Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

je suis perdue par un virus!!!!!

éphémère04

Par éphémère04
dans Analyses et éradication malwares

 Partager

Messages recommandés

éphémère04 Junior Member

éphémère04

Posté(e)
Posté(e)

Bonjour,

voilà, j'ai un pb avec mon pc. internet ne fonctionne plus et plusieurs messages me sont envoyer faisant référence à clean32.com

je n'ai plus rien. j'ai réinstallé windows et tout mais internet ne fonctionne tjs pas et le même message continue. ma carte est assus p4p804.

dois-je faire un flash de mon bios? ou que me conseillez-vous? et si oui, où puis-je le trouver?

j'ai internet seulement au boulot, ce qui fait que si j'ai des choses à télécharger, c'est via ma clé usb.

cela risque de prendre du temps sachant que je dois être au boulot pour lire vos réponses.

merci d'avance de m'aider. et étant donné que je suis nulle en info, pouvez expliquer très clairement ce qu'il se passe.... je suis complètement dépassée par les évènements...

maurice22 Junior Member

maurice22

Posté(e)
Posté(e)

Cliquer sur Démarrer

>>> Selectionner "executer"

>>> Dans la fenetre taper "services.msc" (sans les "")

>>> Dans la nouvelle fenêtre, recherche le service "Affichage des messages" et faire un clique droit -> proprieté dessus

>>> Clique aussi sur le bouton "arreter" (qui arretera le service)

>>> Dans type de démarrage, selectionner "désactiver" (qui empechera le service de se relancé au prochain démarrage

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut @ vous deux :P

 

Etant donné que ton pc est probablement infecté, il me faudrait les rapports suivants pour en voir plus >

 

 

1) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

 

2) 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

  1. Enregistre HJTInstall.exe sur ton bureau hjt.gif
  2. Double-clique sur HJTInstall.exe pour lancer le programme
  3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
  4. Accepte la license en cliquant sur le bouton "I Accept"
  5. Choisis l'option "Do a system scan and save a log file"
  6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
  7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
  8. Colle le rapport que tu viens de copier sur ce forum
  9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriel > > http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

télécharge ces deux programmes sur ta clé usb et utilise les sur ton pc comme indiqué.

Poste les rapports dès que tu peux :P

éphémère04 Junior Member

éphémère04

Posté(e)
  • Auteur
Posté(e)

voilà, je transmets les deux rapports, le premier Diaghelp et le deuxième Hijack this

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 15/11/2007 à 19:55:28,23

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->15/11/2007 19:54:50

C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->15/11/2007 19:53:37

C:\WINDOWS\prefetch\RASAUTOU.EXE-18B88A68.pf -->15/11/2007 19:53:30

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->15/11/2007 19:53:13

C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->15/11/2007 19:53:11

C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->15/11/2007 19:53:05

C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->14/11/2007 13:02:21

C:\WINDOWS\prefetch\IMAPI.EXE-0BF740A4.pf -->13/11/2007 21:18:16

C:\WINDOWS\prefetch\MSIEXEC.EXE-2F8A8CAE.pf -->13/11/2007 21:17:21

C:\WINDOWS\prefetch\WMPLAYER.EXE-18DDEF9C.pf -->13/11/2007 20:22:55

 

C:\WINDOWS\System32\drivers\P0620Vid.sys -->25/04/2005 02:57:36

C:\WINDOWS\System32\drivers\EL2K_XP.sys -->31/07/2003 10:53:28

C:\WINDOWS\System32\drivers\smwdm.sys -->02/06/2003 13:42:14

C:\WINDOWS\System32\drivers\aeaudio.sys -->13/03/2003 11:34:48

C:\WINDOWS\System32\drivers\smsens.sys -->13/03/2003 08:40:32

C:\WINDOWS\System32\drivers\MidiSyn.sys -->20/09/2002 03:53:34

C:\WINDOWS\System32\drivers\ws2ifsl.sys -->28/09/2001 13:00:00

 

C:\WINDOWS\System32\xffpiyur.dllbox -->15/11/2007 19:55:26

C:\WINDOWS\System32\hjjlm.ini -->15/11/2007 19:55:22

C:\WINDOWS\System32\soxximnu.ini -->15/11/2007 19:55:05

C:\WINDOWS\System32\hjjlm.ini2 -->15/11/2007 19:54:49

C:\WINDOWS\System32\unmixxos.dll -->15/11/2007 19:54:45

C:\WINDOWS\System32\wvuttqr.dll -->15/11/2007 19:53:13

C:\WINDOWS\System32\unyhqntx.ini -->15/11/2007 19:52:05

C:\WINDOWS\System32\lpmmqpuq.dll -->15/11/2007 19:52:01

C:\WINDOWS\System32\wpa.dbl -->15/11/2007 12:54:06

C:\WINDOWS\System32\yteuoosi.exe -->14/11/2007 12:46:49

C:\WINDOWS\System32\rqrrpnl.dll -->14/11/2007 12:45:11

C:\WINDOWS\System32\FNTCACHE.DAT -->14/11/2007 12:44:35

C:\WINDOWS\System32\xtnqhynu.dll -->13/11/2007 19:59:18

C:\WINDOWS\System32\mxtxxylr.dll -->13/11/2007 19:58:21

C:\WINDOWS\System32\dipgahmw.exe -->13/11/2007 19:57:31

C:\WINDOWS\System32\iqjavfae.ini -->13/11/2007 19:57:08

C:\WINDOWS\System32\ljjkljk.dll -->13/11/2007 19:56:35

C:\WINDOWS\System32\xffpiyur.dll -->12/11/2007 09:04:22

C:\WINDOWS\System32\qstndywi.dll -->12/11/2007 09:04:22

C:\WINDOWS\System32\xwfkqvk.exe -->12/11/2007 09:03:13

C:\WINDOWS\System32\tilcuoik.dll -->12/11/2007 09:01:38

C:\WINDOWS\System32\byxvvst.dll -->12/11/2007 09:01:13

C:\WINDOWS\System32\PerfStringBackup.INI -->10/11/2007 16:43:26

C:\WINDOWS\System32\perfh00C.dat -->10/11/2007 16:43:26

C:\WINDOWS\System32\perfh009.dat -->10/11/2007 16:43:26

 

C:\WINDOWS\setupapi.log -->15/11/2007 19:53:10

C:\WINDOWS\wiaservc.log -->15/11/2007 19:51:55

C:\WINDOWS\wiadebug.log -->15/11/2007 19:51:55

C:\WINDOWS.log -->15/11/2007 19:51:46

C:\WINDOWS\bootstat.dat -->15/11/2007 19:51:32

C:\WINDOWS\SchedLgU.Txt -->15/11/2007 13:02:45

C:\WINDOWS\ODBC.INI -->13/11/2007 20:08:39

C:\WINDOWS\win.ini -->13/11/2007 20:06:37

C:\WINDOWS\Windows Update.log -->10/11/2007 15:54:55

C:\WINDOWS\setupact.log -->10/11/2007 15:48:13

C:\WINDOWS\Ascd_tmp.ini -->10/11/2007 11:58:36

C:\WINDOWS\chipset.log -->10/11/2007 11:56:26

C:\WINDOWS\OEWABLog.txt -->09/11/2007 23:17:01

C:\WINDOWS\setuplog.txt -->09/11/2007 23:16:47

C:\WINDOWS\REGLOCS.OLD -->09/11/2007 23:15:17

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1932

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x01000000 0xf8000 6.00.2600.0000 C:\WINDOWS\Explorer.EXE

0x77be0000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll

0x77290000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll

0x77390000 0x802000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll

0x770e0000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll

0x75f10000 0xfc000 6.00.2600.0000 C:\WINDOWS\System32\BROWSEUI.dll

0x76960000 0x149000 6.00.2600.0000 C:\WINDOWS\System32\SHDOCVW.dll

0x5b090000 0x34000 6.00.2600.0000 C:\WINDOWS\System32\UxTheme.dll

0x71950000 0xe4000 6.00.2600.0000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

0x77300000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x78000 2001.12.4414.0042 C:\WINDOWS\System32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\System32\COMRes.dll

0x5b950000 0x71000 6.00.2600.0000 C:\WINDOWS\System32\themeui.dll

0x10000000 0x6d000 C:\WINDOWS\system32\xffpiyur.dll

0x76080000 0x78000 6.00.2600.0000 C:\WINDOWS\system32\urlmon.dll

0x76190000 0x98000 6.00.2600.0000 C:\WINDOWS\system32\WININET.dll

0x76250000 0x8c000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll

0x01180000 0xa4000 C:\WINDOWS\System32\mljjh.dll

0x76720000 0x8000 6.00.2600.0000 C:\WINDOWS\System32\SHFOLDER.dll

0x71ca0000 0x1b000 6.00.2600.0000 C:\WINDOWS\System32\actxprxy.dll

0x76ac0000 0x15000 3.00.9238.0000 C:\WINDOWS\System32\ATL.DLL

0x76390000 0x1fb000 2.00.2600.0000 C:\WINDOWS\System32\msi.dll

0x01e40000 0x15000 C:\WINDOWS\System32\awtuuuu.dll

0x74aa0000 0x43000 6.00.2600.0000 C:\WINDOWS\System32\webcheck.dll

0x74a60000 0x9000 6.00.2600.0000 C:\WINDOWS\System32\BatMeter.dll

0x74a40000 0x7000 6.00.2600.0000 C:\WINDOWS\System32\POWRPROF.dll

0x01cd0000 0x2d000 C:\WINDOWS\System32\xtnqhynu.dll

0x746e0000 0x8f000 6.00.2600.0000 C:\WINDOWS\System32\mlang.dll

0x723a0000 0x13000 6.00.2600.0000 C:\WINDOWS\System32\browselc.dll

0x030b0000 0x2c000 C:\WINDOWS\System32\lpmmqpuq.dll

0x1f7b0000 0x31000 3.520.7713.0000 C:\WINDOWS\System32\ODBC32.dll

0x76340000 0x46000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll

0x1f850000 0x18000 3.520.7713.0000 C:\WINDOWS\System32\odbcint.dll

0x74780000 0x2ad000 6.00.2600.0000 C:\WINDOWS\System32\mshtml.dll

0x732d0000 0x51000 6.00.2600.0000 C:\WINDOWS\System32\zipfldr.dll

0x72380000 0x19000 6.00.2600.0000 C:\WINDOWS\System32\mydocs.dll

0x03e70000 0x2d000 C:\WINDOWS\System32\unmixxos.dll

0x73cc0000 0x12000 6.00.2600.0000 C:\WINDOWS\System32\shgina.dll

0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\System32\WINTRUST.dll

0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll

0x70ee0000 0x7000 1.01.0000.3917 C:\WINDOWS\System32\asfsipc.dll

0x60990000 0xd000 2.00.2600.0000 C:\WINDOWS\System32\MSISIP.DLL

0x74e10000 0x10000 5.06.0000.6626 C:\WINDOWS\System32\wshext.dll

0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\System32\wshFR.DLL

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 656

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x6f000 \??\C:\WINDOWS\system32\winlogon.exe

0x77be0000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll

0x76250000 0x8c000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll

0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\system32\WINTRUST.dll

0x77390000 0x802000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll

0x77290000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll

0x77300000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\COMCTL32.dll

0x1f7b0000 0x31000 3.520.7713.0000 C:\WINDOWS\system32\ODBC32.dll

0x76340000 0x46000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll

0x00930000 0xe4000 6.00.2600.0000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

0x1f850000 0x18000 3.520.7713.0000 C:\WINDOWS\system32\odbcint.dll

0x76b70000 0x1f000 6.00.2600.0000 C:\WINDOWS\system32\SHSVCS.dll

0x5b090000 0x34000 6.00.2600.0000 C:\WINDOWS\system32\uxtheme.dll

0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll

0x10000000 0x6d000 C:\WINDOWS\system32\xffpiyur.dll

0x770e0000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll

0x76080000 0x78000 6.00.2600.0000 C:\WINDOWS\system32\urlmon.dll

0x76190000 0x98000 6.00.2600.0000 C:\WINDOWS\system32\WININET.dll

0x013c0000 0x15000 C:\WINDOWS\system32\awtuuuu.dll

0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x78000 2001.12.4414.0042 C:\WINDOWS\system32\CLBCATQ.DLL

0x00c90000 0x15000 C:\WINDOWS\System32\wvuttqr.dll

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F41E-9010

 

Répertoire de C:\WINDOWS\system32

 

28/09/2001 13:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 78 963 433 472 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F41E-9010

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

09/11/2007 23:11 <REP> .

09/11/2007 23:11 <REP> ..

09/11/2007 23:11 65 desktop.ini

1 fichier(s) 65 octets

 

Total des fichiers listés :

1 fichier(s) 65 octets

2 Rép(s) 78 963 433 472 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"|"="|:*:Enabled:Program Access Service"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-15 19:57:12

Windows 5.1.2600 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

ENUMERATION OF PROCESS LIST TERMINATED ABNORMALLY.

RESULTS MAY BE INACCURATE!

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D0000 - \WINDOWS\system32\ntoskrnl.exe

806B9000 - \WINDOWS\system32\hal.dll

F7D6D000 - \WINDOWS\system32\KDCOM.DLL

F7C7D000 - \WINDOWS\system32\BOOTVID.dll

F7820000 - ACPI.sys

F7D6F000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

F786D000 - pci.sys

F787D000 - isapnp.sys

F7E35000 - pciide.sys

F7AED000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F788D000 - MountMgr.sys

F7801000 - ftdisk.sys

F7D71000 - dmload.sys

F77DD000 - dmio.sys

F7AF5000 - PartMgr.sys

F789D000 - VolSnap.sys

F77C7000 - atapi.sys

F78AD000 - disk.sys

F78BD000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F77B5000 - sr.sys

F77A1000 - KSecDD.sys

F771E000 - Ntfs.sys

F76F6000 - NDIS.sys

F76DC000 - Mup.sys

F7AFD000 - agp440.sys

F793D000 - \SystemRoot\System32\DRIVERS\processr.sys

F7B35000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

F7675000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F7651000 - \SystemRoot\System32\DRIVERS\EL2K_XP.sys

F794D000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F7B3D000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F795D000 - \SystemRoot\System32\DRIVERS\serial.sys

F7D19000 - \SystemRoot\System32\DRIVERS\serenum.sys

F7B45000 - \SystemRoot\System32\DRIVERS\fdc.sys

F763E000 - \SystemRoot\System32\DRIVERS\parport.sys

F796D000 - \SystemRoot\System32\Drivers\Imapi.SYS

F797D000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F798D000 - \SystemRoot\System32\DRIVERS\redbook.sys

F761D000 - \SystemRoot\System32\DRIVERS\ks.sys

F758F000 - \SystemRoot\system32\drivers\smwdm.sys

F756E000 - \SystemRoot\system32\drivers\portcls.sys

F799D000 - \SystemRoot\system32\drivers\drmk.sys

F7556000 - \SystemRoot\system32\drivers\aeaudio.sys

F7EB4000 - \SystemRoot\System32\DRIVERS\audstub.sys

F79AD000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F7D21000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F7524000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F79BD000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F79CD000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F7D29000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F7513000 - \SystemRoot\System32\DRIVERS\psched.sys

F79ED000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F7B4D000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F7B55000 - \SystemRoot\System32\DRIVERS\raspti.sys

F74E6000 - \SystemRoot\System32\DRIVERS\rdpdr.sys

F79FD000 - \SystemRoot\System32\DRIVERS\termdd.sys

F7B5D000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F7EED000 - \SystemRoot\System32\DRIVERS\swenum.sys

F749C000 - \SystemRoot\System32\DRIVERS\update.sys

F7A0D000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7A1D000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F7D85000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F7B6D000 - \SystemRoot\System32\DRIVERS\usbccgp.sys

F7D65000 - \SystemRoot\System32\DRIVERS\hidusb.sys

F7A2D000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS

F7B75000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

F6F5C000 - \SystemRoot\System32\DRIVERS\P0620Vid.sys

F7A3D000 - \SystemRoot\System32\DRIVERS\STREAM.SYS

F76B4000 - \SystemRoot\System32\DRIVERS\kbdhid.sys

F7B7D000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

F7D91000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7F33000 - \SystemRoot\System32\Drivers\Null.SYS

F7D93000 - \SystemRoot\System32\Drivers\Beep.SYS

F7B8D000 - \SystemRoot\System32\drivers\vga.sys

F7A8D000 - \SystemRoot\System32\drivers\VIDEOPRT.SYS

F7D95000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7D97000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F7B95000 - \SystemRoot\System32\Drivers\Msfs.SYS

F7B9D000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7D05000 - \SystemRoot\System32\DRIVERS\rasacd.sys

F7A9D000 - \SystemRoot\System32\DRIVERS\ipsec.sys

F6EEC000 - \SystemRoot\System32\DRIVERS\tcpip.sys

F6E9F000 - \SystemRoot\System32\DRIVERS\netbt.sys

F7AAD000 - \SystemRoot\System32\DRIVERS\wanarp.sys

F7ABD000 - \SystemRoot\System32\DRIVERS\netbios.sys

F6E77000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F6E13000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F7ACD000 - \SystemRoot\System32\Drivers\Fips.SYS

F7ADD000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F6D5D000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7D99000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \??\C:\WINDOWS\system32\win32k.sys

F6F97000 - \??\C:\WINDOWS\system32\watchdog.sys

BFF80000 - \SystemRoot\System32\drivers\dxg.sys

F7F68000 - \SystemRoot\System32\drivers\dxgthk.sys

BFF70000 - \SystemRoot\System32\framebuf.dll

AAEA0000 - \SystemRoot\System32\drivers\afd.sys

AAF2C000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

AAC95000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F7DC9000 - \SystemRoot\System32\Drivers\ParVdm.SYS

AABCC000 - \SystemRoot\System32\DRIVERS\srv.sys

F6FCB000 - \SystemRoot\system32\drivers\sysaudio.sys

AAAF0000 - \SystemRoot\system32\drivers\wdmaud.sys

F7BAD000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS

A9DAB000 - \SystemRoot\System32\Drivers\Fastfat.SYS

A9744000 - \SystemRoot\system32\drivers\kmixer.sys

F7E53000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 107

 

Liste des programmes installes

 

Creative WebCam Instant Driver (1.03.02.0425)

Microsoft Office 2000 Professional

SoundMAX

WebFldrs XP

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F41E-9010

 

Répertoire de C:\Program Files

 

13/11/2007 20:03 <REP> .

13/11/2007 20:03 <REP> ..

09/11/2007 23:23 <REP> Adobe

10/11/2007 11:59 <REP> Analog Devices

09/11/2007 23:10 <REP> ComPlus Applications

13/11/2007 21:17 <REP> Fichiers communs

09/11/2007 23:23 <REP> Free

10/11/2007 11:56 <REP> Intel

09/11/2007 23:11 <REP> Internet Explorer

09/11/2007 23:17 <REP> Messenger

13/11/2007 20:02 <REP> microsoft frontpage

13/11/2007 20:03 <REP> Microsoft Office

09/11/2007 23:11 <REP> Movie Maker

09/11/2007 23:09 <REP> MSN

09/11/2007 23:09 <REP> MSN Gaming Zone

09/11/2007 23:10 <REP> NetMeeting

09/11/2007 23:10 <REP> Outlook Express

09/11/2007 23:09 <REP> Services en ligne

09/11/2007 23:17 <REP> Windows Media Player

09/11/2007 23:09 <REP> Windows NT

09/11/2007 23:12 <REP> xerox

0 fichier(s) 0 octets

21 Rép(s) 78 963 519 488 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F41E-9010

 

Répertoire de C:\Program Files\fichiers communs

 

13/11/2007 21:17 <REP> .

13/11/2007 21:17 <REP> ..

13/11/2007 20:04 <REP> Designer

10/11/2007 11:55 <REP> InstallShield

13/11/2007 20:04 <REP> Microsoft Shared

09/11/2007 23:10 <REP> MSSoap

09/11/2007 23:03 <REP> ODBC

09/11/2007 23:10 <REP> Services

09/11/2007 23:03 <REP> SpeechEngines

13/11/2007 20:04 <REP> System

0 fichier(s) 0 octets

10 Rép(s) 78 963 519 488 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F41E-9010

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

09/11/2007 23:17 <REP> .

09/11/2007 23:17 <REP> ..

18/05/2001 17:57 561 209 MSONSEXT.DLL

03/06/1999 14:09 122 937 MSOWS409.DLL

07/03/2001 09:00 127 033 MSOWS40c.DLL

18/03/1999 05:37 593 977 RAGENT.DLL

4 fichier(s) 1 405 156 octets

2 Rép(s) 78 963 519 488 octets libres

 

 

 

 

c:\Documents and Settings\Bruno\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\sigcheck.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Bruno\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\pft47~tmp\Setup.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\catchme.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\diff.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\dumphive.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\find2.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\Fport.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\grep.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\gzip.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\LFiles.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\md5sums.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\pslist.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\sigcheck.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\streams.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\swreg.exe

c:\Documents and Settings\Bruno\Local Settings\Temp\Répertoire temporaire 1 pour DiagHelp.zip\DiagHelp\tar.exe

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_PCBRUNO.tar.gz a l'adresse http://upload.malekal.com

 

 

et:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:00:51, on 15/11/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\inetsrv\sys.exe

C:\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\ping.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://accountservices.passport.net/reg.sr...c=1036&id=2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [system Startup] C:\WINDOWS\System32\inetsrv\sys.exe

O4 - HKLM\..\RunServices: [system Startup] C:\WINDOWS\System32\inetsrv\sys.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-1708537768-492894223-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

 

--

End of file - 2205 bytes

 

 

j'attends vos réponses, et merci....

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

Tu as bien fait de venir éphémère04... le pc est bien infecté!! et tu sais pourquoi ? Regarde du côté des programmes installés sur ce pc >

 

- un Windows complêtement vierge de toute mise à jour (ni Sp1 - ni SP2!!)

Est ce qu'il s'agit d'une copie ? (tu peux répondre sans crainte lol!).

Attention : on ne fait aucune mise à jour pour le moment car le risque de plantage est élevé. On voit ca à la fin de la désinfection.

 

- Aucun progamme de sécurité installé sur le pc!! il est à la merci de toutes les attaques!! Un pc sans aucune protection comme le tiens est infecté en moyenne en 4 mns chrono...

 

Le fait que tu n'ait pas accès à internet est une bonne chose pour le moment: ca empêche la situation d'empirer!!

Si le pc est raccordé au net, débranche le pour le moment.

 

Voilà donc ce qu'on va faire : Tu vas télécharger des outils comme précédemment sur ta clé usb > on va nettoyer ce pc > une fois ceci fait, on mettra en place des protections (le pare- feu et l'antivirus) > à ce stade seulement (c'est important), tu pourras reconnecter le pc et faire les mises à jour nécéssaires.

 

1) On va utiliser un programme pour nettoyer ton pc >

 

Télécharge combofix.exe de sUBs

  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur combofix.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche 1 pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.

2) Une fois ceci fait, repasse à nouveau DiagHelp comme tu as fait.

 

Poste les rapports de ComboFix et DiagHelp.

 

Note: la désinfection va peut être durer un peu plus que d'habitude (à cause des différentes manips entre ton pc et celui du boulot) car tu n'as pas d'accès à internet, mais je le répète, c'est préférable étant donné que le pc est bien infecté.

 

allez, courage :P

Modifié par charles ingals
éphémère04 Junior Member

éphémère04

Posté(e)
  • Auteur
Posté(e)

excuse moi, mais je crois que comfix n'existe plus.... j'ai trouvé ça sur un forum:

"attention ceci est tres important

 

a tous ceux qui aide ne faite plus utiliser le prog combofix

un rooktit a modifie sa detection et met quasi tous vos prog comme nefaste et ensuite hs

 

cette info vient du concepteur de combofix

recuperer sur forum avec section priver donc je ne peut pas vous mettre de lien

a++ "

 

y a-t-il autre chose à faire? un autre logiciel équivalent à utiliser?

merci en tout cas de ta réponse......

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Peux tu me donner le lien vers la discussion à laquelle tu fais référence stp ? Les infos sont inexactes!

ComboFix n'est effectivement plus téléchargeable pour le moment, mais ca n'a rien à voir avec les raisons évoquées!

 

On va utiliser d'autres outils >

 

1) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

3) Relance DiagHelp après avoir fais les deux scans demandés plus haut, et poste le rapport stp.

Poste le rapport de SDFix, le rapport de VundoFix, et un nouveau rapport hijackthis.

 

Ca fait du boulot mais c'est nécéssaire :P Courage!!

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...