Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Icônes inactives après infections

Laure13

Par Laure13
dans Analyses et éradication malwares

 Partager

Messages recommandés

Laure13 Power Member

Laure13

Posté(e)
  • Auteur
Posté(e)

Bonsoir Facks,

 

Mon rapport semble okay alors?

Que faire concernant ceci: AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! ?

Cela pose un problème nouveau?

 

Dans l'attente, Merci à tous deux pour vos interventions.

 

Biz Biz

facks Full Patch Member

facks

Posté(e)
Posté(e) (modifié)

Bonsoir, je savais, vu les symptômes que tu étais infecter, mais je suis pas suffisamment "formé" pour la désinfection, attends la réponse de Gof stp. @+ :P

 

Pour cette phrase :AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! ? Pas d'inquiétude c'est normal.

Modifié par facks
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir facks, Laure13 :P

 

Tu as les traces Laure13 d'une infection par supports amovibles. Un support amovible est un supports tels qu'une clé USB, un disque dur externe, une carte Flash d'un appareil photo, un appareil photo branché en USB, etc etc. Tu as donc certainement l'un de ses supports d'infectés. Je vais te demander de suivre précisément les consignes ci-dessous afin de te désinfecter ces supports, car il est facile de se réinfecter très vite avec ce type d'infections. Tu peux consulter ce sujet si tu veux comprendre de quoi il s'agit, et voir comment par la suite t'en préserver.

 

 

flechedroite.png Télécharge autorun_off.reg sur ton Bureau.

  • Double-clique dessus pour l'exécuter.
  • Cela sera très rapide, accepte la fusion au regsitre à la question.
  • Cela ne génère pas de rapport.

 

 

flechedroite.png Télécharge Flashdisinfector de sUBs sur ton bureau.

  • Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient. Il est important de ne pas les ouvrir, juste les brancher.
  • Double-clique sur Flash_Disinfector.exe.
  • Cela sera très rapide, un message t'informera de la fin du fix.
    Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
  • Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.

 

 

flechedroite.png Télécharge CFScript.txt et enregistre le sur ton bureau, laisse toujours tes supports amovibles de branchés.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
     
    1da6921e7e542c8575546d19b6c6e.gif
  • Une fenêtre bleue va apparaître, valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

 

Avec ce rapport, poste un nouveau rapport HijackThis. Et profites en pour me donner des nouvelles du PC. A bientôt.

Laure13 Power Member

Laure13

Posté(e)
  • Auteur
Posté(e)

Merci à toi pour les infos, je vais attendre l'interprétation de Gof pour les rapports.

A signaler que depuis l'utilisation de ComboFix, il semble que je n'ai plus de soucis... pour l'instant.

 

Biz Biz à toi.

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Je t'ai répondu Laure13, juste avant ton message ; je ne sais pas si tu avais vu (il ne semble pas).

Laure13 Power Member

Laure13

Posté(e)
  • Auteur
Posté(e)

Merci infiniment pour le temps passé à nous aider.

Je vais mettre très vite tes conseils et informations en action et te tiens au courant du résultat comme demandé, au plus vite.

 

Je te souhaite une très bonne fin de soirée, et vais profiter de ma seconde nuit de congés pour faire tout ça.

Dans l'attente de te relire pour m'annoncer que: "tout est à nouveau en ordre dans mon PC" après lecture et analyse des rapports à venir.

 

Merci beaucoup.

 

Biz Biz

Laure13 Power Member

Laure13

Posté(e)
  • Auteur
Posté(e)

Gof, re-bonsoir,

 

Avant de passer aux tests complets, voici ce que me suggerait Apollo01 concernant la console de récupération, (à voir plus tard pour l'installer, non?).

 

"Juste pour illustrer la manoeuvre, voici la capture qui prouve la simplicité de cette opération; c'est le conseiller en charge de ton cas qui te donnera le bon fichier à télécharger pour procéder.

 

Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

 

 

Un simple glisser/déposer, c'est bien mieux que d'aller tripoter les fichiers cachés de Windows "

 

Je m'attache à appliquer tes directives et nous verrons cela après.

 

Biz

Laure13 Power Member

Laure13

Posté(e)
  • Auteur
Posté(e)

Bonjour Gof,

 

Après avoir suivi pas à pas tes instructions, voici les rapports de ComboFix et HijackThis.

Merci pour l'interprétation, et si tu le veux bien, merci pour ton aide éventuelle concernant la console de récupération (voir message plus haut).

 

Dans l'attente de ton verdict.

 

Biz Biz

 

Laure :P

 

PS: Comme nous n'utilisons que la session de mon fils et compte tenu des problèmes survenus, serait-il préférable afin d'éviter que cela se reproduise de créer une session par utilisateur? Nous sommes 4 à nous servir du PC de façon ponctuelle, mais surtout Olivier avec ses jeux en réseau et autres bizarreries que je comprends pas... :P

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

ComboFix 08-09-20.05 - Olivier 2008-09-24 1:03:06.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1496 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\Olivier\Mes documents\Downloads\ComboFix.exe

Commutateurs utilisés :: C:\Documents and Settings\Olivier\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\system32\drivers\TDSSjcxe.sys

C:\WINDOWS\system32\TDSSevri.dll

C:\WINDOWS\system32\TDSShpue.dll

C:\WINDOWS\system32\TDSSjjsm.dll

C:\WINDOWS\system32\TDSSqfqo.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\AWS

C:\Program Files\AWS\desktop.ini

C:\Program Files\AWS\eula.txt

C:\WINDOWS\system32\drivers\TDSSjcxe.sys

C:\WINDOWS\system32\TDSSevri.dll

C:\WINDOWS\system32\TDSShpue.dll

C:\WINDOWS\system32\TDSSjjsm.dll

C:\WINDOWS\system32\TDSSqfqo.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-23 02:37 . 2008-09-23 02:37 <REP> d-------- C:\Program Files\Trend Micro

2008-09-23 00:30 . 2008-09-23 00:30 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-09-23 00:30 . 2008-09-23 00:30 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Malwarebytes

2008-09-23 00:30 . 2008-09-23 00:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-09-23 00:30 . 2008-09-08 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-23 00:30 . 2008-09-08 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-09-21 22:42 . 2008-09-21 22:42 <REP> dr-h----- C:\$VAULT$.AVG

2008-09-21 05:01 . 2008-09-21 05:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\RFA_Backups

2008-09-19 03:19 . 2008-09-19 03:19 <REP> d-------- C:\Program Files\SoftLogica

2008-09-19 02:54 . 2008-09-19 02:54 <REP> d-------- C:\Program Files\TouchStoneSoftware

2008-09-19 02:14 . 2008-09-19 02:14 <REP> d-------- C:\Program Files\ETAJV PC

2008-09-19 02:10 . 2008-09-19 02:10 <REP> d-------- C:\Program Files\ETAJV XBOX

2008-09-19 01:35 . 2008-09-19 01:35 <REP> d-------- C:\Program Files\Drive Rescue

2008-09-19 01:27 . 2008-09-19 01:27 <REP> d-------- C:\Program Files\Recuva

2008-09-17 01:56 . 2008-09-17 01:56 8,192 --ahs---- C:\WINDOWS\Thumbs.db

2008-09-16 03:07 . 2008-09-16 03:07 <REP> d-------- C:\Program Files\PowerQuest

2008-09-10 00:42 . 2008-09-10 15:41 <REP> d-------- C:\Program Files\Savage - The Battle for Newerth

2008-09-08 21:04 . 2008-09-08 21:04 <REP> d-------- C:\Program Files\Codemasters

2008-09-06 12:52 . 2008-09-06 12:52 268 --ah----- C:\sqmdata18.sqm

2008-09-06 12:52 . 2008-09-06 12:52 244 --ah----- C:\sqmnoopt18.sqm

2008-09-03 02:18 . 2008-09-03 02:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TomTom

2008-08-30 02:46 . 2003-06-05 17:15 57,436 --a------ C:\WINDOWS\DASShp.dll

2008-08-29 22:25 . 2007-12-13 06:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-08-29 22:25 . 2007-12-13 06:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-08-29 22:25 . 2007-12-13 05:43 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-08-29 22:25 . 2007-12-13 06:22 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-08-29 22:25 . 2007-12-13 06:22 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-08-29 22:25 . 2007-12-13 06:22 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-08-29 22:25 . 2007-12-13 06:22 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-08-29 22:25 . 2008-09-21 04:27 <REP> d-------- C:\Documents and Settings\Administrateur

2008-08-29 20:53 . 1998-10-09 14:17 384,784 --a------ C:\WINDOWS\system32\wsecedit.dll

2008-08-29 20:53 . 1998-09-30 12:24 242,448 --a------ C:\WINDOWS\system32\scedll.dll

2008-08-29 20:53 . 1998-09-30 12:26 49,936 --a------ C:\WINDOWS\system32\SeCEdit.exe

2008-08-29 20:53 . 1998-03-31 16:37 29,968 --a------ C:\WINDOWS\system32\Rshx32_5.dll

2008-08-29 13:52 . 2008-08-29 13:52 <REP> d-------- C:\Program Files\TomTom HOME 2

2008-08-29 13:52 . 2008-08-29 13:52 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\TomTom

2008-08-28 13:13 . 2008-08-28 13:13 244 --ah----- C:\sqmnoopt17.sqm

2008-08-28 13:13 . 2008-08-28 13:13 232 --ah----- C:\sqmdata17.sqm

2008-08-26 16:07 . 2008-08-26 16:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ashampoo

2008-08-25 18:19 . 2008-08-25 18:19 244 --ah----- C:\sqmnoopt16.sqm

2008-08-25 18:19 . 2008-08-25 18:19 244 --ah----- C:\sqmnoopt15.sqm

2008-08-25 18:19 . 2008-08-25 18:19 232 --ah----- C:\sqmdata16.sqm

2008-08-25 18:19 . 2008-08-25 18:19 232 --ah----- C:\sqmdata15.sqm

2008-08-25 18:08 . 2008-08-25 18:08 244 --ah----- C:\sqmnoopt14.sqm

2008-08-25 18:08 . 2008-08-25 18:08 232 --ah----- C:\sqmdata14.sqm

2008-08-25 18:01 . 2008-08-25 18:01 244 --ah----- C:\sqmnoopt13.sqm

2008-08-25 18:01 . 2008-08-25 18:01 232 --ah----- C:\sqmdata13.sqm

2008-08-24 20:27 . 2008-08-27 02:44 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-08-24 20:27 . 2008-08-24 20:27 1,409 --a------ C:\WINDOWS\QTFont.for

2008-08-24 01:01 . 2008-08-24 01:01 244 --ah----- C:\sqmnoopt12.sqm

2008-08-24 01:01 . 2008-08-24 01:01 232 --ah----- C:\sqmdata12.sqm

2008-08-24 00:57 . 2008-08-24 00:57 244 --ah----- C:\sqmnoopt11.sqm

2008-08-24 00:57 . 2008-08-24 00:57 232 --ah----- C:\sqmdata11.sqm

2008-08-24 00:51 . 2008-08-24 00:51 244 --ah----- C:\sqmnoopt10.sqm

2008-08-24 00:51 . 2008-08-24 00:51 232 --ah----- C:\sqmdata10.sqm

2008-08-23 19:03 . 2008-08-23 19:03 <REP> d-------- C:\Program Files\Illusion Softworks

2008-08-23 16:30 . 2008-08-23 16:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-23 17:47 --------- d-s---w C:\Program Files\Mozilla Thunderbird

2008-09-23 00:13 --------- d-s---w C:\Program Files\Hijackthis Version Française

2008-09-21 02:25 --------- d-s---w C:\Documents and Settings\Olivier\Application Data\uTorrent

2008-09-19 22:08 --------- d-s---w C:\Program Files\DreamMail4

2008-09-17 00:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-09-16 01:07 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-09-09 00:27 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2008-09-08 19:12 --------- d-s---w C:\Program Files\GameSpy Arcade

2008-08-30 00:47 --------- d-----w C:\Program Files\Fichiers communs\L&H

2008-08-30 00:46 --------- d-s---w C:\Program Files\Microsoft Reader

2008-08-28 11:17 --------- d-s---w C:\Program Files\Opera

2008-08-23 14:27 --------- d-s---w C:\Program Files\Dofus

2008-08-23 14:26 --------- d-s---w C:\Program Files\XnView

2008-08-23 14:26 --------- d-s---w C:\Program Files\Skyline

2008-08-22 13:58 --------- d-----w C:\Documents and Settings\Olivier\Application Data\XnView

2008-08-22 12:17 --------- d-----w C:\Program Files\Fichiers communs\LightScribe

2008-08-22 11:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\LightScribe

2008-08-22 11:47 --------- d-s---w C:\Program Files\LightScribe

2008-08-19 20:26 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll

2008-08-10 00:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll

2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-03-11 01:09 139 --sha-w C:\Program Files\desktop.ini

2008-03-10 22:52 139 --sh--w C:\Program Files\Fichiers communs\desktop.ini

2002-07-26 15:02 153,088 ----a-w C:\Program Files\UNWISE.EXE

.

 

------- Sigcheck -------

 

2007-06-13 15:22 1885696 f6a1fb157cd2242d2574ea9ec5af473d C:\WINDOWS\explorer.exe

2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2006-03-02 14:00 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2007-06-13 15:22 1885696 f6a1fb157cd2242d2574ea9ec5af473d C:\WINDOWS\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((( snapshot@2008-09-23_15.37.16.15 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-09-23 12:31:54 88,952 ----a-w C:\WINDOWS\system32\perfc009.dat

+ 2008-09-23 17:47:53 88,952 ----a-w C:\WINDOWS\system32\perfc009.dat

- 2008-09-23 12:31:54 107,224 ----a-w C:\WINDOWS\system32\perfc00C.dat

+ 2008-09-23 17:47:53 107,224 ----a-w C:\WINDOWS\system32\perfc00C.dat

- 2008-09-23 12:31:54 483,708 ----a-w C:\WINDOWS\system32\perfh009.dat

+ 2008-09-23 17:47:53 483,708 ----a-w C:\WINDOWS\system32\perfh009.dat

- 2008-09-23 12:31:54 558,426 ----a-w C:\WINDOWS\system32\perfh00C.dat

+ 2008-09-23 17:47:53 558,426 ----a-w C:\WINDOWS\system32\perfh00C.dat

+ 2008-09-23 17:43:34 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_77c.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 15360]

"CursorXP"="C:\Program Files\CursorXP\CursorXP.exe" [2005-01-19 128000]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 36864]

"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-11-16 1953792]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]

"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2005-06-10 196608]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920]

"IntelliPoint"="c:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]

"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-10 406016]

"USBToolTip"="C:\Program Files\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" [2007-02-20 199752]

"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 C:\WINDOWS\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= vdrcodec.dll

"VIDC.YV12"= yv12vfw.dll

"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm

"VIDC.MJPG"= Pvmjpg30.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ai Quicker Help]

--a------ 2006-11-09 22:29 3165696 C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]

--a------ 2008-07-30 10:41 2363392 C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEPCI]

--a------ 2003-09-23 11:04 32768 C:\PROGRA~1\PINNAC~1\PPE\PPE.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-12-11 11:56 286720 C:\Program Files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rfagent]

--a------ 2007-12-04 21:45 916800 C:\Program Files\RFA Platinum\rfagent.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

--a------ 2008-05-06 10:42 202088 C:\Program Files\TomTom HOME 2\HOMERunner.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ccEvtMgr"=2 (0x2)

"Symantec Core LC"=2 (0x2)

"SPBBCSvc"=3 (0x3)

"SNDSrvc"=2 (0x2)

"ccSetMgr"=2 (0x2)

"ccISPwdSvc"=3 (0x3)

"ccProxy"=2 (0x2)

"SAVScan"=3 (0x3)

"NSCService"=3 (0x3)

"navapsvc"=3 (0x3)

"WLSetupSvc"=3 (0x3)

"UleadBurningHelper"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\Opera\\Opera.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\WINDOWS\\system32\\mmc.exe"=

"C:\\Program Files\\THQ\\Company of Heroes\\RelicCOH.exe"=

"C:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=

"C:\\Program Files\\Avid\\Avid Liquid 7\\Program\\RM.exe"=

"C:\\Program Files\\Avid\\Avid Liquid 7\\Program\\StudioU.mod"=

"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\RM.exe"=

"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\Studio.exe"=

"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=

"C:\\Program Files\\Pinnacle\\Studio 11\\programs\\umi.exe"=

"C:\\Program Files\\Electronic Arts\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=

"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"=

"C:\\Program Files\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R2 EZ-Backup Manager;EZ-Backup Manager;C:\Program Files\EZ-Backup\EZ-Backup Manager\EzBackup.exe [2006-08-15 1124352]

R3 PPJoyBus;Parallel Port Joystick Bus device driver;C:\WINDOWS\system32\drivers\PPJoyBus.sys [2004-10-24 13952]

R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-09-05 176128]

R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-06-23 13532]

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]

S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [ ]

S3 atxboxfl;XboxCtrl_filt_Service;C:\WINDOWS\system32\DRIVERS\atxboxfl.sys [2003-12-01 25936]

S3 mdxgthkn;mdxgthkn;C:\DOCUME~1\Olivier\LOCALS~1\Temp\mdxgthkn.sys [ ]

S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 20096]

S3 PPortJoystick;Parallel Port Joystick device driver;C:\WINDOWS\system32\drivers\PPortJoy.sys [2004-10-24 28800]

S3 SaiH0763;SaiH0763;C:\WINDOWS\system32\DRIVERS\SaiH0763.sys [2006-06-08 179968]

S3 SaiH0BAC;SaiH0BAC;C:\WINDOWS\system32\DRIVERS\SaiH0BAC.sys [2007-09-14 135168]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{892ca4ce-fe70-11dc-8259-001bfc928b79}]

\Shell\AutoRun\command - G:\LaunchU3.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e06d2537-afdc-11dc-8186-001bfc928b79}]

\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

 

*Newly Created Service* - SJYPKT

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\AutorunsDisabled\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe"

.

Contenu du dossier 'Tâches planifiées'

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-24 01:07:37

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-09-24 1:10:42

ComboFix-quarantined-files.txt 2008-09-23 23:10:40

ComboFix2.txt 2008-09-23 13:37:31

 

Avant-CF: 5ÿ145ÿ153ÿ536 octets libres

Après-CF: 5,156,184,064 octets libres

 

262 --- E O F --- 2008-09-16 01:03:25

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:13, on 2008-09-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\EZ-Backup\EZ-Backup Manager\EzBackup.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\WINDOWS\system32\rundll32.exe

c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe

C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe

C:\Program Files\Opera\opera.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tf1.lci.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [intelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [uSBToolTip] "C:\Program Files\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutorunsDisabled

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/down...llerControl.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Service d'état ASP.NET (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 (clr_optimization_v2.0.50727_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (file missing)

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: EZ-Backup Manager - Unknown owner - C:\Program Files\EZ-Backup\EZ-Backup Manager\EzBackup.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

--

End of file - 7069 bytes

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir Laure13 :P

 

Bon boulot.

 

Pour la console de récupération : c'est un outil pratique qui peut aider à sortir de mauvais pas, mais il faut en effet l'avoir pré-installée avant les soucis, sinon il est trop tard. Certaines infections nécessitent par précaution qu'on l'installe, pour d'autres, ce n'est pas toujours indispensable. L'outil n'a fait que mentionner que cette dernière n'était pas installée. Tu peux consulter ce sujet de Tesgaz sur la console de récupération si tu veux d'avantage comprendre à quoi elle sert.

 

Pour l'installer, suis la manipulation suivante :

 

  • Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation et enregistre ce fichier sur le bureau. Ne modifie pas le nom du fichier surtout!
    Windows XP Service Pack 2 (SP2) >
    Microsoft Windows XP Édition familiale SP2
  • Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
    tmmwkp7dnb.gif
  • Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  • Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
  • Note > à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

 

Qu'en est-il des soucis initiaux, sont-ils toujours présents ? Ont-ils disparu ?

 

Avec tes réponses, joins moi un rapport généré par une analyse en ligne comme ceci :

 

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

 

PS: Comme nous n'utilisons que la session de mon fils et compte tenu des problèmes survenus, serait-il préférable afin d'éviter que cela se reproduise de créer une session par utilisateur? Nous sommes 4 à nous servir du PC de façon ponctuelle, mais surtout Olivier avec ses jeux en réseau et autres bizarreries que je comprends pas...
Oui en effet, nous y viendrons par la suite, et je t'indiquerais quelques liens à consulter pour voir comment t'y prendre.

 

A bientôt.

Laure13 Power Member

Laure13

Posté(e)
  • Auteur
Posté(e)

Bonsoir Gof,

 

Reprise de boulot oblige, je n'ai pas le temps de mettre en oeuvre toutes tes infos.

Je m'y attache dimanche, jour de repos, et te tiens informé de la suite.

 

Merci infiniment pour tout.

 

Biz Biz à toi.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...