infecté par spywares (résolu)

(2 Pages)
←
1
2

Vous ne pouvez pas commencer un sujet
Vous ne pouvez pas répondre à ce sujet

infecté par spywares (résolu) Noter :

#11 Thanos

Devil Member !

Groupe : Equipe Sécurité+
Messages : 15936
Inscrit(e) : 24-février 05

Posté 10 septembre 2008 - 12:03

salut

Citation

et désolé mais je ne sais pas faire pour "Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows"?
je ne sais pas où trouver ce lien

Il te suffit de cliquer sur le lien ci-dessous puis, une fois sur la page de téléchargement, clique sur Télécharger >>
http://www.microsoft.com/downloads/details...0c-0a0205368124

Il ne reste plus qu'à effectuer les manipulations de mon post précédent >> installer la Console de Récupération comme indiqué avec ComboFix - utiliser le script - faire le scan avec MBAM (très rapide!).

En attente des rapports

Fournir de l'aide en désinfection (par ipl_001) - Procédure de demande d'aide et désinfection (par Falkra) -
Guide sécurisation Windows face aux menaces infectieuses USB (par Gof)
Je ne réponds à aucune demande d'aide via mp, merci.

Retour en haut of the page up there ^

#12 lili105

Member

Groupe : Membres
Messages : 30
Inscrit(e) : 25-décembre 04

Posté 10 septembre 2008 - 08:40

bonsoir

voici les rapports

ComboFix 08-09-05.03 - PEREIRA 2008-09-10 20:00:16.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.96 [GMT 2:00]
Endroit: C:\Documents and Settings\PEREIRA\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\PEREIRA\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Création d'un nouveau point de restauration
* Resident AV is active

.

((((((((((((((((((((((((((((( Fichiers créés 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))
.

2008-09-06 15:39 . 2008-09-07 17:53 1,782 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-06 15:38 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-09-06 15:38 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-09-06 15:38 . 2008-09-02 23:58 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-06 15:38 . 2008-09-02 16:51 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-09-06 15:38 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-09-06 15:38 . 2008-08-28 22:36 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-09-06 15:38 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-09-06 15:38 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-09-06 15:38 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-09-06 15:38 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-09-06 15:22 . 2008-09-06 15:22 <REP> d-------- C:\rsit
2008-09-03 16:21 . 2008-09-03 11:31 86,016 --a------ C:\WINDOWS\sxmaokgf.exe
2008-09-03 16:20 . 2008-09-03 16:20 <REP> d-------- C:\Program Files\MSA

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-10 18:04 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-09-08 19:27 --------- d-----w C:\Documents and Settings\PEREIRA\Application Data\Nomad ML
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-15 07:58 --------- d-----w C:\Program Files\MSXML 4.0
2008-07-11 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-07-11 19:45 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-07-11 19:44 4,780,368 ----a-w C:\Program Files\MsgPlusLive-460.exe
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-22 10:27 2,402,832 ----a-w C:\Program Files\WLinstaller.exe
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-05-30 19:13 17,144 ----a-w C:\Documents and Settings\PEREIRA\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-09-07_18.26.17.45 )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"H/PC Connection Agent"="D:\programm files\WCESCOMM.EXE" [2003-04-23 417871]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="D:\programmes files\Reader\Reader_sl.exe" [2008-01-11 39792]
"BitDefender Antiphishing Helper"="D:\programmes files\IEShow.exe" [2007-10-09 61440]
"BDAgent"="D:\programmes files\bdagent.exe" [2008-06-24 368640]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-06-11 98304]
"C-Media Mixer"="Mixer.exe" [2002-10-15 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
NkbMonitor.exe.lnk - D:\programm files\NkbMonitor.exe [2008-06-11 118784]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 36224]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
- - - - ORPHANS REMOVED - - - -

HKLM-RunOnce-<NO NAME> - (no file)

.
------- Supplementary Scan -------
.
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 -: Handler: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} - d:\programm files\AATP.DLL
O18 -: WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL
O18 -: WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL
O18 -: WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL
O18 -: WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL
O18 -: WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\programm files\CENETFLT.DLL
O18 -: WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\programm files\CENETFLT.DLL

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://www.photoweb.fr/telechargement/telechargement-photoweb.cab
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx

O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
C:\WINDOWS\Downloaded Program Files\AdSignerADP.inf
C:\WINDOWS\system32\msvcp60.dll
C:\WINDOWS\system32\atl.dll
C:\WINDOWS\Downloaded Program Files\AdVerifierADP.dll
C:\WINDOWS\Downloaded Program Files\AdSignerADP.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 20:04:12
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-10 20:08:20
ComboFix-quarantined-files.txt 2008-09-10 18:08:10
ComboFix2.txt 2008-09-07 16:27:47

Pre-Run: 5,597,884,416 octets libres
Post-Run: 5,585,170,432 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

138 --- E O F --- 2008-08-17 21:04:29

ComboFix 08-09-05.03 - PEREIRA 2008-09-10 20:15:00.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.81 [GMT 2:00]
Endroit: C:\Documents and Settings\PEREIRA\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\PEREIRA\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\MSA
C:\Program Files\MSA\MSA.ooo
C:\rsit
C:\rsit\info.txt
C:\rsit\log.txt
C:\WINDOWS\sxmaokgf.exe
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\AntiXPVSTFix.exe
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))
.

2008-09-06 15:39 . 2008-09-07 17:53 1,782 --a------ C:\WINDOWS\system32\tmp.reg

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-10 18:19 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-09-08 19:27 --------- d-----w C:\Documents and Settings\PEREIRA\Application Data\Nomad ML
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-15 07:58 --------- d-----w C:\Program Files\MSXML 4.0
2008-07-11 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-07-11 19:45 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-07-11 19:44 4,780,368 ----a-w C:\Program Files\MsgPlusLive-460.exe
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-22 10:27 2,402,832 ----a-w C:\Program Files\WLinstaller.exe
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-05-30 19:13 17,144 ----a-w C:\Documents and Settings\PEREIRA\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-09-07_18.26.17.45 )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"H/PC Connection Agent"="D:\programm files\WCESCOMM.EXE" [2003-04-23 417871]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="D:\programmes files\Reader\Reader_sl.exe" [2008-01-11 39792]
"BitDefender Antiphishing Helper"="D:\programmes files\IEShow.exe" [2007-10-09 61440]
"BDAgent"="D:\programmes files\bdagent.exe" [2008-06-24 368640]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-06-11 98304]
"C-Media Mixer"="Mixer.exe" [2002-10-15 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
NkbMonitor.exe.lnk - D:\programm files\NkbMonitor.exe [2008-06-11 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 36224]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
- - - - ORPHANS REMOVED - - - -

HKLM-RunOnce-<NO NAME> - (no file)

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 20:19:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-10 20:23:04
ComboFix-quarantined-files.txt 2008-09-10 18:23:00
ComboFix2.txt 2008-09-10 18:08:23
ComboFix3.txt 2008-09-07 16:27:47

Pre-Run: 5,755,916,288 octets libres
Post-Run: 5,749,010,432 octets libres

114 --- E O F --- 2008-08-17 21:04:29

ComboFix 08-09-05.03 - PEREIRA 2008-09-10 20:15:00.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.81 [GMT 2:00]
Endroit: C:\Documents and Settings\PEREIRA\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\PEREIRA\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\MSA
C:\Program Files\MSA\MSA.ooo
C:\rsit
C:\rsit\info.txt
C:\rsit\log.txt
C:\WINDOWS\sxmaokgf.exe
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\AntiXPVSTFix.exe
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))
.

2008-09-06 15:39 . 2008-09-07 17:53 1,782 --a------ C:\WINDOWS\system32\tmp.reg

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-10 18:19 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-09-08 19:27 --------- d-----w C:\Documents and Settings\PEREIRA\Application Data\Nomad ML
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-15 07:58 --------- d-----w C:\Program Files\MSXML 4.0
2008-07-11 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-07-11 19:45 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-07-11 19:44 4,780,368 ----a-w C:\Program Files\MsgPlusLive-460.exe
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-22 10:27 2,402,832 ----a-w C:\Program Files\WLinstaller.exe
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-05-30 19:13 17,144 ----a-w C:\Documents and Settings\PEREIRA\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-09-07_18.26.17.45 )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"H/PC Connection Agent"="D:\programm files\WCESCOMM.EXE" [2003-04-23 417871]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="D:\programmes files\Reader\Reader_sl.exe" [2008-01-11 39792]
"BitDefender Antiphishing Helper"="D:\programmes files\IEShow.exe" [2007-10-09 61440]
"BDAgent"="D:\programmes files\bdagent.exe" [2008-06-24 368640]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-06-11 98304]
"C-Media Mixer"="Mixer.exe" [2002-10-15 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
NkbMonitor.exe.lnk - D:\programm files\NkbMonitor.exe [2008-06-11 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 36224]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
- - - - ORPHANS REMOVED - - - -

HKLM-RunOnce-<NO NAME> - (no file)

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 20:19:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-10 20:23:04
ComboFix-quarantined-files.txt 2008-09-10 18:23:00
ComboFix2.txt 2008-09-10 18:08:23
ComboFix3.txt 2008-09-07 16:27:47

Pre-Run: 5,755,916,288 octets libres
Post-Run: 5,749,010,432 octets libres

114 --- E O F --- 2008-08-17 21:04:29

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1137
Windows 5.1.2600 Service Pack 2

10/09/2008 20:36:48
mbam-log-2008-09-10 (20-36-48).txt

Type de recherche: Examen rapide
Eléments examinés: 38481
Temps écoulé: 4 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\gksraemq.bswm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gksraemq.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\PEREIRA\Bureau\MS Antivirus.lnk (Rogue.Link) -> Quarantined and deleted successfully.

merci

Retour en haut of the page up there ^

#13 Thanos

Devil Member !

Groupe : Equipe Sécurité+
Messages : 15936
Inscrit(e) : 24-février 05

Posté 10 septembre 2008 - 09:09

salut

Ok! le nettoyage a été fait

Je reviens sur ce que tu disais >>

Citation

depuis deux jours il y a sur mon bureau une page "active destkop" et des icones spywares malwares protection, error cleaner, et privacy protector. Dans la barre du menu démarer je n'ai plus le menu programme et je ne peux plus ouvrir mon disque c ou mon disque d.merci de votre aide

est ce toujours le cas ?

J'aimerai stp que tu fasses le scan suivant (ca prend 1 minute) pour voir si des ports sont ouverts sur ta machine >> http://www.zebulon.f...st-securite.php
Il te suffit de cliquer sur Testez la sécurité de votre PC > un scan rapide des ports du pc va être effectué.
Si jamais tu vois un ou plusieurs ports ouverts, poste stp le rapport du scan.

Après ca, on va nettoyer les outils téléchargés

Retour en haut of the page up there ^

#14 lili105

Member

Groupe : Membres
Messages : 30
Inscrit(e) : 25-décembre 04

Posté 11 septembre 2008 - 07:03

bonsoir,

donc je n'ai plus la page sur mon bureau "activ destkop
voici le rapport avec le scan

Ports TCP ouverts Aucun port détecté

Ports TCP fermés 21 ftp Utilisé pour le transfert de fichier entre ordinateurs Trojans possibles : Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, FreddyK, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, RTB 666, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash

113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué Trojans possibles : Invisible Identd Deamon, Kazimas

Ports TCP masqués 22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée Trojans possibles : Adore sshd, Shaft

23 telnet Utilisé pour obtenir un shell distant Trojans possibles : ADM worm, Fire HacKer, My Very Own trojan, RTB 666, Telnet Pro, Tiny Telnet Server - TTS, Truva Atl

25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port. Trojans possibles : Ajan, Antigen, Barok, BSE, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Stukach, Tapiras, Terminator, WinPC, WinSpy

79 finger Permet de connaître diverses informations relatives à votre profil Trojans possibles : CDK, Firehotcker

80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port Trojans possibles : 711 trojan (Seven Eleven), AckCmd, Back End, Back Orifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Code Red, Executor, God Message, God Message 4 Creator, Hooker, IISworm, MTX, NCX, Nimda, Noob, Ramen, Reverse WWW Tunnel Backdoor, RingZero, RTB 666, Seeker, WAN Remote, Web Server CT, WebDownloader

110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port. Trojans possibles : ProMail trojan

119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet Trojans possibles : Happy99

135 epmap Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft Trojans possibles : W32.Blaster.Worm, W32/Lovsan.worm

139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local Trojans possibles : Chode, God Message worm, Msinit, Netlog, Network, Qaz, Sadmind, SMB Relay

143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port. Trojans possibles : N/A

389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne Trojans possibles : N/A

443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger Trojans possibles : N/A

445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe Trojans possibles : Lioten, Randon, WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder

1002 N/A Port non standard Trojans possibles : N/A

1024 N/A Port réservé Trojans possibles : Jade, Latinus, NetSpy, Remote Administration Tool - RAT [no 2]

1025 N/A Port non standard Trojans possibles : Fraggle Rock, md5 Backdoor, NetSpy, Remote Storm

1026 N/A Port non standard Trojans possibles : N/A

1027 N/A Port non standard Trojans possibles : ICKiller

1028 N/A Port non standard Trojans possibles : N/A

1029 N/A Port non standard Trojans possibles : InCommand Access, ICQ Nuke 98

1030 N/A Port non standard Trojans possibles : N/A

1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting Trojans possibles : N/A

5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau Trojans possibles : Back Door Setup, BioNet Lite, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie

Temps d'exécution du scan : 23.12 secondes

Survolez les avec le pointeur de votre souris afin de connaître les trojans susceptible d'utiliser chacun des ports.

Thanos, le mercredi 10 septembre 2008 à 22h09, dit :

salut

Ok! le nettoyage a été fait

Je reviens sur ce que tu disais >>

est ce toujours le cas ?

J'aimerai stp que tu fasses le scan suivant (ca prend 1 minute) pour voir si des ports sont ouverts sur ta machine >> http://www.zebulon.f...st-securite.php
Il te suffit de cliquer sur Testez la sécurité de votre PC > un scan rapide des ports du pc va être effectué.
Si jamais tu vois un ou plusieurs ports ouverts, poste stp le rapport du scan.

Après ca, on va nettoyer les outils téléchargés

Retour en haut of the page up there ^

#15 Thanos

Devil Member !

Groupe : Equipe Sécurité+
Messages : 15936
Inscrit(e) : 24-février 05

Posté 12 septembre 2008 - 01:30

salut

Ok: les ports de ton pc sont fermés, ce qui est une bonne chose.

On vire l'outil téléchargé >>

Passe par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )
Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

Tu peux éliminer le dossier SmitfraudFix et le fichier SmitfraudFix.exe sur le Bureau.

Désactive puis réactive la restauration système comme ceci => aide visuelle

Citation

Clique sur Démarrer.
Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.
Clique sur l'onglet «Restauration du système».
Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»
Clique sur "Appliquer".
Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.
Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

Tu me disais ceci plus précisément dans ton premier post >

Citation

Dans la barre du menu démarer je n'ai plus le menu programme et je ne peux plus ouvrir mon disque c ou mon disque d.merci de votre aide

Est ce que tu as retrouvé "Tous les Programmes" dans le Menu Démarrer ? peux tu ouvrir ton disque C de nouveau via un double-clic ?

Retour en haut of the page up there ^

#16 lili105

Member

Groupe : Membres
Messages : 30
Inscrit(e) : 25-décembre 04

Posté 12 septembre 2008 - 11:23

bonsoir,

voilà j'ai fait comme vous avez dit
donc j'ai bien retrouvé tous les programmes dans le menu démarrer et je peux ouvrir mon disque C sans problème

Retour en haut of the page up there ^

#17 Thanos

Devil Member !

Groupe : Equipe Sécurité+
Messages : 15936
Inscrit(e) : 24-février 05

Posté 14 septembre 2008 - 01:35

salut

Très bien, content que le pc fonctionne correctement

Je t'ai fait installer la Console de Récupération de Windows, pourquoi ? Parfois, il arrive que des fichiers importants de Windows soient corrompus/effacés et c'est là que l'installation de cette Console prend tout son intérêt.
Elle permet de faire une multitude de chose: effacer des fichiers infectés - remplacer des fichiers légitimes etc....
pour plus d'informations sur la Console de Récupération, lis ce topic >> http://www.zebulon.fr/dossiers/61-console-...cuperation.html

Il faut penser à mettre certains programmes à jour car ils sont souvent la cible des malwares: les mises à jour servent en partie à combler des failles de sécurité. >>

-Adobe Reader: la version 9 >> http://www.adobe.com.../readstep2.html

Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

Malekal_Morte : http://www.malekal.com/
Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

Citation

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )
- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.
- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)
- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, nettoyage de la base de registre avec jv16, scandisk, defragmentation du disque dur régulière)
- scan hebdomadaire antispyware

***

Pense à changer le titre et y rajouter " Résolu" stp.
Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".
Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

bon surf @ toi

A bientot sur les forums de Image IPB

sans malwares!

Retour en haut of the page up there ^

#18 lili105

Member

Groupe : Membres
Messages : 30
Inscrit(e) : 25-décembre 04

Posté 14 septembre 2008 - 05:58

bonsoir,

merci beaucoup pour ton aide et je vais lire attentivement les conseils que tu m'as donné
merci encore

Retour en haut of the page up there ^

(2 Pages)
←
1
2

Vous ne pouvez pas commencer un sujet
Vous ne pouvez pas répondre à ce sujet

Similar Topics
Sujet	Commencé par	Statistiques	Infos sur le dernier message
PC INFECTE PAR FAUX ANTIVIRUS	chris3	1 réponses 40 vues	Aujourd'hui, 13:51 Par : pear
[Résolu] Firefox a cessé de fonctionner	patisijm	6 réponses 147 vues	Hier, 15:40 Par : patisijm
[Résolu] GPU 98° WTTTTF ? 1 2	alakisi	12 réponses 156 vues	Hier, 17:42 Par : Tonton
[Résolu] Réseau Wifi Up !	Dragost	2 réponses 129 vues	23 mai 2012 - 07:40 Par : Dragost
[Résolu] Problème drivers Nvidia	yoyothebest	3 réponses 162 vues	Hier, 20:59 Par : yoyothebest
[Résolu] Problème avec Java 1 2 3 4	Editha	33 réponses 1208 vues	19 avril 2012 - 06:24 Par : Editha
[Résolu] Installclick Connector	gilles88	1 réponses 165 vues	22 mai 2012 - 10:21 Par : Raymond 78
[Résolu] Extraire texte et images d'un PDF 1 2 [Résolu… si l'on veut !] Comment procéder ?	BayernFan62	11 réponses 1400 vues	19 août 2011 - 02:41 Par : asap
[Résolu] Apparition bandeau noir sur fond noir Au démarrage de Windows XP	pyramides	8 réponses 288 vues	21 mai 2012 - 07:07 Par : pyramides
[Résolu] Overclock AMD Athlon II X3 Comment l'overclocker, SVP ?	GOTCHA	2 réponses 3925 vues	24 avril 2011 - 10:48 Par : GOTCHA