lamangouste

# DelFix v8.9 - Rapport créé le 31/08/2012 à 12:12:43 # Mis à jour le 27/07/12 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : Administrateur - SERVEURETUDE (Administrateur) # Exécuté depuis : C:\Documents and Settings\Administrateur\Mes documents\delfix.exe # Option [suppression] ~~~~~~ Dossiers(s) ~~~~~~ Non Supprimé : C:\ZHP Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis Supprimé : C:\Documents and Settings\Administrateur\Bureau\RK_Quarantine Non Supprimé : C:\Program Files\ZHPDiag Supprimé : C:\Program Files\Trend Micro\Hijackthis ~~~~~~ Fichier(s) ~~~~~~ Supprimé : C:\AdwCleaner[R1].txt Supprimé : C:\AdwCleaner[R2].txt Supprimé : C:\AdwCleaner[R3].txt Supprimé : C:\AdwCleaner[s1].txt Supprimé : C:\AdwCleaner[s2].txt Supprimé : C:\ComboFix.txt Supprimé : C:\PhysicalDisk0_MBR.bin Supprimé : C:\TDSSKiller.2.8.8.0_29.08.2012_15.17.31_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_29.08.2012_15.19.50_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_29.08.2012_15.27.49_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_29.08.2012_15.55.06_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_30.08.2012_09.14.51_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_30.08.2012_13.08.35_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_30.08.2012_19.28.03_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_30.08.2012_19.32.46_log.txt Supprimé : C:\TDSSKiller.2.8.8.0_30.08.2012_19.34.52_log.txt Supprimé : C:\Documents and Settings\Administrateur\Bureau\aswMBR.exe Supprimé : C:\Documents and Settings\Administrateur\Bureau\aswMBR.txt Supprimé : C:\Documents and Settings\Administrateur\Bureau\MBR.dat Supprimé : C:\Documents and Settings\Administrateur\Bureau\tdsskiller.exe Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPDiag.txt Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPDiag2 Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPFixReport.txt Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk ~~~~~~ Registre ~~~~~~ Clé Supprimée : HKLM\SOFTWARE\AdwCleaner Clé Supprimée : HKLM\SOFTWARE\Swearware Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMBR Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\aswMBR ~~~~~~ Autres ~~~~~~ Désinstallé : ESET Online Scanner Désinstallé : BitDefender Online Scanner -> Prefetch Vidé ************************* DelFix[s1].txt - [2967 octets] - [31/08/2012 12:12:43] ########## EOF - C:\DelFix[s1].txt - [3091 octets] ##########

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012 Fichier d'export Registre : Run by Administrateur at 31/08/2012 12:07:37 Windows XP Professional Service Pack 3 (Build 2600) Web site : ZHPFix Fix de rapport Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com ========== Valeur(s) du Registre ========== SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe Aucune valeur présente dans la clé d'exception du registre (FirewallRaz) ========== Dossier(s) ========== SUPPRIME Temporaires Windows: SUPPRIME Flash Cookies: ========== Fichier(s) ========== SUPPRIME File: c:\documents and settings\administrateur\local settings\temp\bdremovaltool\scan.dll SUPPRIME Temporaires Windows: SUPPRIME Flash Cookies: ========== Restauration Système ========== Point de restauration du système créé avec succès ========== Récapitulatif ========== 3 : Valeur(s) du Registre 2 : Dossier(s) 3 : Fichier(s) 1 : Restauration Système End of clean in 00mn 05s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 31/08/2012 13:47:20 [604] C:\ZHP\ZHPFix[R2].txt - 31/08/2012 12:07:37 [1192]

Je'navais pas vu la fin, je te poste un zhpdiag ! Rapport zhpdiag.

Lien CJoint.com 0HFlh0bcJtz Lien CJoint.com 0HFloSebR1K ça c'est le rapport combofix de ce matin !

c'est parti pour le scan! entre temps j'ai lancé BDR REMOVAL TOOL (qui ne detecte rien au niveau zeroaccess win32), puis j'ai relancé combofix en mode sans echec avec prise en charge reseau! une fois combofix fini, j'ai coupé et rallumé le pc, pas de virus detecte par avast, sauf il y a 5 minutes qui me dit le trouver dans Qoobox! Donc là je pense qu'il n y a plus qu'un nettoyage à faire! Mais j'attends tes consignes et t'envoie le scan dès ce dernier fini! en tout cas, merci pour ta disponibilité!

on dirait bien que je suis infecte par sirefef zeroaccess 32 et 64, ce qui me parait curieux pour le 64 étant sur windows xp service pack 3!

Lien CJoint.com 0HFjqiTB0JM c'est le rapport MBAM, désolé pour hier soir, j'étais obligé de partir! j'ai lancé ESET qui m'a trouvé un virus SIREFEF! Je colle le rapport, c'est tout ce qu'il y a : Operating memory a variant of Win32/Sirefef.EV trojan je coche uninstall, mais hier j'ai fait la même opération qui a échoué manifestement.

non je trouve pas de log dans le dossier avast software, et j'ai tout eplucher!

Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Version de la base de données: v2012.08.29.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrateur :: SERVEURETUDE [administrateur] 30/08/2012 19:52:54 mbam-log-2012-08-30 (19-52-54).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 202839 Temps écoulé: 3 minute(s), 46 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin)

voila le rapport http://cjoint.com/?0HEtQPAunjc

voila le rapport combofix, à savoir qu'avast bloque encore sirefef! Lien CJoint.com 0HEtoPiZlFF

je viens de recommencer et la miracle apres avoir retelecharger combofix ça marche, j'envoie le rapport à la fin!

non rien ne se passe, en reessayant encore et encore ça vient de me le desinstaller! et la je suis oblige de partir, je pourrais reprendre demain matin!

le fait d'avoir 3 ordi en reseau ne joue t il pas pour l'antivirus, à savoir que c'est le serveur qui est infecté, faut il que je coupe le poste restant ouvert? non malheureusement je n'ai pas pris le rapport! On est d'accord qu'en mode sans echec avec prise en charge reseau, avast ne fonctionne pas! non avast n'arrive qu a bloque sirefef et le mettre en quarantaine!

si, mais la limitation de garantie n'apparait pas, je viens de reessayer et la l'ordi m a demande si je voulais rester en mode sans echec et plus rien de nouveau et deux sonneries a la fin, mais rien j'ai enfin pu lire les 2 messages, qui me disent qu'il ya toujours un scanner, j'ai fait ok ok, mais pas de limitation de garantie

ce qui est étrange, c'est que je viens de recommencer en mode SANS ECHEC et ça recommence liste en vert qui defile, extract avec une barre rouge et une barre bleu , un bip et plus rien!

alors je n'ai pas été patient, une fois termine les analyses en vert dans combofix, j'ai redemarrer pour revenir en mode normal (alors que faire?) Malgré tout, j'ai un fichier c:\Combofix avec pleins de programmes inconnus pour mon ordi des txt etc... en attendant j'ai regarde windows update qui ne me parle plus d'erreur! dois je recommencer?

je viens de le faire en mode sans echec avec prise en charge reseau, une liste d ecriture en vert à defiler, et j'ai entendu un double bip et sont apparus deux masques gris qui ont disparu aussi vite! dans le dossier combofix je ne trouve pas de rapport en.txt, il ya pleins de trucs mais pas le rapport???

Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Version de la base de données: v2012.08.29.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrateur :: SERVEURETUDE [administrateur] 29/08/2012 12:53:03 mbam-log-2012-08-29 (12-53-03).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 202817 Temps écoulé: 5 minute(s), 11 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|syshost32 (Backdoor.Agent) -> Données: C:\WINDOWS\Installer\{D16EC83A-538B-52F3-EBCD-76DACB5579E1}\syshost.exe -> Mis en quarantaine et supprimé avec succès. Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 1 C:\WINDOWS\Installer\{D16EC83A-538B-52F3-EBCD-76DACB5579E1}\syshost.exe (Backdoor.Agent) -> Suppression au redémarrage. (fin) Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Version de la base de données: v2012.08.29.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrateur :: SERVEURETUDE [administrateur] 29/08/2012 13:04:03 mbam-log-2012-08-29 (13-04-03).txt Type d'examen: Examen complet (A:\|C:\|D:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 258669 Temps écoulé: 19 minute(s), 51 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 1 C:\RECYCLER\S-1-5-18\$448b9bb192402e08e3290dddcfa6676a\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès. (fin) Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Version de la base de données: v2012.08.29.03 Windows XP Service Pack 3 x86 NTFS (Mode sans échec) Internet Explorer 8.0.6001.18702 Administrateur :: SERVEURETUDE [administrateur] 30/08/2012 13:33:42 mbam-log-2012-08-30 (13-33-42).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 205946 Temps écoulé: 6 minute(s), 47 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin) je ne trouve pas le rapport avast! rapport roguekiller : RogueKiller V8.0.1 [30/08/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/59) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Administrateur [Droits d'admin] Mode : Recherche -- Date : 30/08/2012 09:35:53 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xF7BF52DE) SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7BF52D4) SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xF7BF52E3) SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xF7BF52ED) SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xF7BF52F2) SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7BF52C0) SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7BF52C5) SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xF7BF52FC) SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xF7BF52F7) SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xF7BF52E8) ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts # Copyright © 1993-1999 Microsoft Corp. ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD3200AAKS-00UU3A0 +++++ --- User --- [MBR] 9adaad0b0ac20b29aa4a68993d03f027 [bSP] d0b0fad2e1887ad707702b9eb5a7254a : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 81915435 | Size: 265245 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt le ZHPDIAG est plus haut sur cjoint merci apollo de t'occuper de moi!

Lien CJoint.com 0HEqnQ5rMwQ

Bonjour, Voilà je suis très ennuyé par deux trojan apparuent hier : ATRAPS et SIREFEF! Mon systéme d'exploitation est windows xp service pack 3 j'avais avira free installé qui a detecté et bloqué ces virus. Ausssitot, j'ai essayé d'enlever avec Malware-A-M, qui a réussi a detecté et en enlever un peu, après j'ai recommencé en mode sans échec. les virus apparaissaient toujours sur avira, j'ai poursuivi par tdsskiller qui m'a oté les virus et qui m'a permis de pouvoir refaire fonctionner avira en temps reel. j'ai passé à chaque fois ccleaner (nettoyeur et registre) malgré tout avira continuait à me signaler le probleme. Etant un peu enerve par ça, j'ai desinstaller et installer AVAST free qui aussitot m'a detecté win 32, SIREFEF A et AO mais dans le fichier C:\RECYCLER, ce qui me laisse penser à un probleme sur la corbeille, j'ai donc vidé la corbeille en y mettant un dossier bidon! SUite à cela j'ai passé ESET, qui m'a enleve encore 2 virus. malgré ceci 3 messages en permanence d'avast! J'ai donc fait roguekiller, qui ne detecte rien, MBAM qui ne detecte rien, ADwcleaner rien et Virus tool remover de chez kapersky. Ayant des données sensibles, je suis très très embeté! J'ai un rapport ZHPDIAG à dispo, et je suis entrain de faire une analyse avast qui me trouve 58 infections pour le moment (j'avoue ne plus rien comprendre!) Merci de l'aide future apportée. P.S ; j'ai voulu faire windows update mais j'ai un message d'erreur qui apparait.