Possible infection [Fermé]

Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
- - Dernière réponse : dédétraqué
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
10 février 2013
- 30 déc. 2009 à 02:52
Bonjour,

je me suis fait infecté par malware defender.

Je pensais m'être débarassé de tout après le passage de Malwarebytes' Anti-Malware

Hier l'analyse ne trouvait rien.

Je l'ai relancé aujourd'hui et il me trouve des toyens et rootkits.

Merci de votre aide pour m'aider a faire le grand nettoyage
Afficher la suite 

15 réponses

Meilleure réponse
Messages postés
14731
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1080
5
Merci
Soir'

Formatage... pffffff...

C'est tout ce que tu trouves a dire Lolo ??

yoyo173fr,

Relance MBAM ( MalwareBytes_AntiMalware )

Clique sur l'onglet Mise a jour, et laisse le faire.

Ensuite,

* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

* Si des malwares ont été détectés, leur liste s'affiche.

Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.


MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse

Tutoriel si tu as besoin d'aide.

Dire « Merci » 5

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 71512 internautes nous ont dit merci ce mois-ci

Messages postés
30088
Date d'inscription
lundi 1 décembre 2008
Statut
Modérateur
Dernière intervention
24 janvier 2018
894
2
Merci
Bonsoir,


On se calme ........... on respire un bon coup ............. et surtout on laisse les pros faire le boulot ;)

Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
0
Merci
Formatage. Coupe ta connection internet le plus osuvent possible. Arrete les logiciels P2p (shareaza, emule...)
Utilisateur anonyme -
Bonsoir, et il est ou le lien avec la question !?

►"Merci de votre aide pour m'aider a faire le grand nettoyage"◄

Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
0
Merci
C'est a& moi que tu parles, M@thew ? C'est une vraie question, ne le prends pas mal
Utilisateur anonyme -
Absolument, c'est à toi que je parle.
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
10 février 2013
285
0
Merci
Salut yoyo173fr


Télécharge combofix.exe (de sUBs) sur le bureau :

Faire un clic droit sur ce lien :

http://subs.geekstogo.com/ComboFix.exe

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom yoyo.exe clique sur Enregistrer

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur yoyo.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
0
Merci
Le lien, c'est que il nettoie avec son antivirus, il fait ce que j'ai dit (a part le formatage), et il a de quatre a cinq fois moins de chance de s'attraper des troyens...etc...etc...Sinon, il y a en drenier recours, le formatage qui fera un vrai nettoyage. Si tu as des comentaires a faire, done nous une solution, et apres on verra, d'accord ,
Utilisateur anonyme -
Au lieu de dire n'importe quoi, tu ferais mieux de
regarder et d'apprendre, comme je fais tous les jours
ça t'évitera de passer pour un clown, si en plus tu es
agressif, alors ça va pas le faire !

Salut Jorginho67 !
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
0
Merci
Ca se la pete beaucoup ici a ce que je vois, mais pour ce genre de probleme, il y a pas de quoi...
Utilisateur anonyme -
Tu es ridicule, un formatage n'a jamais désinfecté
un pc, j'ai juste réagis à ça...

Après, tu le prends comme tu veux...
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
0
Merci
Pour moi, formatage = on ré-installe un autre OS par dessus, et ca a toujours marché pour moi...Peut etre ce n'est pas le bon terme, ok
Messages postés
53
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
8 février 2010
3
0
Merci
Oui, madame. Allez, je plaisante, personne ne peut s'enerver pour si peu. Mais chapeau d'essayer de pacifier, la plupart des gens prennent du pop-corn et se delectent de rien.
Messages postés
114729
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
14 novembre 2019
2712
0
Merci
Bonjour

Pour suivre.
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
0
Merci
OK

Pour info je ne fais pas de P2P et je suis du genre prudent si je décide d'installer un soft

L'infection s'est faite par un simple surf sur Internet (avec OS a jour, MacAfee a jour, Mozilla a jour)
C'est là qu'ils sont plutôt fort avec leur virus

Après infection d'ailleurs MacAffe ne détectait rien, j'ai tenté de lancer Malwarebytes' Anti-Malware et là il ne se lancait pas
J'y suis allé a coup de kill violent de process avant de pouvoir le lancer
Et il a commencé le nettoyage

Je pensait avoir tout viré avec son passage. Le lendemain par contrôle je l'ai relancé et c'est là que j'ai constaté qu'il en restait et donc je suis venu ici demander de l'aide.

Du coup j'ai passé combofix et encore Malwarebytes' Anti-Malware et là il ne voit plus rien.

Dans les prochains posts les rapports demandés
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
0
Merci
rapport combofix demandé par dédétraqué
-------------
ComboFix 09-12-27.04 - Anonyme 29/12/2009 0:50.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.512 [GMT 1:00]
Lancé depuis: d:\datasuser\Bureau\yoyo.exe
AV: McAfee VirusScan Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
FW: McAfee Host Intrusion Prevention Firewall *enabled* {2F1275E3-2F4F-43E9-944B-3F63F9BDA5F5}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\INSTALL.LOG
c:\windows\Conf.reg
c:\windows\EventSystem.log
c:\windows\system32\RFHelper.dll
c:\windows\system32\srcr.dat
c:\windows\system32\tmp.reg
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
d:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Il y a peut-être des sites infectés -----

hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
hxxp://SiteAnonymisé:80
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.

2009-12-28 23:57 . 2009-12-28 23:57 40735 ----a-w- c:\windows\system32\api_hook_list.dat
2009-12-28 23:57 . 2009-06-25 12:57 39816 ----a-w- c:\windows\system32\HIPIS0e011aa.dll
2009-12-28 02:49 . 2009-12-28 02:49 -------- d-----w- d:\documents and settings\Anonyme\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-28 02:15 . 2009-12-28 02:15 -------- d-----w- d:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-28 02:15 . 2009-12-28 02:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-28 02:15 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-25 09:46 . 2009-12-25 09:46 -------- d-----w- d:\documents and settings\Anonyme\Local Settings\Application Data\ArcSoft
2009-12-25 09:46 . 2009-12-25 16:00 -------- d-----w- d:\documents and settings\Anonyme\Application Data\ArcSoft
2009-12-25 09:45 . 2009-12-25 16:00 -------- d-----w- d:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 09:45 . 2004-05-04 10:53 1645320 ----a-w- c:\windows\system32\gdiplus.dll
2009-12-25 09:45 . 2009-12-25 09:45 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-25 09:45 . 2009-12-25 09:45 -------- d-----w- c:\program files\ArcSoft
2009-12-25 09:45 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-25 09:42 . 2009-12-25 09:42 -------- d-----w- c:\program files\Philips
2009-12-25 09:42 . 2009-12-25 09:42 -------- d-----w- d:\documents and settings\Anonyme\Application Data\InstallShield
2009-12-07 11:05 . 2009-11-17 00:04 5710 ----a-w- c:\windows\system32\IE7-Config-2009-10-28.vbs
2009-12-07 11:00 . 2009-12-28 03:25 -------- d--h--w- c:\windows\$hf_mig$
2009-12-07 11:00 . 2009-12-07 11:00 -------- d-----w- c:\program files\Log
2009-12-01 10:33 . 2004-09-27 06:54 49152 ----a-r- c:\windows\system32\SiSWBase.dll
2009-12-01 10:33 . 2004-09-27 06:54 237568 ----a-r- c:\windows\system32\SiSWPars.dll
2009-12-01 10:33 . 2004-09-27 06:54 155648 ----a-r- c:\windows\system32\SiSWInst.dll
2009-12-01 10:33 . 2004-12-29 07:34 167424 ----a-r- c:\windows\system32\drivers\sis163u.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 02:20 . 2008-01-09 16:28 75190 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-28 02:20 . 2008-01-09 16:28 468552 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-28 01:32 . 2008-10-11 12:33 -------- d-----w- d:\documents and settings\Anonyme\Application Data\FileZilla
2009-12-25 18:50 . 2008-10-08 12:08 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-22 01:28 . 2008-10-11 12:33 -------- d-----w- c:\program files\FileZilla FTP Client
2009-12-21 01:23 . 2008-11-09 00:12 -------- d-----w- d:\documents and settings\Anonyme\Application Data\GrabIt
2009-12-19 21:18 . 2008-11-17 01:09 -------- d-----w- d:\documents and settings\Anonyme\Application Data\dvdcss
2009-12-15 15:10 . 2008-10-09 22:55 -------- d-----w- d:\documents and settings\Anonyme\Application Data\XnView
2009-12-03 21:24 . 2008-10-21 07:28 136512 ----a-w- c:\windows\system32\KevlarSigs.dll
2009-11-28 16:47 . 2009-11-28 16:46 -------- d-----w- d:\documents and settings\Anonyme\Application Data\FreeOrion
2009-11-24 09:50 . 2009-11-24 09:50 -------- d-----w- d:\documents and settings\Administrateur\Application Data\Subversion
2009-11-24 09:19 . 2009-11-24 09:19 165232 ---ha-w- d:\documents and settings\S240836\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll
2009-11-24 09:11 . 2009-11-24 09:11 -------- d-----w- d:\documents and settings\S240836\Application Data\Subversion
2009-11-24 09:08 . 2009-11-24 09:08 8192 ----a-w- c:\windows\system32\srvany.exe
2009-11-12 16:45 . 2008-10-10 07:25 -------- d-----w- c:\program files\PSPad editor
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 16:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2009-06-25 136512]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2009-01-27 111952]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-05 144384]
"McAfee Host Intrusion Prevention Tray"="c:\program files\McAfee\Host Intrusion Prevention\FireTray.exe" [2009-06-25 979104]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

d:\documents and settings\Anonyme\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers SetConf.lnk - d:\log\SetConf.bat [2008-10-9 2990]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
InstantTimeZone.lnk - c:\program files\InstantTimeZone\InstantTimeZone.exe [2008-5-8 1728199]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\0]
"Script"=logon.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-15862\Scripts\Logon\1\0]
"Script"=UnsetProxySettings.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\0]
"Script"=logon.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2068857960-4233098407-3889896476-19660\Scripts\Logon\0\1]
"Script"=Map-Msg.vbs

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 enterceptAgent;McAfee Host Intrusion Prevention Service;c:\program files\McAfee\Host Intrusion Prevention\FireSvc.exe [25/06/2009 13:57 1489984]
R2 Gdparc;Gestion de parc;c:\windows\system32\srvany.exe [24/11/2009 10:08 8192]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [18/11/2008 09:21 70728]
R2 WebDriveFSD;WebDrive File System Driver;c:\program files\Netdrive\rffsd.sys [27/02/2009 14:15 67032]
R3 FirehkMP;FirehkMP;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
R3 HIPK;McAfee Inc. HIPK;c:\windows\system32\drivers\HIPK.sys [21/10/2008 08:28 110384]
R3 HIPPSK;McAfee Inc. HIPPSK;c:\windows\system32\drivers\HIPPSK.sys [21/10/2008 08:28 38200]
R3 HIPQK;McAfee Inc. HIPQK;c:\windows\system32\drivers\HIPQK.sys [21/10/2008 08:28 35584]
R3 hips;McAfee HIPSCore Service;c:\program files\McAfee\Host Intrusion Prevention\HIPSCore\HIPSvc.exe [04/09/2009 11:56 35696]
S3 Firehk;McAfee NDIS Intermediate Filter;c:\windows\system32\drivers\firehk.sys [20/09/2007 16:39 44680]
S3 ndfs;ndfs;\??\c:\program files\Netdrive\ndfs.sys --> c:\program files\Netdrive\ndfs.sys [?]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [01/12/2009 11:33 167424]
S4 RFNP32;WebDrive Provider; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\IE7-Config-2009-10-28]
2004-08-05 12:00 114688 ----a-w- c:\windows\system32\wscript.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://SiteAnonymisé/fr-fr/
uInternet Settings,ProxyOverride = 172.*;<local>
uInternet Settings,ProxyServer = www-proxy:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: MCInstallCAB - hxxps://content101.mc.iconf.net/gcc_installer/mcInstall.CAB
FF - ProfilePath - d:\documents and settings\Anonyme\Application Data\Mozilla\Firefox\Profiles\fsljuf7z.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://crahweb/activedirectory/
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-HijackThis - d:\datasuser\Bureau\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 00:58
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1460)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll

- - - - - - - > 'lsass.exe'(1516)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll

- - - - - - - > 'explorer.exe'(2516)
c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
c:\program files\TortoiseSVN\bin\TortoiseStub.dll
c:\program files\TortoiseSVN\bin\TortoiseSVN.dll
c:\program files\TortoiseSVN\bin\intl3_tsvn.dll
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(1436)
c:\windows\system32\HcApi.dll
c:\windows\system32\KevlarSigs.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\System32\GdParc\Gdparc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\sessmgr.exe
c:\program files\Network Associates\Common Framework\naPrdMgr.exe
c:\windows\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
c:\windows\system32\CCM\CcmExec.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Apoint\HidFind.exe
c:\program files\Apoint\Apntex.exe
c:\program files\Network Associates\Common Framework\McTray.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\program files\Pandion\Pandion.exe
.
**************************************************************************
.
Heure de fin: 2009-12-29 01:02:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-29 00:02

Avant-CF: 7 337 766 912 octets libres
Après-CF: 7 254 786 048 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 9754FA250DBCA2CDA159F73A7A91027D
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
0
Merci
rapport MBAM demandé par jorginho67 (dernier que j'ai lancé)
---------------------------
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3451
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

29/12/2009 22:42:25
mbam-log-2009-12-29 (22-42-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 188181
Temps écoulé: 28 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
5
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
29 décembre 2009
0
Merci
Quelques questions encore

1) D'ailleurs je me demande comment ils sont parvenu à m'infecter
version de flash, shockwave ou autre avec faille?

2) Que pensez vous de Update Checker et des wot conseillés ici http://www.commentcamarche.net/forum/affich-11558798-malware-defender-2009

3) Je n'ai pas passé tous les outils préconisés dans cet article
SmitFraudFix , lopSD , CCleaner

juste combofix, HijackThis et MBAM
Si ca peut suffire je préferre m'en contenter
Un avis?
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
10 février 2013
285
0
Merci
Salut yoyo173fr


Faire un scan de ce fichier api_hook_list.dat ici :

http://www.virustotal.com/fr/


Clique sur Parcourir et copie/colle ceci :
c:\windows\system32\api_hook_list.dat
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Faire également un scan de ce fichier :
c:\windows\system32\HIPIS0e011aa.dll


@++ :)