xmasbus.sys [2004-12-22 140800]
R0 xmasscsi;xmasscsi;c:\windows\system32\Drivers\xmasscsi.sys [2004-12-22 5504]
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [2005-08-30 10995]
R2 PfDetNT;PfDetNT;\??\c:\windows\system32\drivers\PfModNT.sys [2004-12-22 15840]
R3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\DRIVERS\WlanUIG.sys [2008-08-20 379456]
S3 kxwdmdrv;kX WDM Driver Service;c:\windows\system32\drivers\kx.sys [2004-02-16 571776]
S3 p2pgasvc;Authentification de groupe réseau homologue;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 p2pimsvc;Gestionnaire d'identité réseau homologue;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 p2psvc;Réseau homologue;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 PNRPSvc;Protocole de résolution de noms d'homologues;c:\windows\system32\svchost.exe -k p2psvc [2004-08-05 14336]
S3 SE2Fbus;Sony Ericsson Device 047 Driver driver (WDM);c:\windows\system32\DRIVERS\SE2Fbus.sys [2007-08-13 61600]
S3 SE2Fmdfl;Sony Ericsson Device 047 USB WMC Modem Filter;c:\windows\system32\DRIVERS\SE2Fmdfl.sys [2007-08-13 9360]
S3 SE2Fmdm;Sony Ericsson Device 047 USB WMC Modem Driver;c:\windows\system32\DRIVERS\SE2Fmdm.sys [2007-08-13 97184]
S3 SE2Fmgmt;Sony Ericsson Device 047 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\SE2Fmgmt.sys [2007-08-13 88688]
S3 se2Fnd5;Sony Ericsson Device 047 USB Ethernet Emulation SEMC47 (NDIS);c:\windows\system32\DRIVERS\se2Fnd5.sys [2007-08-13 18704]
S3 SE2Fobex;Sony Ericsson Device 047 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\SE2Fobex.sys [2007-08-13 86560]
S3 se2Funic;Sony Ericsson Device 047 USB Ethernet Emulation SEMC47 (WDM);c:\windows\system32\DRIVERS\se2Funic.sys [2007-08-13 90800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

*Newly Created Service* - PCANDIS5
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 18:04:02
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-19 18:04:50
ComboFix-quarantined-files.txt 2008-11-19 17:04:41
ComboFix2.txt 2008-11-19 15:11:59

Avant-CF: 13 054 083 072 octets libres
Après-CF: 13,035,630,592 octets libres

195 --- E O F --- 2008-11-14 13:30:02

et le hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:55, on 19/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\rmctrl.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: Ajouter cette page à la file d'attente de Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidqueue.htm
O8 - Extra context menu item: Ajouter à la file d'attente le lien ciblé - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlinkqueue.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir cette page avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebid.htm
O8 - Extra context menu item: Ouvrir le lien ciblé avec Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\iebidlink.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 19 nov. 2008 à 18:25

impec ...

dis moi comment va le PC maitenant ... du mieux ?

1- refais un coup de CCleaner ( registre compris )

2- Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Fermes bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* cliques ensuite sur " Continue " pour lancer l'analyse ...

( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

-> laisses faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : postes un rapport, puis l'autre dans la réponse suivante ... si tu essayes de poster les deux en même temps,
cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Ajouter un commentaire

1 2

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Gros pb de redirection vers liens commerciaux [Résolu]

Gros pb de redirection vers liens commerciaux »

Passage au tout numérique : quel coût pour les particuliers ?