108 infections dont trojan buzusRésolu/Fermé

Question

Bonjour, 

Windows XP Edition familiale Service Pack2 (pas réussi à mettre le 3 abandonné).
Antivirus avira antivir.

En faisant un manip pour un téléphone, on a chargé adavanced system protector qui nous a donné le rapport suivant :

Systweak 
Advanced System Protector 
 
Date d'analyse dimanche 29 juillet 2012 
Version de la base de données 1021 
Nombre total d'éléments détectés 108 
Objets analysés : 268547 
Temps écoulé : 00:48:42 
Nom Éléments détectés 
Nom de l'infection trojan.buzus 
Catégorie Trojan 
Niveau de menace Severe 
Action effectuée NoActionTaken 
Éléments détectés 1 
 Zone détectée Registry 
Infos détaillées Clé de registre hkey_local_machine 
 software\microsoft\windows nt\currentversion\winlogon 
 taskman 
 
 
Nom de l'infection trojan-downloader.istbar 
Catégorie Trojan-Downloader 
Niveau de menace Severe 
Action effectuée NoActionTaken 
Éléments détectés 42 
 Zone détectée Registry 
Infos détaillées Clé de registre hkey_current_user 
 software\classes\eurogrand 
  
 ... etc ...

Apparemment l'ordi n'est pas propre. Quelqu'un peut il m'aiguiller pour le nettoyer sans faire de bétises.

Merci d'avance,

Phileas78


Configuration: Windows XP / Internet Explorer 8.0

pimprenelle27 · Answer

Bonsoir,




Nous allons faire un petit diagnostic de ton PC pour cela :


==> Télécharge ZHPDiag (de Nicolas Coolman)


==> si ça ne marche pas, essaye de la télécharger ici

==> Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

==> Si vous êtes sous Vista/Seven pensez à faire clique droit éxécuter en tant qu'administrateur.
clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Pour XP lancer ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

==> Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

==> Clique sur l'appareil photo où disquette et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://threat-rc.com/

==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt

==> Clique sur Ouvrir.

==> Copie ce lien de fichier joint dans ta réponse.

Phileas78 · Answer

Pimprenelle,

Merci pour la rapidité du retour mais je n'arrive pas à charger ZHPDiag (paramètre idlink incorrect).
Tu aurais une solution ?

pimprenelle27 · Answer

Essaye aces ce lien là j'ai hébergé moi même le logiciel :


http://sd-2.archive-host.com/membres/up/10261575089326360/ZHPDiag2.exe



Helper - Contributeur sécurité

Phileas78 · Answer

Ca a marché nickel chrome.
L'analyse est en cours, je te transmet le résultat dès qu'il sort.
Merci du coup de main.

Phileas78

Phileas78 · Answer

ok, ça a fini par marcher.

Le lien du rapport :
http://threat-rc.com/affichage-des-fichiers?open=20120729195046_1080.txt

A+

pimprenelle27 · Answer

Alors tu as un rogue sur ton pc : 

Un rogue est un faux logiciel de protection qui prétend que votre ordi est infecté, (fausses) preuves à l'appui.
L'erreur à ne jamais faire, c'est de l'acheter en pensant que vous serez bien protégé car
vous serez surpris en voyant la somme qui vous sera déduit sur votre carte de crédit.
Cela peut aller jusqu'à plusieurs centaines d'euros.





[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
 
Note: Partie variable. Coller les lignes voulues en fonction de votre analyse 

[*] Dans l'onglet "Registre", décocher les lignes suivantes: 
(Lignes à décocher, si nécéssaire) 
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
 
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
[*] Cliquer sur Proxy RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
[*] Cliquer sur DNS RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
[*] Cliquer sur Racc. RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
 
[*] Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
 (Liste des indexes) 


Note. Le boutton Suppression ne sera pas accessible dans que le scan n'a pas été fait
 C'est important car vous pouvez demander de décocher les éventuels faux positifs visible dans le scan.

Phileas78 · Answer

Ci après le rapport de RogueKiller. Je me suis arrêté à la récupération du rapport, je n'ai fait aucune suppression pour le moment. Verdict ? RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: BUT EXPO [Droits d'admin] Mode: Recherche -- Date: 29/07/2012 20:25:32 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[41] : NtCreateKey @ 0x80577A7A -> HOOKED (Unknown @ 0xF8DFB27E) SSDT[53] : NtCreateThread @ 0x805840DD -> HOOKED (Unknown @ 0xF8DFB274) SSDT[63] : NtDeleteKey @ 0x805981DF -> HOOKED (Unknown @ 0xF8DFB283) SSDT[65] : NtDeleteValueKey @ 0x80596A23 -> HOOKED (Unknown @ 0xF8DFB28D) SSDT[98] : NtLoadKey @ 0x805DF9F9 -> HOOKED (Unknown @ 0xF8DFB292) SSDT[122] : NtOpenProcess @ 0x8057964C -> HOOKED (Unknown @ 0xF8DFB260) SSDT[128] : NtOpenThread @ 0x805B13C6 -> HOOKED (Unknown @ 0xF8DFB265) SSDT[193] : NtReplaceKey @ 0x8065498E -> HOOKED (Unknown @ 0xF8DFB29C) SSDT[204] : NtRestoreKey @ 0x8065349E -> HOOKED (Unknown @ 0xF8DFB297) SSDT[247] : NtSetValueKey @ 0x805792AB -> HOOKED (Unknown @ 0xF8DFB288) SSDT[257] : NtTerminateProcess @ 0x8058C3F5 -> HOOKED (Unknown @ 0xF8DFB26F) IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] sfsync02.sys @ 0xF87378B4) ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3120022A +++++ --- User --- [MBR] d0f4bc0d0a03f95dc9c336785008067e [BSP] 0e88e97e357fc4de3fba997234ec1418 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

pimprenelle27 · Answer

==> Taper 2 pour mode suppression

    ** Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passer le mode 2. Si vous ne savez pas, faites vous aider. Dans tous les cas, les processus infectieux ont été tués, vous pouvez désinfecter tranquillement avec des outils plus génériques (ex. Malwarebytes)
    ** Si vous remarquez que votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine
    ** Si vous remarquez un proxy non désiré, relancer RogueKiller en mode 4
    ** Si vous remarquez un DNS non désiré, relancer RogueKiller en mode 5
    ** Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer RogueKiller en mode 6

Phileas78 · Answer

excuse moi mais tes copier/coller ne sont pas très clairs.

J'ai une ligne Statut Found dans le registre. Je fais quoi :
Suppression ?
Host RAZ ?
Proxy RAZ ?
DNS RAZ ?
RACC RAZ ?

Tu me dis de taper 2. Où ça ?
C'est quoi les modes 2 puis 3, 4, 5 et 6 ?

Désolé pour les questions mais ce week end, ça a été la cata pour tout ce que j'ai touché. J'essaie juste de prendre le maximum de précaution.

Merci encore pour ton aide.

pimprenelle27 · Answer

fait le mode 2 ensuite on fera autre choses.

Phileas78 · Answer

Il n'y a a pas de mode 2.

J'ai fait Suppression. Il me marque suppression terminée et la ligne Statut Found est devenue Statut Replaced

pimprenelle27 · Answer

Pardon je suis vraiment désolé je n'ai pas pris la bonne version du canned veuillez m'en excuser.



  Pouvez vous poster rapport RKreport.txt présent sur le bureau.


ensuite nous allons passer ceci pour vérification : 

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Phileas78 · Answer

Ci après le second rapport RKreport. J'espère que ça c'est amélioré. Je fais le TDSSKiller et je reviens vers toi. RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: BUT EXPO [Droits d'admin] Mode: Recherche -- Date: 29/07/2012 20:25:32 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[41] : NtCreateKey @ 0x80577A7A -> HOOKED (Unknown @ 0xF8DFB27E) SSDT[53] : NtCreateThread @ 0x805840DD -> HOOKED (Unknown @ 0xF8DFB274) SSDT[63] : NtDeleteKey @ 0x805981DF -> HOOKED (Unknown @ 0xF8DFB283) SSDT[65] : NtDeleteValueKey @ 0x80596A23 -> HOOKED (Unknown @ 0xF8DFB28D) SSDT[98] : NtLoadKey @ 0x805DF9F9 -> HOOKED (Unknown @ 0xF8DFB292) SSDT[122] : NtOpenProcess @ 0x8057964C -> HOOKED (Unknown @ 0xF8DFB260) SSDT[128] : NtOpenThread @ 0x805B13C6 -> HOOKED (Unknown @ 0xF8DFB265) SSDT[193] : NtReplaceKey @ 0x8065498E -> HOOKED (Unknown @ 0xF8DFB29C) SSDT[204] : NtRestoreKey @ 0x8065349E -> HOOKED (Unknown @ 0xF8DFB297) SSDT[247] : NtSetValueKey @ 0x805792AB -> HOOKED (Unknown @ 0xF8DFB288) SSDT[257] : NtTerminateProcess @ 0x8058C3F5 -> HOOKED (Unknown @ 0xF8DFB26F) IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] sfsync02.sys @ 0xF87378B4) ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3120022A +++++ --- User --- [MBR] d0f4bc0d0a03f95dc9c336785008067e [BSP] 0e88e97e357fc4de3fba997234ec1418 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

Phileas78 · Answer

Analyse faite avec TDSSKiller, il me marque no Threats found.
Tu veux vraiment que je copie le rapport, il fait quelques lignes !!

Pour info, le logiciel qui m'a détecté les 108 problèmes est toujours présent sur le Bureau.

pimprenelle27 · Answer

le rapport de roguekiller n'est pas le bon tu ne m'a pas mis le rapport de suppression merci.

Phileas78 · Answer

Exact, désolé, ci joint le bon rapport. RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: BUT EXPO [Droits d'admin] Mode: Suppression -- Date: 29/07/2012 21:35:25 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[41] : NtCreateKey @ 0x80577A7A -> HOOKED (Unknown @ 0xF8DFB27E) SSDT[53] : NtCreateThread @ 0x805840DD -> HOOKED (Unknown @ 0xF8DFB274) SSDT[63] : NtDeleteKey @ 0x805981DF -> HOOKED (Unknown @ 0xF8DFB283) SSDT[65] : NtDeleteValueKey @ 0x80596A23 -> HOOKED (Unknown @ 0xF8DFB28D) SSDT[98] : NtLoadKey @ 0x805DF9F9 -> HOOKED (Unknown @ 0xF8DFB292) SSDT[122] : NtOpenProcess @ 0x8057964C -> HOOKED (Unknown @ 0xF8DFB260) SSDT[128] : NtOpenThread @ 0x805B13C6 -> HOOKED (Unknown @ 0xF8DFB265) SSDT[193] : NtReplaceKey @ 0x8065498E -> HOOKED (Unknown @ 0xF8DFB29C) SSDT[204] : NtRestoreKey @ 0x8065349E -> HOOKED (Unknown @ 0xF8DFB297) SSDT[247] : NtSetValueKey @ 0x805792AB -> HOOKED (Unknown @ 0xF8DFB288) SSDT[257] : NtTerminateProcess @ 0x8058C3F5 -> HOOKED (Unknown @ 0xF8DFB26F) IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] sfsync02.sys @ 0xF87378B4) ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3120022A +++++ --- User --- [MBR] d0f4bc0d0a03f95dc9c336785008067e [BSP] 0e88e97e357fc4de3fba997234ec1418 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

pimprenelle27 · Answer

Parfais ensuite fait ceci  afin de vérifier le présence de rootkit: 


* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC


&#x25B6; Télécharge Combofix de sUBs


&#x25B6; et enregistre le sur le Bureau.

 
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 
ensuite envois le rapport stp


si combofix n'a pas installé la console de récupération, suivre ceci  pour l'installe et relance combofix ensuite  : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html

Phileas78 · Answer

Je n'ai pas de touche "Desactiver" quand je clique sur compte d'utilisateurs.
J'ai le choix entre un compte à mon nom activé et un compte invité désactivé.
Je ne peux pas désactiver le compte à mon nom.

Je télécharge combofix en attendant ta réponse.

pimprenelle27 · Answer

Tu es sous xp c'est normale c'est marqué plus haut sous vista

Phileas78 · Answer

C'est long mais le lien que tu m'a donné tout à l'heure ne fonctionne pas pour ce fichier. Donc ci après le rapport ComboFix. Dans l'attente de ton analyse. 


ComboFix 12-07-29.02 - BUT EXPO 29/07/2012  23:40:56.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.511.146 [GMT 2:00]
Lancé depuis: c:\documents and settings\BUT EXPO\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\data
c:\data\default\feed4.data
c:\data\default\fr_yb_c.data
c:\documents and settings\BUT EXPO\WINDOWS
c:\windows\system32\ctfmon(2).exe
c:\windows\system32\FE05DA0D.dll
c:\windows\system32\FE05EFED.dll
c:\windows\system32\FE05F051.dll
c:\windows\system32\FE05F3D5.dll
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-28 au 2012-07-29  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-29 16:21 . 2012-07-29 17:03	--------	d-----w-	C:\ZHP
2012-07-29 16:21 . 2012-07-29 17:03	--------	d-----w-	c:\program files\ZHPDiag
2012-07-29 12:46 . 2012-07-29 12:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Systweak
2012-07-29 12:46 . 2012-07-29 12:46	--------	d-----w-	c:\program files\Advanced System Protector
2012-07-29 12:46 . 2012-01-25 10:00	17136	----a-w-	c:\windows\system32\sasnative32.exe
2012-07-29 12:36 . 2012-07-29 12:46	--------	d-----w-	c:\documents and settings\BUT EXPO\Application Data\Systweak
2012-07-29 12:35 . 2012-07-16 12:25	17320	----a-w-	c:\windows\system32oboot.exe
2012-07-29 12:35 . 2012-07-29 12:35	--------	d-----w-	c:\program files\RegClean Pro
2012-07-27 16:43 . 2012-07-27 16:43	--------	d-----w-	c:\documents and settings\BUT EXPO\Local Settings\Application Data\Apple Computer
2012-07-27 16:43 . 2012-07-29 06:30	--------	d-----w-	c:\documents and settings\BUT EXPO\Application Data\Apple Computer
2012-07-27 16:43 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2012-07-27 16:43 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2012-07-27 16:40 . 2012-07-27 16:40	--------	d-----w-	c:\program files\iPod
2012-07-27 16:40 . 2012-07-27 16:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2012-07-27 16:40 . 2012-07-27 16:43	--------	d-----w-	c:\program files\iTunes
2012-07-27 16:40 . 2012-07-27 16:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple Computer
2012-07-27 16:39 . 2012-07-27 16:39	--------	d-----w-	c:\documents and settings\BUT EXPO\Local Settings\Application Data\Apple
2012-07-27 16:39 . 2012-07-27 16:39	--------	d-----w-	c:\program files\Apple Software Update
2012-07-27 16:38 . 2012-07-27 16:38	--------	d-----w-	c:\documents and settings\LocalService\Application Data\Apple Computer
2012-07-27 16:38 . 2012-04-25 10:11	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-07-27 16:38 . 2012-04-25 10:11	43520	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2012-07-27 16:37 . 2012-07-27 16:37	--------	d-----w-	c:\program files\Bonjour
2012-07-27 16:36 . 2012-07-27 16:40	--------	d-----w-	c:\program files\Fichiers communs\Apple
2012-07-27 16:36 . 2012-07-27 16:36	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple
2012-07-22 14:46 . 2012-07-22 14:46	--------	d-sh--w-	c:\documents and settings\BUT EXPO\IECompatCache
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 11:46 . 2009-06-30 23:17	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-25 10:31 . 2012-06-25 10:31	1409	----a-w-	c:\windows\QTFont.for
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}"= "c:\program files\Yahoo!\Companion\Installs\cpn1\yt.dll" [2012-06-11 1524056]
.
[HKEY_CLASSES_ROOT\clsid\{81017ea9-9aa8-4a6a-9734-7af40e7d593f}]
[HKEY_CLASSES_ROOT\yt.YTNavAssistPlugin.1]
[HKEY_CLASSES_ROOT\TypeLib\{003028C2-EA1C-4676-A316-B5CB50917002}]
[HKEY_CLASSES_ROOT\yt.YTNavAssistPlugin]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-03-13 39408]
"RDReminder"="c:\program files\RegClean Pro\RegCleanPro.exe" [2012-07-16 10070440]
"SystweakASP"="c:\program files\RegClean Pro\SystweakASP.exe" [2012-07-20 610544]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2003-08-12 335872]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-08-28 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"Advanced System Protector_startup"="c:\program files\Advanced System Protector\AdvancedSystemProtector.exe" [2012-07-24 6550440]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
.
c:\documents and settings\BUT EXPO\Menu Démarrer\Programmes\Démarrage\
Lanceur.lnk - c:\program files\Micro Application\LauncherMA.exe [2009-2-10 485376]
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-13 110592]
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2005-12-3 962661]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\FileZilla\FileZilla.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Microsoft Games\Age of Empires III\age3.exe"=
"c:\Program Files\Google\Google Earth\client\googleearth.exe"=
"c:\Program Files\Microsoft Games\Age of Empires III\age3y.exe"=
"c:\Program Files\Fichiers communs\Apple\Apple Application Support\WebKit2WebProcess.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/07/2009 20:48 108289]
R3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [20/08/2005 07:40 91830]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [05/04/2010 17:23 136176]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [05/04/2010 17:23 136176]
S3 lredbooo;lredbooo;\??\c:\docume~1\BUTEXP~1\LOCALS~1\Temp\lredbooo.sys --> c:\docume~1\BUTEXP~1\LOCALS~1\Temp\lredbooo.sys [?]
S3 Mrxbeaaynhp;Mrxbeaaynhp; [x]
S3 Wdm1;USB Bridge Cable Driver;c:\windows\system32\drivers\usbbc.sys [21/02/2004 11:25 15576]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - 85130116
*NewlyCreated* - CLR_OPTIMIZATION_V2.0.50727_32
*NewlyCreated* - TRUESIGHT
*Deregistered* - 85130116
*Deregistered* - TrueSight
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A509B1FF-37FF-4bFF-8CFF-4F3A747040FF}]
2009-03-08 02:32	128512	----a-w-	c:\windows\system32\advpack.dll
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-05 15:23]
.
2012-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-05 15:23]
.
2012-07-29 c:\windows\Tasks\RegClean Pro_DEFAULT.job
- c:\program files\RegClean Pro\RegCleanPro.exe [2012-07-29 12:25]
.
2012-07-29 c:\windows\Tasks\RegClean Pro_UPDATES.job
- c:\program files\RegClean Pro\RegCleanPro.exe [2012-07-29 12:25]
.
2012-07-29 c:\windows\Tasks\User_Feed_Synchronization-{B4D5F86E-D3FF-4796-8D90-61F30A799669}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/portail
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
DPF: {C3E3BB4F-269C-41A3-9F5F-A360E933CAD3} - hxxps://as.photoprintit.com/ips-opdata/activex/ImageUploader6.cab
FF - ProfilePath - c:\documents and settings\BUT EXPO\Application Data\Mozilla\Firefox\Profiles\qd21jca2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-la suite e-anim 9.01.001 - c:\documents and settings\BUT EXPO\Mes documents\e-anim\Uninstal.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-30 00:03
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-299502267-162531612-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|þ»Ñw*]
"C040AC0900063D11C8EF10054038389C"="C?\WINDOWS\System32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(676)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2012-07-30  00:08:02
ComboFix-quarantined-files.txt  2012-07-29 22:07
.
Avant-CF: 42 069 164 032 octets libres
Après-CF: 42 953 093 120 octets libres
.
- - End Of File - - 0AD6528BDB41F103AA7DE62B4C7380BE

pimprenelle27 · Answer

Bonjour,

comment ce comporte ton PC?



Ensuite fait moi ceci : 



==> Télécharger et installer UsbFix

==> Commencez par télécharger UsbFix sur votre bureau en cliquant sur l'image ci-dessous.

==> Vous obtiendrez le programme d'installation silencieuse de UsbFix.

==> Double cliquez sur UsbFix et acceptez l'élévation des privilèges.

==> Vous arriverez sur l'interface de UsbFix.


==> Effectuer une recherche avec UsbFix

==> Cliquez sur le bouton Recherche.

==> Branchez les supports amovibles que vous désirez scanner et cliquez sur OK.

==> UsbFix démarre la recherche. 

==> A ce stade UsbFix effectue une recherche MD5, cela peut prendre un certain temps. 

==> A ce stade UsbFix scannera votre base de registre. 

==> Enfin vous obtiendrez le rapport de recherche, le rapport est sauvegardé sous C:\UsbFix.txt. 

==> Transmettez ce rapport sur le forum ou vous êtes pris en charge ou accédez directement à notre forum de désinfection.

pimprenelle27 · Answer

Bonjour,

Aimerais bien savoir, si vous souhaitez continuer la désinfection, n'ayant plus de nouvelle depuis le 30 juillet merci.

Phileas78 · Answer

Salut pimprenelle
Sympa de t'inquiéter pour mon ordi.
Désolé de ne pas avoir pu me remettre à la désinfection mais la semaine a été plutôt chargée et je suis en déplacement pour 2 semaines.

A priori, il n'y a pas eu de nouvelles alertes mais il semble être plus lent que d'habitude (et il n'était déjà pas très rapide).

Je me remettrai sur la désinfection dans une dizaine de jours pour terminer, j'espère que tu seras dans le coin.

Phileas78

pimprenelle27 · Answer

Bonsoir,

oui j'attends de tes nouvelles très bientôt.

Phileas78 · Answer

Salut pimprenelle,

Me voilà de retour sur l'ordi.
Ci après le rapport d'UsbFix.
Est ce que ça te dit quelquechose. Pour info, pas de nouveau message d'alerte mais un ordi qui tourne quand même lentement.

A+


############################## | UsbFix V 7.096 | [Recherche]

Utilisateur: BUT EXPO (Administrateur) # Y-HKDGBY8KISVQQ
Mis à jour le 15/08/2012 par El Desaparecido
Lancé à 17:47:43 | 25/08/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: FUJITSU SIEMENS (D1625) (X86-based PC) # Desktop Computer
CPU:               Intel(R) Pentium(R) 4 CPU 3.00GHz (2992)
CPU:               Intel(R) Pentium(R) 4 CPU 3.00GHz (2992)
RAM -> [Total : 511 | Free : 86]
BIOS: 4.06  Rev. 1.03.1625            
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 112 Go (39 Go libre(s) - 35%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (576)
C:\WINDOWS\system32\winlogon.exe (676)
C:\WINDOWS\system32\services.exe (720)
C:\WINDOWS\system32\lsass.exe (732)
C:\WINDOWS\system32\Ati2evxx.exe (916)
C:\WINDOWS\system32\svchost.exe (936)
C:\WINDOWS\System32\svchost.exe (1120)
C:\WINDOWS\system32\Ati2evxx.exe (1412)
C:\WINDOWS\system32\spoolsv.exe (1544)
C:\Program Files\Avira\AntiVir Desktop\sched.exe (1604)
C:\WINDOWS\Explorer.EXE (2020)
C:\ATI-CPanel\atiptaxx.exe (236)
C:\Program Files\QuickTime\qttask.exe (264)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (296)
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (304)
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (312)
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (316)
C:\Program Files\iTunes\iTunesHelper.exe (356)
C:\Program Files\Advanced System Protector\AdvancedSystemProtector.exe (364)
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (376)
C:\WINDOWS\system32\ctfmon.exe (412)
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe (520)
C:\Program Files\Micro Application\LauncherMA.exe (532)
C:\Program Files\OpenOffice.org 3\program\soffice.exe (256)
C:\Program Files\OpenOffice.org 3\program\soffice.bin (608)
C:\Program Files\Avira\AntiVir Desktop\avguard.exe (1196)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1204)
C:\Program Files\Bonjour\mDNSResponder.exe (1268)
C:\WINDOWS\System32\FTRTSVC.exe (1336)
C:\Program Files\Java\jre6\bin\jqs.exe (1644)
C:\WINDOWS\System32\svchost.exe (1384)
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (636)
C:\WINDOWS\system32\wuauclt.exe (2560)
C:\Program Files\iPod\bin\iPodService.exe (2672)
C:\Program Files\internet explorer\iexplore.exe (2936)
C:\Program Files\internet explorer\iexplore.exe (3744)
C:\Program Files\internet explorer\iexplore.exe (604)
C:\UsbFix\Go.exe (2240)

################## | Éléments infectieux |


################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

pimprenelle27 · Answer

Bonsoir,

Pas d'éléments infectieux détecté, mais on va quand même vacciner l'ordinateur et les clés USB si tu en as connecté à l'ordi : 


 &#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

&#x25B6; Double clique sur le raccourci UsbFix présent sur ton bureau .

&#x25B6; Clique sur "Vacciner"

&#x25B6; Laisse travailler l'outil.

&#x25B6; Le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur

 * Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Phileas78 · Answer

Salut pimprenelle,

Ravi de retrouver, j'espère que ce mois d'août s'est bien passé.

Pour UsbFix, petit souci à la vaccination: il m'affiche après 1/10e de seconde
"Vaccination effectuée (C:\Autorun.inf)" et le rapport est vide.

Ca te dit quelque chose ?

pimprenelle27 · Answer

du moment qu'il dit que la vaccination est ok c'est bon tu là fait aussi sur clé USB?

108 infections dont trojan buzus

28 réponses

Discussions similaires

Newsletters