Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Résolu : Infection spyware / malware : redirection liens google

osaintes

Par osaintes
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

  • Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection.
     
  • Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation et enregistre ce fichier sur le bureau. Ne modifie pas le nom du fichier surtout!
     
    Windows XP Service Pack 2 (SP2) >
     
    Microsoft Windows XP Professionnel SP2
     
  • Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
    img-191142280s3.gif[/url]
  • Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  • Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
  • Note > à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

osaintes Junior Member

osaintes

Posté(e)
  • Auteur
Posté(e)

Désolé, mais je n'ai pas de fichier CF_RC.txt qui apparait. A défaut, je poste ci-dessous le nouveau rapport Combo Fix qui a été généré. En tout cas, la console de restauration a correctement été installée.

 

Voici :

 

ComboFix 08-09-05.02 - Saint-Esprit 2008-09-06 22:23:52.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.754 [GMT 2:00]

Endroit: C:\Documents and Settings\Saint-Esprit\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Saint-Esprit\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

* Création d'un nouveau point de restauration

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-08-06 to 2008-09-06 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-05 07:27 . 2008-09-05 07:34 <REP> d-------- C:\Program Files\Navilog1

2008-09-05 07:22 . 2008-09-05 15:27 2,480 --a------ C:\WINDOWS\system32\tmp.reg

2008-09-03 16:20 . 2008-09-03 16:20 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\{2840BBCB-9BEC-47F6-BA0F-10D3C34BF151}

2008-09-03 16:03 . 2008-09-03 16:10 <REP> d-------- C:\fixwareout

2008-09-03 15:08 . 2008-09-03 15:08 <REP> d-------- C:\Program Files\Trend Micro

2008-09-03 14:21 . 2008-09-03 14:33 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-09-02 21:02 . 2008-09-02 21:02 <REP> d-------- C:\Documents and Settings\Saint-Esprit\Application Data\Grisoft

2008-09-02 21:02 . 2008-09-02 21:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-09-02 21:02 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-09-02 19:21 . 2008-09-03 14:54 357,768 --a------ C:\Documents and Settings\Saint-Esprit\SymXPep2.dll

2008-08-29 15:01 . 2008-08-29 15:01 <REP> d-------- C:\Program Files\Windows Sidebar

2008-08-29 15:00 . 2008-08-29 15:43 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2008-08-29 15:00 . 2008-08-29 15:43 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL

2008-08-29 15:00 . 2008-08-29 15:43 10,671 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2008-08-29 15:00 . 2008-08-29 15:43 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF

2008-08-29 14:10 . 2008-08-29 14:10 <REP> d-------- C:\Documents and Settings\All Users\Symantec Temporary Files

2008-08-26 19:52 . 2008-08-26 19:52 <REP> d-------- C:\Documents and Settings\Saint-Esprit\Application Data\GrabPro

2008-08-25 16:17 . 2008-08-25 16:17 <REP> d-------- C:\Program Files\iPod

2008-08-25 16:15 . 2008-08-25 16:15 <REP> d-------- C:\Program Files\Bonjour

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-02 18:49 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-08-29 13:43 --------- d-----w C:\Program Files\Symantec

2008-08-29 13:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-08-29 13:27 --------- d-----w C:\Program Files\CDBurnerXP Pro 3

2008-08-29 13:07 --------- d-----w C:\Program Files\Norton AntiVirus

2008-08-29 12:17 --------- d-----w C:\Documents and Settings\Saint-Esprit\Application Data\Symantec

2008-08-27 10:38 --------- d-----w C:\Documents and Settings\Saint-Esprit\Application Data\Orbit

2008-08-27 09:11 --------- d-----w C:\Program Files\Samsung

2008-08-25 16:02 --------- d-----w C:\Documents and Settings\Saint-Esprit\Application Data\U3

2008-08-25 14:18 --------- d-----w C:\Program Files\iTunes

2008-08-25 14:14 --------- d-----w C:\Program Files\QuickTime

2008-08-20 15:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-08-20 15:17 --------- d-----w C:\Program Files\Microsoft Silverlight

2008-08-20 10:28 --------- d-----w C:\Program Files\Free Music Zilla

2008-07-30 15:42 23,888 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys

2008-07-30 15:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf

2008-07-30 15:28 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat

2008-07-22 18:32 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys

2008-07-10 09:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-07-10 09:42 --------- d-----w C:\Program Files\Lavasoft

2008-07-10 09:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-13 12:45 579,464 ----a-w C:\WINDOWS\system32\SymNeti.dll

2008-06-13 12:45 207,240 ----a-w C:\WINDOWS\system32\SymRedir.dll

2008-06-11 04:48 47,792 -c--a-w C:\Documents and Settings\Saint-Esprit\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

"VMCL"="C:\Program Files\vodafone\vmclite\DongleEnumerator.exe" [2007-04-16 131072]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]

"BatteryManager"="C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2005-07-08 1933312]

"Startup Manager Scanner"="C:\Program Files\Startup Mechanic\StartupMonitor.exe" [2004-09-05 86016]

"Club-Internet_McciTrayApp"="C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe" [2005-06-02 543232]

"magickeyboard"="c:\program files\samsung\magickbd\premkbd.exe" [2005-04-11 151552]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-01-25 51048]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

Post-it© Software Notes Lite (2).lnk - C:\Program Files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]

"NoDispScrSavPage"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.yv12"= yv12vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"UpdatesDisableNotify"="0x00000000"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 4300]

R3 wowfilter;WOW XT Filter Driver;C:\WINDOWS\system32\drivers\wowfilter.sys [2005-06-08 17792]

S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888]

S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys [ ]

S4 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe [2008-01-25 149864]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b07ddc2-53d9-11dc-a2ff-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37c1ab39-2ba3-11dc-a2e0-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37c1ab3a-2ba3-11dc-a2e0-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b62062b-6f98-11dd-a4b7-001377047519}]

\Shell\AutoRun\command - D:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab1a9c8e-324e-11dd-a488-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab1a9c8f-324e-11dd-a488-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{def1a311-2f96-11dc-a2e7-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{def1a312-2f96-11dc-a2e7-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Saint-Esprit\Application Data\Mozilla\Firefox\Profiles\x57kv3m6.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/

FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_10\bin\NPJava11.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_10\bin\NPJava12.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_10\bin\NPJava13.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_10\bin\NPJava14.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_10\bin\NPJava32.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_10\bin\NPJPI150_10.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_10\bin\NPOJI610.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npdjvu.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npOGAPlugin.dll

FF -: plugin - C:\Program Files\Viewpoint\Viewpoint Media Player\npViewpoint.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-06 22:27:23

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

magickeyboard = c:\program files\samsung\magickbd\premkbd.exe??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Balayage des fichiers cachés ...

 

 

**************************************************************************

.

Temps d'accomplissement: 2008-09-06 22:30:19

ComboFix-quarantined-files.txt 2008-09-06 20:29:11

ComboFix2.txt 2008-09-06 17:33:00

 

Pre-Run: 23,449,817,088 octets libres

Post-Run: 23,416,455,168 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

162 --- E O F --- 2008-08-20 15:26:18

 

 

Merci

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

  • Désactive ton antivirus, il peut gêner.
  • Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans :

Killall::

 

Rootkit::

c:\windows\system32\drivers\TDSSserv.sys

C:\WINDOWS\system32\a.exe

C:\WINDOWS\system32\tdssadw.dll

C:\WINDOWS\system32\tdssl.dll

C:\WINDOWS\system32\drivers\tdssserv.sys

 

Folder::

C:\Program Files\Startup Mechanic

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Startup Manager Scanner"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]

"NoDispScrSavPage"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=-

"UpdatesDisableNotify"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=-

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\tdssserv]

 

Driver::

tdssserv

  • Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
     
  • Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture

img-2258535my8h.gif

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

osaintes Junior Member

osaintes

Posté(e)
  • Auteur
Posté(e)

voici les 2 rapports demandés :

 

 

ComboFix 08-09-05.02 - Saint-Esprit 2008-09-06 23:09:58.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.711 [GMT 2:00]

Endroit: C:\Documents and Settings\Saint-Esprit\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Saint-Esprit\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\Startup Mechanic

C:\Program Files\Startup Mechanic\DATABASE.txt

C:\Program Files\Startup Mechanic\Skin\about_background.gif

C:\Program Files\Startup Mechanic\Skin\about_tab.gif

C:\Program Files\Startup Mechanic\Skin\about_tab_highlight.gif

C:\Program Files\Startup Mechanic\Skin\background.gif

C:\Program Files\Startup Mechanic\Skin\blank_tab.gif

C:\Program Files\Startup Mechanic\Skin\blank_tab_highlight.gif

C:\Program Files\Startup Mechanic\Skin\deselectall_btn.gif

C:\Program Files\Startup Mechanic\Skin\deselectall_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\deselectall_btn_over.gif

C:\Program Files\Startup Mechanic\Skin\disable_btn.gif

C:\Program Files\Startup Mechanic\Skin\disable_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\disable_btn_over.gif

C:\Program Files\Startup Mechanic\Skin\disabled_tab.gif

C:\Program Files\Startup Mechanic\Skin\disabled_tab_highlight.gif

C:\Program Files\Startup Mechanic\Skin\donate_btn.gif

C:\Program Files\Startup Mechanic\Skin\donate_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\donate_btn_over.gif

C:\Program Files\Startup Mechanic\Skin\reenable_btn.gif

C:\Program Files\Startup Mechanic\Skin\reenable_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\reenable_btn_over.gif

C:\Program Files\Startup Mechanic\Skin\SCAN_BTN.GIF

C:\Program Files\Startup Mechanic\Skin\scan_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\scan_btn_over.gif

C:\Program Files\Startup Mechanic\Skin\scan_dis_background.gif

C:\Program Files\Startup Mechanic\Skin\SCAN_TAB.GIF

C:\Program Files\Startup Mechanic\Skin\scan_tab_highlight.gif

C:\Program Files\Startup Mechanic\Skin\selectall_btn.gif

C:\Program Files\Startup Mechanic\Skin\selectall_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\selectall_btn_over.gif

C:\Program Files\Startup Mechanic\Skin\sendfriend_btn.gif

C:\Program Files\Startup Mechanic\Skin\sendfriend_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\sendfriend_btn_over.gif

C:\Program Files\Startup Mechanic\Skin\status_background.gif

C:\Program Files\Startup Mechanic\Skin\status_tab.gif

C:\Program Files\Startup Mechanic\Skin\status_tab_highlight.gif

C:\Program Files\Startup Mechanic\Skin\unknown_btn.gif

C:\Program Files\Startup Mechanic\Skin\unknown_btn_click.gif

C:\Program Files\Startup Mechanic\Skin\unknown_btn_over.gif

C:\Program Files\Startup Mechanic\StartupFunk.dll

C:\Program Files\Startup Mechanic\StartupMechanic.exe

C:\Program Files\Startup Mechanic\StartupMonitor.exe

C:\Program Files\Startup Mechanic\uninst.exe

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-06 to 2008-09-06 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-05 07:27 . 2008-09-05 07:34 <REP> d-------- C:\Program Files\Navilog1

2008-09-05 07:22 . 2008-09-05 15:27 2,480 --a------ C:\WINDOWS\system32\tmp.reg

2008-09-03 16:20 . 2008-09-03 16:20 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\{2840BBCB-9BEC-47F6-BA0F-10D3C34BF151}

2008-09-03 16:03 . 2008-09-03 16:10 <REP> d-------- C:\fixwareout

2008-09-03 15:08 . 2008-09-03 15:08 <REP> d-------- C:\Program Files\Trend Micro

2008-09-03 14:21 . 2008-09-03 14:33 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-09-02 21:02 . 2008-09-02 21:02 <REP> d-------- C:\Documents and Settings\Saint-Esprit\Application Data\Grisoft

2008-09-02 21:02 . 2008-09-02 21:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-09-02 21:02 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-09-02 19:21 . 2008-09-03 14:54 357,768 --a------ C:\Documents and Settings\Saint-Esprit\SymXPep2.dll

2008-08-29 15:01 . 2008-08-29 15:01 <REP> d-------- C:\Program Files\Windows Sidebar

2008-08-29 15:00 . 2008-08-29 15:43 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2008-08-29 15:00 . 2008-08-29 15:43 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL

2008-08-29 15:00 . 2008-08-29 15:43 10,671 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2008-08-29 15:00 . 2008-08-29 15:43 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF

2008-08-29 14:10 . 2008-08-29 14:10 <REP> d-------- C:\Documents and Settings\All Users\Symantec Temporary Files

2008-08-26 19:52 . 2008-08-26 19:52 <REP> d-------- C:\Documents and Settings\Saint-Esprit\Application Data\GrabPro

2008-08-25 16:17 . 2008-08-25 16:17 <REP> d-------- C:\Program Files\iPod

2008-08-25 16:15 . 2008-08-25 16:15 <REP> d-------- C:\Program Files\Bonjour

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-06 21:20 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-08-29 13:43 --------- d-----w C:\Program Files\Symantec

2008-08-29 13:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-08-29 13:27 --------- d-----w C:\Program Files\CDBurnerXP Pro 3

2008-08-29 13:07 --------- d-----w C:\Program Files\Norton AntiVirus

2008-08-29 12:17 --------- d-----w C:\Documents and Settings\Saint-Esprit\Application Data\Symantec

2008-08-27 10:38 --------- d-----w C:\Documents and Settings\Saint-Esprit\Application Data\Orbit

2008-08-27 09:11 --------- d-----w C:\Program Files\Samsung

2008-08-25 16:02 --------- d-----w C:\Documents and Settings\Saint-Esprit\Application Data\U3

2008-08-25 14:18 --------- d-----w C:\Program Files\iTunes

2008-08-25 14:14 --------- d-----w C:\Program Files\QuickTime

2008-08-20 15:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-08-20 15:17 --------- d-----w C:\Program Files\Microsoft Silverlight

2008-08-20 10:28 --------- d-----w C:\Program Files\Free Music Zilla

2008-07-30 15:42 23,888 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys

2008-07-30 15:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf

2008-07-30 15:28 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat

2008-07-22 18:32 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys

2008-07-10 09:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-07-10 09:42 --------- d-----w C:\Program Files\Lavasoft

2008-07-10 09:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-06-11 04:48 47,792 -c--a-w C:\Documents and Settings\Saint-Esprit\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

"VMCL"="C:\Program Files\vodafone\vmclite\DongleEnumerator.exe" [2007-04-16 131072]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]

"BatteryManager"="C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2005-07-08 1933312]

"Club-Internet_McciTrayApp"="C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe" [2005-06-02 543232]

"magickeyboard"="c:\program files\samsung\magickbd\premkbd.exe" [2005-04-11 151552]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-01-25 51048]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.yv12"= yv12vfw.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 4300]

R3 wowfilter;WOW XT Filter Driver;C:\WINDOWS\system32\drivers\wowfilter.sys [2005-06-08 17792]

S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888]

S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys [ ]

S4 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe [2008-01-25 149864]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b07ddc2-53d9-11dc-a2ff-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37c1ab39-2ba3-11dc-a2e0-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37c1ab3a-2ba3-11dc-a2e0-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b62062b-6f98-11dd-a4b7-001377047519}]

\Shell\AutoRun\command - D:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab1a9c8e-324e-11dd-a488-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab1a9c8f-324e-11dd-a488-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{def1a311-2f96-11dc-a2e7-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{def1a312-2f96-11dc-a2e7-001377047519}]

\Shell\AutoRun\command - D:\VMC_PBStarter.exe

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-06 23:21:25

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Canon\DIAS\CnxDIAS.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Samsung\MagicKBD\MagicKBD.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\WINDOWS\system32\msiexec.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-09-06 23:29:41 - machine was rebooted [saint-Esprit]

ComboFix-quarantined-files.txt 2008-09-06 21:29:34

ComboFix2.txt 2008-09-06 20:30:20

ComboFix3.txt 2008-09-06 17:33:00

 

Pre-Run: 23,369,699,328 octets libres

Post-Run: 23,352,463,360 octets libres

 

185 --- E O F --- 2008-08-20 15:26:18

 

 

 

et Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:55:34, on 07/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Canon\DIAS\CnxDIAS.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\program files\samsung\magickbd\MagicKBD.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\Program Files\Symantec\LiveUpdate\AUPDATE.EXE

C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [batteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe

O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

O4 - HKLM\..\Run: [magickeyboard] c:\program files\samsung\magickbd\premkbd.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VMCL] C:\Program Files\vodafone\vmclite\DongleEnumerator.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Post-it® Software Notes Lite (2).lnk = C:\Program Files\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

 

--

End of file - 7042 bytes

 

 

Merci

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Supprime SmitFraudFix à la main.

 

Norton ne t'a pas beaucoup aidé. Si tu cherches une version gratuite d'un autre antivirus, on peut te conseiller.

Si tu as payé pour Norton, ce serait dommage d'en changer avant la fin de l'abonnement.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

Il faudra passer au SP3 de windows XP. (lien)

Puis passer par windows updates régulièrement.

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...