Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[resolu]rapport hijack

ubydou

Par ubydou
dans Analyses et éradication malwares

 Partager

Messages recommandés

ubydou Junior Member

ubydou

Posté(e)
  • Auteur
Posté(e)

Bonjour Angélique,

... Une fin de semaine plutot mouvementée... je reprends la machine ce matin.

j'ai fais ce que tu as dit, voici le nouveau rapport

merci encore pour ton aide

 

ComboFix 08-03-01.3 - eddy 2008-03-02 9:22:07.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1456 [GMT 1:00]

Endroit: C:\Documents and Settings\eddy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\eddy\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\Documents and Settings\eddy\Application Data\setup_fr[1].exe

C:\WINDOWS\emotigt.dll

C:\WINDOWS\system32\dumphive.exe

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\Process.exe

C:\WINDOWS\system32\SrchSTS.exe

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\VACFix.exe

C:\WINDOWS\system32\VCCLSID.exe

C:\WINDOWS\system32\WS2Fix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Application Data\reparateurdesysteme

C:\Documents and Settings\All Users\Application Data\reparateurdesysteme\Data\ac

C:\Documents and Settings\All Users\Application Data\reparateurdesysteme\Data\em

C:\Documents and Settings\All Users\Application Data\reparateurdesysteme\Data\oid

C:\Documents and Settings\All Users\Application Data\reparateurdesysteme\Data\user

C:\Documents and Settings\All Users\Application Data\SprinterFacile

C:\Documents and Settings\All Users\Application Data\TEMP

C:\Documents and Settings\eddy\Application Data\reparateurdesysteme

C:\Documents and Settings\eddy\Application Data\reparateurdesysteme\Logs\update.log

C:\Documents and Settings\eddy\Application Data\setup_fr[1].exe

C:\WINDOWS\emotigt.dll

C:\WINDOWS\system32\dumphive.exe

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\Process.exe

C:\WINDOWS\system32\SrchSTS.exe

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\VACFix.exe

C:\WINDOWS\system32\VCCLSID.exe

C:\WINDOWS\system32\WS2Fix.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-01 17:44 . 2008-03-01 17:44 <REP> d-------- C:\Program Files\Minnetonka Audio Software

2008-03-01 16:31 . 2008-03-01 16:31 <REP> d-------- C:\Program Files\Lavalys

2008-02-26 10:25 . 2008-02-26 10:25 <REP> d-------- C:\Program Files\Trend Micro

2008-02-26 09:53 . 2008-02-26 09:53 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

2008-02-26 09:53 . 2008-02-26 09:53 <REP> d-------- C:\Program Files\Fichiers communs\LightScribe

2008-02-26 09:53 . 2008-02-26 09:53 <REP> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon

2008-02-21 19:29 . 2008-02-26 09:53 <REP> d-------- C:\Program Files\TuneUp Utilities 2007

2008-02-18 18:28 . 2006-07-12 19:44 1,440,056 --------- C:\AAF12.bmp

2008-02-18 18:28 . 2006-07-12 19:47 1,440,056 --------- C:\AAF01.bmp

2008-02-17 16:07 . 2008-02-17 16:07 268 --ah----- C:\sqmdata01.sqm

2008-02-17 16:07 . 2008-02-17 16:07 244 --ah----- C:\sqmnoopt01.sqm

2008-02-17 14:33 . 2008-02-17 14:33 304 --ah----- C:\sqmdata00.sqm

2008-02-17 14:33 . 2008-02-17 14:33 244 --ah----- C:\sqmnoopt00.sqm

2008-02-14 00:45 . 2008-02-14 00:48 <REP> d-------- C:\Program Files\Windows Live

2008-02-14 00:45 . 2008-02-14 00:48 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-02-14 00:44 . 2008-02-14 00:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-02-06 01:47 . 2008-02-06 01:47 <REP> d-------- C:\Program Files\Weflirt

2008-02-06 01:47 . 2008-02-06 01:48 <REP> d-------- C:\Documents and Settings\eddy\Application Data\Weflirt

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-28 22:25 --------- d-----w C:\Program Files\eMule

2008-02-26 08:52 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-02-11 17:59 --------- d-----w C:\Program Files\Windows Live Safety Center

2008-01-16 14:50 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-16 14:32 --------- d-----w C:\Program Files\UBISOFT

2008-01-16 14:19 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll

2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 -c--a-w C:\WINDOWS\system32\AvastSS.scr

2007-11-07 13:27 774,144 ----a-w C:\Program Files\RngInterstitial.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 09:44 16120832 C:\WINDOWS\RTHDCPL.exe]

"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 05:32 89541 C:\WINDOWS\AGRSMMSG.exe]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 06:44 761947]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

"Weflirt"="C:\Program Files\Weflirt\weflirt.exe" -background

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"AVStation Premium 3.75"=C:\Program Files\Samsung\AVStation Premium 3.75\AVSAgent.exe

"BatteryManager"=C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe

"DisplayManager"=C:\Program Files\Samsung\DisplayManager\DisplayManager.exe

"EDS"=C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

"DMHotKey"=C:\Program Files\Samsung\DisplayManager\DMLoader.exe

"ehTray"=C:\WINDOWS\ehome\ehtray.exe

"MagicKeyboard"=C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe

"Symantec NetDriver Monitor"=C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R0 BsStor;B.H.A Storage Helper Driver;C:\WINDOWS\system32\drivers\BsStor.sys [2006-06-23 10:47]

R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2007-07-25 14:19]

R2 SNM WLAN Service;SNM WLAN Service;"C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe" [2005-05-28 07:35]

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-10 13:00]

R3 DNSeFilter;DNSeFilter;C:\WINDOWS\system32\drivers\SamsungEDS.sys [2006-03-29 11:59]

S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []

S3 SSB2413;SSB2413 Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\SSB2413.sys [2006-01-16 03:15]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-11-04 18:03]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-02-22 16:15:54 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-02 09:22:46

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-03-02 9:23:13

ComboFix-quarantined-files.txt 2008-03-02 08:23:05

ComboFix2.txt 2008-03-02 08:19:28

ComboFix3.txt 2008-02-28 19:06:20

.

2008-03-01 17:01:29 --- E O F ---

angelique Devil Member !

angelique

Posté(e)
Posté(e)

• desinstalle ComboFix de cette maniere, copie\colle la ligne ci dessous dans executer et clic ok ou tape "enter":

 

ComboFix /u

 

• telecharge sur ton bureau >> - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temps du nettoyage

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

• Télécharge ewido anti-spyware micro scanner sur ton bureau.

  • Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  • Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  • Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  • Clique sur Start Scan et laisse l'outil travailler.
  • Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  • Poste le dans ta prochaine réponse.

  • Nb, clique sur Remove infections

• Vire avast au profit d'antivir[tuto ci dessous*] , relaise un scan avec antivir, conserve le rapport et poste le avec le rapport ewido micro et un nouveau rapport HJT

 

* http://forum.malekal.com/ftopic4192.php

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...