Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

détournement du bureau

Nols

Par Nols
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nols Junior Member

Nols

Posté(e)
  • Auteur
Posté(e)

non en fait quand je démarre en mode sans echec j ai pas d icone sur le bureau pour pouvoir lancer combofix (alors que la derniere fois les icones y etaient)

Nols Junior Member

Nols

Posté(e)
  • Auteur
Posté(e)

en fait en mode sans echec j avais un ecran noir sans meme de barre de démarrage

j ai executé combofix en mode normal voici le rapport :

 

ComboFix 08-06-10.5 - Nolwenn 2008-06-12 23:16:55.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1033.18.267 [GMT 2:00]

Running from: C:\Documents and Settings\Nolwenn\Desktop\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions

 

)))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Temp\1cb

C:\Temp\1cb\syscheck.log

C:\WINDOWS\BMab83a148.xml

C:\WINDOWS\cookies.ini

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\awTmNgdc.dll

C:\WINDOWS\system32\fgjfvrah.dll

C:\WINDOWS\system32\gqkoykjw.dll

C:\WINDOWS\system32\harvfjgf.ini

C:\WINDOWS\system32\klpskqhf.ini

C:\WINDOWS\system32\kmmpWvut.ini

C:\WINDOWS\system32\kmmpWvut.ini2

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\MSINET.oca

C:\WINDOWS\system32\pac.txt

C:\WINDOWS\system32\tuvWpmmk.dll

C:\WINDOWS\system32\wadyyjst.dll

 

.

((((((((((((((((((((((((( Files Created from 2008-05-12 to 2008-06-12

 

)))))))))))))))))))))))))))))))

.

 

2008-06-12 22:14 . 2008-06-12 22:14 <DIR> d-------- C:\Documents and

 

Settings\Administrator

2008-06-12 21:32 . 2008-06-12 21:32 99,328 --a------ C:\WINDOWS\system32\rdbvpcbe.dll

2008-06-11 22:45 . 2008-06-11 22:45 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-06-11 22:05 . 2008-06-11 22:05 <DIR> d-------- C:\Documents and Settings\All

 

Users\Application Data\Kaspersky Lab Setup Files

2008-06-11 18:14 . 2008-06-11 18:14 89,600 --a------ C:\WINDOWS\system32\sgqeimvq.dll

2008-06-09 17:40 . 2008-06-09 17:40 <DIR> d-------- C:\Program Files\Avira

2008-06-09 17:40 . 2008-06-09 17:40 <DIR> d-------- C:\Documents and Settings\All

 

Users\Application Data\Avira

2008-06-08 17:11 . 2008-06-08 17:11 <DIR> d-------- C:\Program Files\MSXML 4.0

2008-06-08 17:10 . 2008-06-08 17:10 <DIR> d-------- C:\Program Files\Common

 

Files\Sony Ericsson Shared

2008-06-08 17:09 . 2008-06-08 17:09 <DIR> d-------- C:\Documents and Settings\All

 

Users\Application Data\Sony Ericsson

2008-06-08 16:27 . 2008-06-11 22:23 <DIR> d--h----- C:\WINDOWS\$hf_mig$

2008-06-08 16:27 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-05-20 21:24 . 2008-05-20 21:24 244 --ah----- C:\sqmnoopt18.sqm

2008-05-20 21:24 . 2008-05-20 21:24 232 --ah----- C:\sqmdata18.sqm

2008-05-20 21:19 . 2008-05-20 21:19 244 --ah----- C:\sqmnoopt17.sqm

2008-05-20 21:19 . 2008-05-20 21:19 232 --ah----- C:\sqmdata17.sqm

2008-05-20 21:17 . 2008-05-20 21:17 244 --ah----- C:\sqmnoopt16.sqm

2008-05-20 21:17 . 2008-05-20 21:17 232 --ah----- C:\sqmdata16.sqm

2008-05-18 11:41 . 2008-05-18 11:41 <DIR> d-------- C:\Program Files\Lavasoft

2008-05-18 11:41 . 2008-05-18 11:44 <DIR> d-------- C:\Documents and Settings\All

 

Users\Application Data\Lavasoft

2008-05-18 10:50 . 2008-05-18 11:35 <DIR> d-------- C:\WINDOWS\BDOSCAN8

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report

 

))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-08 15:10 --------- d-----w C:\Program Files\Common Files\Teleca Shared

2008-06-08 15:09 --------- d-----w C:\Documents and Settings\All Users\Application

 

Data\Teleca

2008-06-08 13:45 --------- d-----w C:\Program Files\Nokia

2008-06-08 13:33 --------- d-----w C:\Program Files\Sony

2008-06-08 11:57 --------- d--h--w C:\Program Files\InstallShield Installation

 

Information

2008-06-08 11:00 --------- d-----w C:\Documents and Settings\All Users\Application

 

Data\Kodak

2008-06-08 10:54 --------- d-----w C:\Program Files\Kodak EasyShare software

2008-05-18 11:36 --------- d-----w C:\Program Files\Azureus

2008-05-11 22:51 --------- d-----w C:\Program Files\eMule

2008-05-11 22:48 --------- d-----w C:\Documents and Settings\All Users\Application

 

Data\Spybot - Search & Destroy

2008-05-11 17:37 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-05-03 22:23 --------- d-----w C:\Program Files\RADVideo

2008-05-03 09:29 --------- d-----w C:\Documents and Settings\All Users\Application

 

Data\SmartSound Software Inc

2008-05-01 20:02 --------- d-----w C:\Documents and Settings\Nolwenn\Application

 

Data\uTorrent

2008-05-01 14:47 --------- d-----w C:\Program Files\Pinnacle

2008-04-29 21:55 --------- d-----w C:\Program Files\Microsoft Picture It! 7

2008-04-29 20:37 --------- d-----w C:\Documents and Settings\Nolwenn\Application

 

Data\Leadertech

2008-04-28 19:14 --------- d-----w C:\Documents and Settings\All Users\Application

 

Data\Pinnacle

2008-04-28 19:13 --------- d-----w C:\Program Files\DivX

2008-04-28 18:50 --------- d-----w C:\Program Files\SmartSound Software

2008-04-21 19:42 --------- d-----w C:\Documents and Settings\Nolwenn\Application

 

Data\Teleca

2008-04-21 19:41 --------- d-----w C:\Documents and Settings\Nolwenn\Application

 

Data\Sony Ericsson

2008-04-21 19:36 --------- d-----w C:\Program Files\Sony Ericsson

2008-04-21 19:34 --------- d-----w C:\Documents and Settings\Nolwenn\Application

 

Data\AdobeUM

2008-04-21 19:24 --------- d-----w C:\Documents and Settings\Nolwenn\Application

 

Data\FileZilla

2008-04-14 17:14 --------- d-----w C:\Documents and Settings\Nolwenn\Application

 

Data\Media Player Classic

.

 

------- Sigcheck -------

 

2004-12-02 11:00 502272 6225f14b8ce08ccba8b25ad27843c674 C:\WINDOWS\system32\winlogon.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points

 

))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{135F469E-0FD0-4EF5-A834-B5A29AE2410E}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{317B4DF8-42C4-41E5-9041-40D228DE730F}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3AB98CD7-D55A-4D7E-9217-187484A3A249}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{442E6FEE-111C-4AAE-81EC-7DA32B8C967B}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69C21BFC-B729-446F-92B6-BFFE2A0E523B}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-12-02 11:00 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common

 

Files\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 17:03 94208]

"NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY.DLL" [2003-12-11 13:10 49152]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-21 18:11

 

68856]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43

 

2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 04:04 59392]

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40

 

155648]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-08-27 16:25 77824]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-12-11 13:10 3022848]

"nwiz"="nwiz.exe" [2003-12-11 13:10 753664 C:\WINDOWS\system32\nwiz.exe]

"WinFast Schedule"="C:\Program Files\WinFast\WFTVFM\WFWIZ.exe" [2004-02-25 10:23 159744]

"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 577536 C:\WINDOWS\soundman.exe]

"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 15:26 406016]

"Microsoft Works Update Detection"="C:\Program Files\Common Files\Microsoft Shared\Works

 

Shared\WkUFind.exe" [2002-07-24 21:20 28672]

"SpybotSnD"="C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" [2008-01-28 11:43 5146448]

"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application

 

Launcher.exe" [2007-03-28 01:07 593920]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06

 

262401]

"a8b092d4"="C:\WINDOWS\system32\fhqksplk.dll" [ ]

"BMab83a148"="C:\WINDOWS\system32\sgqeimvq.dll" [2008-06-11 18:14 89600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-12-02 11:00 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awTmNgdc]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= vdrcodec.dll

"VIDC.YV12"= yv12vfw.dll

"msacm.ac3filter"= ac3filter.acm

"VIDC.MJPG"= Pvmjpg21.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^Nolwenn^Start

 

Menu^Programs^Startup^MagicDisc.lnk]

path=C:\Documents and Settings\Nolwenn\Start Menu\Programs\Startup\MagicDisc.lnk

backup=C:\WINDOWS\pss\MagicDisc.lnkStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\Li

 

st]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=

"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky

 

Internet Security 2009\\french\\setup.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]

R3 WFIOCTL;WFIOCTL;C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS [2003-01-07 10:16]

S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys

 

[2006-09-05 20:07]

S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem

 

Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]

S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys

 

[2006-09-05 20:07]

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-12 23:24:09

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\ehome\ehRecvr.exe

C:\WINDOWS\ehome\ehSched.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehmsas.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SoftwareDistribution\Download\4a70167257b9ec465806ced7f92b65d8\update\update.exe

C:\WINDOWS\system32\imapi.exe

.

**************************************************************************

.

Completion time: 2008-06-12 23:30:32 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-12 21:30:21

 

Pre-Run: 13,143,490,560 bytes free

Post-Run: 13,050,056,704 bytes free

 

179 --- E O F --- 2008-06-10 06:22:16

HaTe-LoVe-AnGer Member

HaTe-LoVe-AnGer

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

  • Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection.
     
  • Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation et enregistre ce fichier sur le bureau. Ne modifie pas le nom du fichier surtout!

 

Windows XP Service Pack 2 (SP2) >

 

Microsoft Windows XP Édition familiale SP2

Microsoft Windows XP Professionnel SP2

 

  • Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
  • tmmwkp7dnb.gif
  • Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  • Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
  • Note > à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

 

******************************************************************

 

Copie le texte se situant dans le cadre ci-dessous (CTRL + C) :

 

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{135F469E-0FD0-4EF5-A834-B5A29AE2410E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{317B4DF8-42C4-41E5-9041-40D228DE730F}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3AB98CD7-D55A-4D7E-9217-187484A3A249}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{442E6FEE-111C-4AAE-81EC-7DA32B8C967B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69C21BFC-B729-446F-92B6-BFFE2A0E523B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"a8b092d4"=-
"BMab83a148"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awTmNgdc]

File::
C:\WINDOWS\system32\fhqksplk.dll
C:\WINDOWS\system32\sgqeimvq.dll
C:\WINDOWS\system32\rdbvpcbe.dll

 

NOTE : Désactive tes protections résidentes durant la procédure / Déconnecte toi de Internet.

 

Ouvre le Bloc Notes : Démarrer > Exécuter > Tape : notepad > Valide par OK.

 

- Colles y le texte (CTRL + V)

- Enregistre ce fichier dans : Bureau

- Nom du fichier : CFScript

- Type du fichier : tous les fichiers !!

- Clique sur Enregistrer

- Quitte le Bloc Notes

 

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :

 

cfscriptws3.gif

 

* Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !

* Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.

* Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt.

 

Enfin, poste un nouveau rapport HijackThis.

 

@+

Modifié par HaTe-LoVe-AnGer
Nols Junior Member

Nols

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Apres un week end d absence je suis de retour...

J ai essayé d acceder au forum hier soir mais sans succes mon pc ne charge pas la page

pourtant tout a l air de bien fonctionné je suis allée sur d autre sites et ca allait

je n ai pas reussi non plus a aller sur le support microsoft pour pouvoir installer la console de récup je ne comprends pas je réessayerai ce soir

Par contre concernant mon bureau le pb de la page pub est résolu et Antivir ne "bip" plus sans arret

Nols Junior Member

Nols

Posté(e)
  • Auteur
Posté(e)

aussi j avais deja telecharger la console de récupération mais quand je fais le déplacement du fichier sur l'icône de Combofix.exe une fenêtre apparait me demandant si je veux executer Combofix.exe

Nols Junior Member

Nols

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Il m'est impossible de me connecter sur le forum depuis chez moi la page ne se charge pas et c est pareil pour d autres sites comme microsoft ou certaines recherche google

j ai néanmois réussi a effectuer un rapport hijackthis et réussi a l envoyer via Mediafire, le voici http://www.mediafire.com/?dijb9cgyfge

Bonne journée merci a +

Nols Junior Member

Nols

Posté(e)
  • Auteur
Posté(e)

Oui j'essayerai ce soir mais j ai toujours pas installé la console de récup je ne peux pas acceder au lien et je vais essayer de retrouver mon cd d installation

merci a +

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...