Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infecté par spywares (résolu)

lili105

Par lili105
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

et désolé mais je ne sais pas faire pour "Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows"?

je ne sais pas où trouver ce lien

Il te suffit de cliquer sur le lien ci-dessous puis, une fois sur la page de téléchargement, clique sur Télécharger >>

http://www.microsoft.com/downloads/details...0c-0a0205368124

 

Il ne reste plus qu'à effectuer les manipulations de mon post précédent >> installer la Console de Récupération comme indiqué avec ComboFix - utiliser le script - faire le scan avec MBAM (très rapide!).

 

En attente des rapports :P

Lien vers le commentaire
Partager sur d’autres sites

lili105 Member

lili105

Posté(e)
  • Auteur
Posté(e)

bonsoir

 

voici les rapports

 

ComboFix 08-09-05.03 - PEREIRA 2008-09-10 20:00:16.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.96 [GMT 2:00]

Endroit: C:\Documents and Settings\PEREIRA\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\PEREIRA\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

* Création d'un nouveau point de restauration

* Resident AV is active

 

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-06 15:39 . 2008-09-07 17:53 1,782 --a------ C:\WINDOWS\system32\tmp.reg

2008-09-06 15:38 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-09-06 15:38 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-09-06 15:38 . 2008-09-02 23:58 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe

2008-09-06 15:38 . 2008-09-02 16:51 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-09-06 15:38 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-09-06 15:38 . 2008-08-28 22:36 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe

2008-09-06 15:38 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe

2008-09-06 15:38 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-09-06 15:38 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-09-06 15:38 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-09-06 15:22 . 2008-09-06 15:22 <REP> d-------- C:\rsit

2008-09-03 16:21 . 2008-09-03 11:31 86,016 --a------ C:\WINDOWS\sxmaokgf.exe

2008-09-03 16:20 . 2008-09-03 16:20 <REP> d-------- C:\Program Files\MSA

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-10 18:04 81,984 ----a-w C:\WINDOWS\system32\bdod.bin

2008-09-08 19:27 --------- d-----w C:\Documents and Settings\PEREIRA\Application Data\Nomad ML

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll

2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR

2008-07-15 07:58 --------- d-----w C:\Program Files\MSXML 4.0

2008-07-11 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-07-11 19:45 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-07-11 19:44 4,780,368 ----a-w C:\Program Files\MsgPlusLive-460.exe

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-22 10:27 2,402,832 ----a-w C:\Program Files\WLinstaller.exe

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-05-30 19:13 17,144 ----a-w C:\Documents and Settings\PEREIRA\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((( snapshot@2008-09-07_18.26.17.45 )))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]

"H/PC Connection Agent"="D:\programm files\WCESCOMM.EXE" [2003-04-23 417871]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="D:\programmes files\Reader\Reader_sl.exe" [2008-01-11 39792]

"BitDefender Antiphishing Helper"="D:\programmes files\IEShow.exe" [2007-10-09 61440]

"BDAgent"="D:\programmes files\bdagent.exe" [2008-06-24 368640]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-06-11 98304]

"C-Media Mixer"="Mixer.exe" [2002-10-15 C:\WINDOWS\mixer.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

NkbMonitor.exe.lnk - D:\programm files\NkbMonitor.exe [2008-06-11 118784]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 36224]

S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-RunOnce-<NO NAME> - (no file)

 

 

.

------- Supplementary Scan -------

.

O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O18 -: Handler: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} - d:\programm files\AATP.DLL

O18 -: WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL

O18 -: WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL

O18 -: WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL

O18 -: WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\programm files\CENETFLT.DLL

O18 -: WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\programm files\CENETFLT.DLL

O18 -: WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\programm files\CENETFLT.DLL

 

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://www.photoweb.fr/telechargement/telechargement-photoweb.cab

C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf

C:\WINDOWS\system32\unicows.dll

C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx

 

O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

C:\WINDOWS\Downloaded Program Files\AdSignerADP.inf

C:\WINDOWS\system32\msvcp60.dll

C:\WINDOWS\system32\atl.dll

C:\WINDOWS\Downloaded Program Files\AdVerifierADP.dll

C:\WINDOWS\Downloaded Program Files\AdSignerADP.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-10 20:04:12

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-09-10 20:08:20

ComboFix-quarantined-files.txt 2008-09-10 18:08:10

ComboFix2.txt 2008-09-07 16:27:47

 

Pre-Run: 5,597,884,416 octets libres

Post-Run: 5,585,170,432 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

138 --- E O F --- 2008-08-17 21:04:29

 

 

 

ComboFix 08-09-05.03 - PEREIRA 2008-09-10 20:15:00.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.81 [GMT 2:00]

Endroit: C:\Documents and Settings\PEREIRA\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\PEREIRA\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

* Resident AV is active

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\MSA

C:\Program Files\MSA\MSA.ooo

C:\rsit

C:\rsit\info.txt

C:\rsit\log.txt

C:\WINDOWS\sxmaokgf.exe

C:\WINDOWS\system32\404Fix.exe

C:\WINDOWS\system32\AntiXPVSTFix.exe

C:\WINDOWS\system32\dumphive.exe

C:\WINDOWS\system32\IEDFix.C.exe

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\Process.exe

C:\WINDOWS\system32\SrchSTS.exe

C:\WINDOWS\system32\VACFix.exe

C:\WINDOWS\system32\VCCLSID.exe

C:\WINDOWS\system32\WS2Fix.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-06 15:39 . 2008-09-07 17:53 1,782 --a------ C:\WINDOWS\system32\tmp.reg

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-10 18:19 81,984 ----a-w C:\WINDOWS\system32\bdod.bin

2008-09-08 19:27 --------- d-----w C:\Documents and Settings\PEREIRA\Application Data\Nomad ML

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll

2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR

2008-07-15 07:58 --------- d-----w C:\Program Files\MSXML 4.0

2008-07-11 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-07-11 19:45 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-07-11 19:44 4,780,368 ----a-w C:\Program Files\MsgPlusLive-460.exe

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-22 10:27 2,402,832 ----a-w C:\Program Files\WLinstaller.exe

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-05-30 19:13 17,144 ----a-w C:\Documents and Settings\PEREIRA\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((( snapshot@2008-09-07_18.26.17.45 )))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]

"H/PC Connection Agent"="D:\programm files\WCESCOMM.EXE" [2003-04-23 417871]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="D:\programmes files\Reader\Reader_sl.exe" [2008-01-11 39792]

"BitDefender Antiphishing Helper"="D:\programmes files\IEShow.exe" [2007-10-09 61440]

"BDAgent"="D:\programmes files\bdagent.exe" [2008-06-24 368640]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-06-11 98304]

"C-Media Mixer"="Mixer.exe" [2002-10-15 C:\WINDOWS\mixer.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

NkbMonitor.exe.lnk - D:\programm files\NkbMonitor.exe [2008-06-11 118784]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 36224]

S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-RunOnce-<NO NAME> - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-10 20:19:19

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-09-10 20:23:04

ComboFix-quarantined-files.txt 2008-09-10 18:23:00

ComboFix2.txt 2008-09-10 18:08:23

ComboFix3.txt 2008-09-07 16:27:47

 

Pre-Run: 5,755,916,288 octets libres

Post-Run: 5,749,010,432 octets libres

 

114 --- E O F --- 2008-08-17 21:04:29

 

 

ComboFix 08-09-05.03 - PEREIRA 2008-09-10 20:15:00.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.81 [GMT 2:00]

Endroit: C:\Documents and Settings\PEREIRA\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\PEREIRA\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

* Resident AV is active

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\MSA

C:\Program Files\MSA\MSA.ooo

C:\rsit

C:\rsit\info.txt

C:\rsit\log.txt

C:\WINDOWS\sxmaokgf.exe

C:\WINDOWS\system32\404Fix.exe

C:\WINDOWS\system32\AntiXPVSTFix.exe

C:\WINDOWS\system32\dumphive.exe

C:\WINDOWS\system32\IEDFix.C.exe

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\Process.exe

C:\WINDOWS\system32\SrchSTS.exe

C:\WINDOWS\system32\VACFix.exe

C:\WINDOWS\system32\VCCLSID.exe

C:\WINDOWS\system32\WS2Fix.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-06 15:39 . 2008-09-07 17:53 1,782 --a------ C:\WINDOWS\system32\tmp.reg

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-10 18:19 81,984 ----a-w C:\WINDOWS\system32\bdod.bin

2008-09-08 19:27 --------- d-----w C:\Documents and Settings\PEREIRA\Application Data\Nomad ML

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll

2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR

2008-07-15 07:58 --------- d-----w C:\Program Files\MSXML 4.0

2008-07-11 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-07-11 19:45 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-07-11 19:44 4,780,368 ----a-w C:\Program Files\MsgPlusLive-460.exe

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-22 10:27 2,402,832 ----a-w C:\Program Files\WLinstaller.exe

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-05-30 19:13 17,144 ----a-w C:\Documents and Settings\PEREIRA\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((( snapshot@2008-09-07_18.26.17.45 )))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]

"H/PC Connection Agent"="D:\programm files\WCESCOMM.EXE" [2003-04-23 417871]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="D:\programmes files\Reader\Reader_sl.exe" [2008-01-11 39792]

"BitDefender Antiphishing Helper"="D:\programmes files\IEShow.exe" [2007-10-09 61440]

"BDAgent"="D:\programmes files\bdagent.exe" [2008-06-24 368640]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-06-11 98304]

"C-Media Mixer"="Mixer.exe" [2002-10-15 C:\WINDOWS\mixer.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

NkbMonitor.exe.lnk - D:\programm files\NkbMonitor.exe [2008-06-11 118784]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 36224]

S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-RunOnce-<NO NAME> - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-10 20:19:19

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-09-10 20:23:04

ComboFix-quarantined-files.txt 2008-09-10 18:23:00

ComboFix2.txt 2008-09-10 18:08:23

ComboFix3.txt 2008-09-07 16:27:47

 

Pre-Run: 5,755,916,288 octets libres

Post-Run: 5,749,010,432 octets libres

 

114 --- E O F --- 2008-08-17 21:04:29

 

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1137

Windows 5.1.2600 Service Pack 2

 

10/09/2008 20:36:48

mbam-log-2008-09-10 (20-36-48).txt

 

Type de recherche: Examen rapide

Eléments examinés: 38481

Temps écoulé: 4 minute(s), 49 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\gksraemq.bswm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\gksraemq.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\PEREIRA\Bureau\MS Antivirus.lnk (Rogue.Link) -> Quarantined and deleted successfully.

 

 

merci

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Ok! le nettoyage a été fait :P Je reviens sur ce que tu disais >>

depuis deux jours il y a sur mon bureau une page "active destkop" et des icones spywares malwares protection, error cleaner, et privacy protector. Dans la barre du menu démarer je n'ai plus le menu programme et je ne peux plus ouvrir mon disque c ou mon disque d.merci de votre aide

est ce toujours le cas ?

 

J'aimerai stp que tu fasses le scan suivant (ca prend 1 minute) pour voir si des ports sont ouverts sur ta machine >> http://www.zebulon.fr/outils/scanports/test-securite.php

Il te suffit de cliquer sur Testez la sécurité de votre PC > un scan rapide des ports du pc va être effectué.

Si jamais tu vois un ou plusieurs ports ouverts, poste stp le rapport du scan.

 

Après ca, on va nettoyer les outils téléchargés :P

Lien vers le commentaire
Partager sur d’autres sites
lili105 Member

lili105

Posté(e)
  • Auteur
Posté(e)

bonsoir,

 

donc je n'ai plus la page sur mon bureau "activ destkop

voici le rapport avec le scan

 

 

Ports TCP ouverts Aucun port détecté

 

Ports TCP fermés 21 ftp Utilisé pour le transfert de fichier entre ordinateurs Trojans possibles : Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, FreddyK, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, RTB 666, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash

 

113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué Trojans possibles : Invisible Identd Deamon, Kazimas

 

 

Ports TCP masqués 22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée Trojans possibles : Adore sshd, Shaft

 

23 telnet Utilisé pour obtenir un shell distant Trojans possibles : ADM worm, Fire HacKer, My Very Own trojan, RTB 666, Telnet Pro, Tiny Telnet Server - TTS, Truva Atl

 

25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port. Trojans possibles : Ajan, Antigen, Barok, BSE, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Stukach, Tapiras, Terminator, WinPC, WinSpy

 

79 finger Permet de connaître diverses informations relatives à votre profil Trojans possibles : CDK, Firehotcker

 

80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port Trojans possibles : 711 trojan (Seven Eleven), AckCmd, Back End, Back Orifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Code Red, Executor, God Message, God Message 4 Creator, Hooker, IISworm, MTX, NCX, Nimda, Noob, Ramen, Reverse WWW Tunnel Backdoor, RingZero, RTB 666, Seeker, WAN Remote, Web Server CT, WebDownloader

 

110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port. Trojans possibles : ProMail trojan

 

119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet Trojans possibles : Happy99

 

135 epmap Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft Trojans possibles : W32.Blaster.Worm, W32/Lovsan.worm

 

139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local Trojans possibles : Chode, God Message worm, Msinit, Netlog, Network, Qaz, Sadmind, SMB Relay

 

143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port. Trojans possibles : N/A

 

389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne Trojans possibles : N/A

 

443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger Trojans possibles : N/A

 

445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe Trojans possibles : Lioten, Randon, WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder

 

1002 N/A Port non standard Trojans possibles : N/A

 

1024 N/A Port réservé Trojans possibles : Jade, Latinus, NetSpy, Remote Administration Tool - RAT [no 2]

 

1025 N/A Port non standard Trojans possibles : Fraggle Rock, md5 Backdoor, NetSpy, Remote Storm

 

1026 N/A Port non standard Trojans possibles : N/A

 

1027 N/A Port non standard Trojans possibles : ICKiller

 

1028 N/A Port non standard Trojans possibles : N/A

 

1029 N/A Port non standard Trojans possibles : InCommand Access, ICQ Nuke 98

 

1030 N/A Port non standard Trojans possibles : N/A

 

1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting Trojans possibles : N/A

 

5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau Trojans possibles : Back Door Setup, BioNet Lite, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie

 

 

Temps d'exécution du scan : 23.12 secondes

 

Survolez les avec le pointeur de votre souris afin de connaître les trojans susceptible d'utiliser chacun des ports.

salut :P

 

Ok! le nettoyage a été fait :P Je reviens sur ce que tu disais >>

 

est ce toujours le cas ?

 

J'aimerai stp que tu fasses le scan suivant (ca prend 1 minute) pour voir si des ports sont ouverts sur ta machine >> http://www.zebulon.fr/outils/scanports/test-securite.php

Il te suffit de cliquer sur Testez la sécurité de votre PC > un scan rapide des ports du pc va être effectué.

Si jamais tu vois un ou plusieurs ports ouverts, poste stp le rapport du scan.

 

Après ca, on va nettoyer les outils téléchargés :P

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Ok: les ports de ton pc sont fermés, ce qui est une bonne chose.

 

On vire l'outil téléchargé >>

 

Passe par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

Tu peux éliminer le dossier SmitfraudFix et le fichier SmitfraudFix.exe sur le Bureau.

 

Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Tu me disais ceci plus précisément dans ton premier post >

Dans la barre du menu démarer je n'ai plus le menu programme et je ne peux plus ouvrir mon disque c ou mon disque d.merci de votre aide

Est ce que tu as retrouvé "Tous les Programmes" dans le Menu Démarrer ? peux tu ouvrir ton disque C de nouveau via un double-clic ?

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Très bien, content que le pc fonctionne correctement :P

 

Je t'ai fait installer la Console de Récupération de Windows, pourquoi ? Parfois, il arrive que des fichiers importants de Windows soient corrompus/effacés et c'est là que l'installation de cette Console prend tout son intérêt.

Elle permet de faire une multitude de chose: effacer des fichiers infectés - remplacer des fichiers légitimes etc....

pour plus d'informations sur la Console de Récupération, lis ce topic >> http://www.zebulon.fr/dossiers/61-console-...cuperation.html

 

 

Il faut penser à mettre certains programmes à jour car ils sont souvent la cible des malwares: les mises à jour servent en partie à combler des failles de sécurité. >>

 

-Adobe Reader: la version 9 >> http://www.adobe.com/fr/products/acrobat/readstep2.html

 

Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

 

Malekal_Morte : http://www.malekal.com/

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, nettoyage de la base de registre avec jv16, scandisk, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

***

 

Pense à changer le titre et y rajouter " Résolu" stp.

Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".

Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

 

bon surf @ toi :P

A bientot sur les forums de 27yq3wj.gif sans malwares! :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...