Clement-M

Voilà c'est fait ! merci encore pour votre aide !!

Super !! Merci beaucoup pour votre aide précieuse !!!!!!! bonne journée

non ça n'a pas l'air de marcher, peut être est-ce le site lui même qui a des problèmes ? Et sinon pas de scan pour vérifier que l'infection est finie ?

Bonjour Pear, voilà je viens de désinstaller Combofix via exécuter. Tout s'est bien passé, par contre je n'ai pas trouvé qoobox Sinon dans D: il me reste un dossier combofix avec à l'intérieur NircmdB... la machine à l'air d'aller très bien, curieusement malgré les virus elle allait bien déjà avant. pensez vous qu'on s'est débarrassé de zerocontrol ? dois je refaire un hijack ou un Zhpdiag pour etre sûr ? Un scan avira ou malwarbyte ? merci pear !!! sinon il y a juste un site internet etsy.com sur lequel je n'arrive presque plus à me connecter depuis la procédure... Pensez vous que ça à quelque chose à voir ou ça n'est pas possible et c'est juste le site qui a du mal en ce moment ?

Ah mince ! J'avais oublié de brancher mes disques externes... Dois/puis-je relancer combofix à nouveau en les branchant auparavant ?

Voilà le rapport de combofix : ComboFix 11-11-19.03 - clement 19/11/2011 16:06:38.1.4 - x86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.3326.2955 [GMT 1:00] Lancé depuis: d:\documents and settings\clement\Bureau\ComboFix.exe . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . d:\documents and settings\clement\WINDOWS d:\windows\$NtUninstallKB47352$ d:\windows\$NtUninstallKB47352$\2475296919 d:\windows\$NtUninstallKB47352$\3412692078\@ d:\windows\$NtUninstallKB47352$\3412692078\L\sqiicgrj d:\windows\$NtUninstallKB47352$\3412692078\loader.tlb d:\windows\$NtUninstallKB47352$\3412692078\U\@00000001 d:\windows\$NtUninstallKB47352$\3412692078\U\@000000c0 d:\windows\$NtUninstallKB47352$\3412692078\U\@000000cb d:\windows\$NtUninstallKB47352$\3412692078\U\@000000cf d:\windows\$NtUninstallKB47352$\3412692078\U\@80000000 d:\windows\$NtUninstallKB47352$\3412692078\U\@800000c0 d:\windows\$NtUninstallKB47352$\3412692078\U\@800000cb d:\windows\$NtUninstallKB47352$\3412692078\U\@800000cf d:\windows\system32\ . . ((((((((((((((((((((((((((((( Fichiers créés du 2011-10-19 au 2011-11-19 )))))))))))))))))))))))))))))))))))) . . 2011-11-18 19:03 . 2011-11-18 19:03 -------- d-----w- d:\windows\system32\LogFiles 2011-11-17 17:06 . 2011-11-17 17:39 111872 ----a-w- d:\windows\system32\drivers\TrueSight.sys 2011-11-17 11:09 . 2011-11-17 11:12 -------- d-----w- D:\ZHP 2011-11-17 11:08 . 2011-11-17 16:53 -------- d-----w- d:\program files\ZHPDiag 2011-11-15 22:56 . 2008-12-12 17:05 23984 ----a-w- d:\windows\system32\drivers\pnarp.sys 2011-11-15 22:56 . 2008-12-12 17:05 25264 ----a-w- d:\windows\system32\drivers\purendis.sys 2011-11-15 22:56 . 2011-11-15 22:56 -------- d-----w- d:\documents and settings\All Users\Application Data\Pure Networks 2011-11-15 19:47 . 2004-08-03 23:41 66560 -c--a-w- d:\windows\system32\dllcache\serial.sys 2011-11-15 19:47 . 2004-08-03 23:41 66560 ----a-w- d:\windows\system32\drivers\serial.sys 2011-11-15 10:57 . 2011-11-15 10:57 -------- d-s---w- d:\documents and settings\LocalService\UserData 2011-11-15 10:49 . 2011-11-16 17:57 -------- d-sh--w- d:\documents and settings\clement\Local Settings\Application Data\cb698c6e 2011-10-30 12:30 . 2011-10-30 12:30 -------- d-----w- d:\program files\CCleaner 2011-10-29 23:47 . 2011-10-29 23:47 -------- d-----w- d:\program files\MSXML 6.0 2011-10-29 23:37 . 2011-10-29 23:37 -------- d-----w- d:\documents and settings\clement\Local Settings\Application Data\ATI 2011-10-29 23:37 . 2011-10-29 23:37 -------- d-----w- d:\documents and settings\clement\Application Data\ATI 2011-10-29 23:37 . 2011-10-29 23:37 -------- d-----w- d:\documents and settings\All Users\Application Data\ATI 2011-10-29 23:34 . 2011-10-29 23:34 -------- d-----w- D:\ATI 2011-10-29 23:18 . 2011-10-29 23:18 -------- d-----w- d:\program files\FinalWire 2011-10-29 23:14 . 2011-10-29 23:14 -------- d--h--w- d:\windows\PIF 2011-10-28 16:11 . 2011-10-28 16:11 -------- d-----w- d:\program files\DIFX 2011-10-28 16:11 . 2009-12-22 00:26 30392 ----a-w- d:\windows\system32\drivers\usbfilter.sys 2011-10-28 16:06 . 2011-10-29 23:35 -------- d-----w- d:\program files\ATI Technologies 2011-10-28 16:06 . 2011-10-28 16:06 -------- d-----w- d:\program files\ATI 2011-10-28 14:53 . 2010-04-03 22:55 227944 ----a-w- d:\windows\system32\nvcodins.dll 2011-10-28 14:53 . 2010-04-03 22:55 227944 ----a-w- d:\windows\system32\nvcod.dll 2011-10-28 14:53 . 2010-04-03 22:55 2183470 ----a-w- d:\windows\system32\nvdata.bin . . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2011-11-14 11:23 . 2011-07-28 16:58 414368 ----a-w- d:\windows\system32\FlashPlayerCPLApp.cpl 2011-09-14 09:47 . 2011-09-14 09:47 53760 ----a-w- d:\windows\system32\OVDecode.dll 2011-09-14 09:46 . 2011-09-14 09:46 13625856 ----a-w- d:\windows\system32\amdocl.dll 2011-09-14 09:38 . 2011-09-14 09:38 37376 ----a-w- d:\windows\system32\amdoclcl.dll 2011-11-09 10:10 . 2011-07-28 16:55 134104 ----a-w- d:\program files\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="d:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696] "RTHDCPL"="RTHDCPL.EXE" [2010-01-29 18790432] "Gpu Boost Driver"="d:\program files\ASUS\GPU Boost Driver\GpuBoostServer.exe" [2010-03-27 1137280] "TurboV Help"="d:\program files\ASUS\TurboV EVO\TurboVHelp.exe" [2010-07-07 1089664] "TurboV EVO"="d:\program files\ASUS\TurboV EVO\TurboV_EVO.exe" [2010-07-15 9936512] "Six Engine"="d:\program files\ASUS\EPU\EPU.exe" [2010-03-16 5309056] "BCU"="d:\program files\DeviceVM\Browser Configuration Utility\BCU.exe" [2009-10-26 375000] "JMB36X IDE Setup"="d:\windows\RaidTool\xInsIDE.exe" [2010-01-19 43632] "ASUS Update Checker"="d:\program files\ASUS\ASUSUpdate\UpdateChecker\UpdateChecker.exe" [2009-12-28 121472] "QFan Help"="d:\program files\ASUS\AI Suite\QFan4\FanHelp.exe" [2010-03-25 888960] "QuickTime Task"="d:\program files\QuickTime\QTTask.exe" [2010-11-29 421888] "iTunesHelper"="d:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736] "HP Software Update"="d:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152] "HP Component Manager"="d:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664] "AdobeAAMUpdater-1.0"="d:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208] "SwitchBoard"="d:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096] "AdobeCS5ServiceManager"="d:\program files\Fichiers communs\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992] "Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="d:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288] "StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-09-08 98304] "nmctxth"="d:\program files\Fichiers communs\Pure Networks Shared\Platform\nmctxth.exe" [2008-12-12 642856] "Linksys Wireless Manager"="d:\program files\Linksys\Linksys Wireless Manager\LinksysWirelessManager.exe" [2009-02-16 1358384] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-05 15360] . d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\ TabUserW.exe.lnk - d:\windows\system32\WTablet\TabUserW.exe [2011-8-18 77824] . [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk] path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk backup=d:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup . [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk backup=d:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup . [HKLM\~\startupfolder\D:^Documents and Settings^clement^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.3.lnk] path=d:\documents and settings\clement\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.3.lnk backup=d:\windows\pss\OpenOffice.org 3.3.lnkStartup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2011-01-20 09:20 1305408 ----a-w- d:\program files\DAEMON Tools Lite\DTLite.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] 2011-10-13 08:27 17351304 ----a-r- d:\program files\Skype\Phone\Skype.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Program Files\\Bonjour\\mDNSResponder.exe"= "d:\\Program Files\\iTunes\\iTunes.exe"= "d:\\Program Files\\2K Games\\BioShock 2\\SP\\Builds\\Binaries\\Bioshock2.exe"= "d:\\Program Files\\2K Games\\BioShock 2\\MP\\Builds\\Binaries\\Bioshock2.exe"= "d:\\Program Files\\Vuze\\Azureus.exe"= "d:\\Program Files\\Skype\\Phone\\Skype.exe"= "d:\\Program Files\\Fichiers communs\\Java\\Java Update\\jucheck.exe"= . R1 AsUpIO;AsUpIO;d:\windows\system32\drivers\AsUpIO.sys [28/07/2011 10:20 11448] R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;d:\windows\system32\drivers\dtsoftbus01.sys [30/07/2011 16:25 218688] R3 AODDriver;AODDriver;d:\program files\ASUS\GPU Boost Driver\i386\aoddriver.sys [28/07/2011 10:17 36864] R3 usbfilter;AMD USB Filter Driver;d:\windows\system32\drivers\usbfilter.sys [28/10/2011 17:11 30392] R3 WUSB54GCv3;Compact Wireless-G USB Network Adapter;d:\windows\system32\drivers\WUSB54GCv3.sys [28/07/2011 17:44 627072] S2 AsSysCtrlService;ASUS System Control Service;d:\program files\ASUS\AsSysCtrlService\1.00.05\AsSysCtrlService.exe --> d:\program files\ASUS\AsSysCtrlService\1.00.05\AsSysCtrlService.exe [?] S3 Ambfilt;Ambfilt;d:\windows\system32\drivers\Ambfilt.sys [28/07/2011 10:15 1691480] S3 maconfservice;Ma-Config Service;d:\program files\ma-config.com\maconfservice.exe [08/08/2011 08:48 311928] S3 SwitchBoard;SwitchBoard;d:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 12:37 517096] S3 TrueSight;TrueSight;d:\windows\system32\drivers\TrueSight.sys [17/11/2011 18:06 111872] . --- Autres Services/Pilotes en mémoire --- . *NewlyCreated* - AODDRIVER . Contenu du dossier 'Tâches planifiées' . 2011-11-10 d:\windows\Tasks\AppleSoftwareUpdate.job - d:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57] . . ------- Examen supplémentaire ------- . uInternet Settings,ProxyOverride = *.local TCP: DhcpNameServer = 109.88.203.3 212.68.193.196 FF - ProfilePath - d:\documents and settings\clement\Application Data\Mozilla\Firefox\Profiles\unbbostp.default\ . - - - - ORPHELINS SUPPRIMES - - - - . HKCU-Run-AdobeBridge - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-11-19 16:13 Windows 5.1.2600 Service Pack 2 NTFS . Recherche de processus cachés ... . Recherche d'éléments en démarrage automatique cachés ... . Recherche de fichiers cachés ... . Scan terminé avec succès Fichiers cachés: 0 . ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- . - - - - - - - > 'winlogon.exe'(912) d:\windows\system32\Ati2evxx.dll d:\windows\system32\atiadlxx.dll . - - - - - - - > 'explorer.exe'(3620) d:\windows\system32\msi.dll . ------------------------ Autres processus actifs ------------------------ . d:\program files\Bonjour\mDNSResponder.exe d:\program files\Fichiers communs\Pure Networks Shared\Platform\nmsrvc.exe d:\windows\system32\wscntfy.exe d:\windows\RTHDCPL.EXE d:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe d:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe . ************************************************************************** . Heure de fin: 2011-11-19 16:15:53 - La machine a redémarré ComboFix-quarantined-files.txt 2011-11-19 15:15 . Avant-CF: 719 732 355 072 octets libres Après-CF: 728 501 972 992 octets libres . - - End Of File - - 6058845F968D0D82EADEA4AAC0639F7B

ok alors je vais faire ça, je vous poste le rapport quand c'est fait !

J'ai déjà essayé mais lorsque je fais terminer le processus j'ai une nouvelle fenêtre qui s'ouvre : "Impossible d'arrêter le processus L'opération n'a pas pu être terminé. Accès refusé." Comment faire ? Les "interférences" entre Combofix et Avira peuvent elles être vraiment graves ? Dois je désinstaller avira le temps de faire le scan de Combo ?

Bonjour, bon me voilà rassuré. Pour le sp2 c'est effectivement le windows de mon colocataire. J'avais abimé mon processeur en faisant du nettoyage, du coup obligé d'acheter une nouvelle carte mère, donc nouveau windows, et comme mon pc était un packard bell acheté monté, et que je n'étais pas très rigoureux il y a quelques années et n'avais pas gravé de cd windows, j'ai du en installé un nouveau pour récupérer mes données. Je sais que je devrais avoir la mienne mais je trouve scandaleux que les pc montés soient livrés sans cd windows, on dirait qu'ils le font exprès... bref... J'ai lancé combofix après avoir : coupé mon pare feu coupé daemon tools coupé avira comme vous l'expliquiez. Branché tous mes disques externes. Combofix a installer la console de réparation mais je l'ai coupé juste après parce qu'avira faisait une alerte du genre : une application louche tente de faire des choses louches : D: combofix/CF.3X3 Donc grosse frayeur puisque l'arrêt de l'antivirus semble très important dans la manoeuvre et que je me rends compte qu'il tourne encore. Et effectivement si le parapluie n'est plus en bas a droite, des processus avguard, avmail etc... sont eux bel et bien en route. J'ouvre avira et vois que tout à l'air de marcher (pourtant il est coupé dans msconfig) je desactive avguard mais ça recommence. Impossible d'arrêter les processus directement, il me dit que l'accès est refusé. Donc je ne sais pas comment faire pour désactiver Avira avant de lancer Combofix... vous auriez une idée ?

Ah vous voilà, super ! Je suis sur sp2 donc ça devrait aller Bon je vais lancer ce sacré combofix... d'après ce que j'ai lu dessus, ça fait un peu peur... Je risque pas de tout perdre ? Et aussi pour la version vous ne m'avez pas dit. j'ai télécharger le combofix de bleeping ça ira ? et merci encore de m'aider Pear !!

Bonjour Pear, j'espère que vous allez bien et que vous avez passé une bonne journée ! J'ai du aller bosser tôt ce matin donc pas possible de faire le combofix ce matin. Je vais donc faire ça maintenant. Par contre dans votre précédents message vous me dites d'utiliser la deuxième version proposée mais lorsque je clique sur le lien de combofix il ne me propose que le téléchargement de l'exe pas de choix de version... Que dois-je faire ? j'ai aussi lu sur bleepingcomputer.com que Combofix va installé automatiquement la console de récupération si celle ci n'est pas encore installée. Est ce vrai ? Parce que sinon dans vos précédentes explications je n'ai pas compris comment l'installer...

voici le deuxième rapport roguekiller RogueKiller V6.1.9 [16/11/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/37) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: clement [Droits d'admin] Mode: Suppression -- Date : 17/11/2011 18:39:56 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt je dois partir je ferais le combofix cette nuit ou demain matin, ça va pour vous ?

par contre c'est bizarre je viens d'avoir une alerte windows : pour prévenir des dommages, windows a coupé l'application : explorateur windows...

voilà le rapport après avoir fait l'option 2 RogueKiller V6.1.9 [16/11/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/37) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: clement [Droits d'admin] Mode: Suppression -- Date : 17/11/2011 18:21:25 ¤¤¤ Processus malicieux: 2 ¤¤¤ [sUSP PATH] TBPanelExt.dll -- D:\WINDOWS\TBPanelExt.dll -> UNLOADED [sUSP PATH] DAODx.exe -- D:\WINDOWS\DAODx.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 3 ¤¤¤ [sUSP PATH] HKLM\[...]\Run : RunDAOD (D:\WINDOWS\DAODx.exe) -> DELETED [sUSP PATH] HKLM\[...]\Run : Gainward (D:\WINDOWS\TBPanel.exe /A) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

et voilà le rapport de Roguekiller RogueKiller V6.1.9 [16/11/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/37) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: clement [Droits d'admin] Mode: Recherche -- Date : 17/11/2011 18:08:33 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [sUSP PATH] HKLM\[...]\Run : RunDAOD (D:\WINDOWS\DAODx.exe) -> FOUND [sUSP PATH] HKLM\[...]\Run : Gainward (D:\WINDOWS\TBPanel.exe /A) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt