Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC lent

benfox

Par benfox
dans Analyses et éradication malwares

 Partager

Messages recommandés

benfox Extrem Member

benfox

Posté(e)
Posté(e)

Bonjour à tous,

 

Sur le PC à mon boulot il y a quelques soucis de lenteur surtout sur internet sur certaine page comme hotmail ou même google tout simplement.

J'ai antivir et kerio. J'ai fait un scan avec spybot.

J'ai déjà pu enlever via smitfraud quelques saloperies qui venaient de clés USB.

Le PC est un dell dimension 9200 et je le trouve plus lent que mon ordinateur qui est moin puissant que celui ci.

 

Voici un post hijack this la ligne 017 est étrange....

N'hesitez pas à me poser des questions sur les détails de ma config.

Merci d'avance

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:28:49, on 27/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\stsystra.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Steinberg\Nuendo 3\Nuendo3.exe

C:\PROGRA~1\SYNCRO~1\POS\SYNSOPOS.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=2061231

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B2DF372E-166A-4108-BD9D-40607D46D68B}: NameServer = 192.168.1.6,192.168.1.254

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 5635 bytes

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Télécharger SmitfraudFix sur le bureau

Dézipper la totalité de l'archive smitfraudfix.zip

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

Poster le rapport

 

Utilisation ----- option 3 - effacement de la liste des sites de confiance et sensibles :

Double cliquer sur smitfraudfix.cmd

Sélectionner 3 pour effacer, éventuellement, la liste des sites de confiance et sensibles (lignes HijackThis O15).

Sélectionnez l'option 5

Modifié par pear
benfox Extrem Member

benfox

Posté(e)
  • Auteur
Posté(e)

Merci

 

J'ai donc suivi ta procédure. J'avais déjà fait la même manipulation en mode sans echec et cela avait fonctionné pendant un temps mais les problèmes sont revenus.

 

Il m'a dit que le fichier autorun sur C etait infecté et il l"'a desinfecté....

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

 

Les fichiers autorun.inf sont infectés.

Cette infection peut avoir été introduite par le biais d'un support amovible tels que Clé USB, CD-R, CDRW, etc.

Car cette infection a ceci de particulier qu'elle crée des fichiers .inf (cachés) aux racines de tout ce qui entre en contact avec elle, comme la racine du disque C (système) par exemple.

Des explications là:

http://forum.malekal.com/ftopic3350.php

http://forum.malekal.com/viewtopic.php?f=4...544&p=38463

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

Vaccination

Désactivez l'antivirus

Télécharge VaccinUSB de Gof

Enregistrez le surC:\

Double-cliquez

Faites la même opération sur les clés USB ,disque dur externe, et tous supports amovibles,en collant et exécutant. VaccinUSB sur chacun d'eux.

 

Désinfection

Télécharger Flash_Disinfector.exe de sUBs

l'enregistrer sur le bureau.

Connecter tous les supports amovibles susceptibles d'avoir été infectés .

Double-cliquer dessus et suivre les instructions

,

Enregistrer Clean.zip sur le bureau

- faire un clic droit dessus et "extraire ici".

Un dossier "Clean" sera créé.

Redémarrer en mode sans échec

Ouvrez le dossier clean qui se trouve sur le bureau,

double-cliquer sur clean.cmd,

Dans la fenêtre noire, choisir l'option 2 et suivre les instructions

Cochez les options comme indiquées sur cettepage:

 

 

benfox Extrem Member

benfox

Posté(e)
  • Auteur
Posté(e)

merci !!

 

J'ai fait ce que tu me dis et j'ai eu tout d'abord cette réponse de clean

 

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 28/10/2008 a 16:47:43,42

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

tentative de suppression de C:\autorun.inf

Impossible de supprimer C:\autorun.inf

tentative de suppression de C:\host.exe

Impossible de supprimer C:\host.exe

tentative de suppression de C:\host.exe

Impossible de supprimer C:\host.exe

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

 

J'ai donc supprimer les fichier manuellement à la racine de C.

J'ai refait un scan et c'etait ok.

J'ai été obligé de le faire sur 3 PC du boulot qui ont sans doute reçu une clé infecté.

 

Dois je faire encore quelque chose ?

 

Merci encore de ta réponse.

pear Devil Member !

pear

Posté(e)
Posté(e)
Dois je faire encore quelque chose ?

 

Appliquez les conseils de Prévention et Vaccination autour de vous.

Les clés Usb infectées en ballade sont une vraie plaie.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Si vous utilez Combofix pour détruire Bagle, voyez le $ 3 Renommer Combofix

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

img-191142280s3.gif

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

 

2)Lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

3) Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

En cas de problème, :

méthode illustrée

benfox Extrem Member

benfox

Posté(e)
  • Auteur
Posté(e)

voila le scan généré par combofix

 

ComboFix 08-11-03.04 - admin 2008-11-04 11:04:00.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.684 [GMT 1:00]

Lancé depuis: c:\documents and settings\admin\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\admin\Application Data\inst.exe

c:\windows\system32\pthreadVC.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_PACKET

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-04 au 2008-11-04 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-03 12:37 . 2008-11-03 12:37 <REP> d-------- c:\program files\Audacity

2008-10-31 17:20 . 2008-10-31 17:20 <REP> d-------- c:\program files\CDBurnerXP

2008-10-31 17:20 . 2008-10-31 17:20 <REP> d-------- c:\documents and settings\admin\Application Data\Canneverbe_Limited

2008-10-31 17:13 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll

2008-10-31 17:12 . 2008-10-31 17:13 <REP> d-------- c:\windows\system32\XPSViewer

2008-10-31 17:12 . 2008-10-31 17:12 <REP> d-------- c:\program files\Reference Assemblies

2008-10-31 17:12 . 2008-10-31 17:12 <REP> d-------- c:\program files\MSBuild

2008-10-31 17:12 . 2008-10-31 17:12 212 --a------ c:\windows\system32\spupdsvc.inf

2008-10-31 17:11 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll

2008-10-31 17:11 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\dllcache\xpssvcs.dll

2008-10-31 17:11 . 2008-07-06 11:50 597,504 --------- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2008-10-31 17:11 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll

2008-10-31 17:11 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\dllcache\xpsshhdr.dll

2008-10-31 17:11 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll

2008-10-31 17:11 . 2008-07-06 13:06 89,088 --------- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2008-10-28 14:38 . 2008-10-28 16:45 <REP> d-------- c:\program files\M-Audio USB Duo

2008-10-28 14:38 . 2008-10-28 16:45 659,456 --a------ c:\windows\iun6002.exe

2008-10-28 14:38 . 2008-10-28 16:45 114,688 --a------ c:\windows\system\MMAUSBCP.DLL

2008-10-28 14:38 . 2008-10-28 16:45 73,728 --a------ c:\windows\system\MMAUSBCM.exe

2008-10-28 14:38 . 2008-10-28 16:45 40,960 --a------ c:\windows\system\MMAEUSB.dll

2008-10-28 14:38 . 2008-10-28 16:45 40,960 --a------ c:\windows\system\MMAAUSB.DLL

2008-10-28 14:38 . 2008-10-28 16:45 24,576 --a------ c:\windows\system\MMAUSBIN.DLL

2008-10-28 14:38 . 2008-10-28 16:45 18,560 --a------ c:\windows\system32\drivers\MMAUSB.SYS

2008-10-28 14:38 . 2008-10-28 16:45 13,684 --a------ c:\windows\system32\drivers\LMASFltr.sys

2008-10-28 11:22 . 2008-10-28 11:22 <REP> d--h----- c:\windows\system32\GroupPolicy

2008-10-27 11:12 . 2008-10-27 11:12 <REP> d-------- c:\program files\ma-config.com

2008-10-27 11:12 . 2008-10-27 11:12 <REP> d-------- c:\documents and settings\All Users\Application Data\ma-config.com

2008-10-27 11:06 . 2008-10-27 11:06 <REP> d-------- c:\program files\Avira

2008-10-27 11:06 . 2008-10-27 11:06 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-10-24 10:29 . 2008-10-15 17:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll

2008-10-23 13:27 . 2008-10-23 13:28 <REP> d-------- c:\program files\FruityLoops 3.4

2008-10-21 15:07 . 2008-10-27 16:10 1,088 --a------ c:\windows\system32\tmp.reg

2008-10-21 15:06 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe

2008-10-21 15:06 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe

2008-10-21 15:06 . 2008-09-08 22:38 88,576 --a------ c:\windows\system32\AntiXPVSTFix.exe

2008-10-21 15:06 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe

2008-10-21 15:06 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe

2008-10-21 15:06 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe

2008-10-21 15:06 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe

2008-10-21 15:06 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe

2008-10-21 15:06 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe

2008-10-21 15:06 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe

2008-10-21 15:06 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe

2008-10-21 15:00 . 2008-10-21 15:00 <REP> d-------- c:\program files\Trend Micro

2008-10-17 16:41 . 2008-10-17 16:41 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard

2008-10-17 15:36 . 2008-10-17 15:36 <REP> d-------- c:\program files\jv16 PowerTools

2008-10-17 15:33 . 2008-10-28 15:28 <REP> d-------- c:\program files\SpeedFan

2008-10-17 15:33 . 2008-10-28 15:28 45 --a------ c:\windows\system32\initdebug.nfo

2008-10-17 15:09 . 2008-10-17 15:09 <REP> d-------- c:\windows\system32\Kaspersky Lab

2008-10-17 12:14 . 2008-10-17 12:14 <REP> d-------- c:\windows\system32\NtmsData

2008-10-17 11:57 . 2008-10-17 12:00 <REP> d-------- c:\program files\Spybot - Search & Destroy

2008-10-17 11:57 . 2008-10-17 12:00 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-10-17 11:48 . 2008-10-17 11:48 <REP> d-------- c:\program files\Waves

2008-10-17 11:48 . 2008-10-17 11:48 <REP> d-------- c:\program files\Digidesign

2008-10-17 11:46 . 2008-10-31 17:38 471 --a------ c:\windows\system32\Datei4

2008-10-17 11:46 . 2008-10-31 17:38 471 --a------ c:\windows\system32\Datei2

2008-10-17 11:46 . 2008-10-31 17:38 470 --a------ c:\windows\system32\Datei3

2008-10-17 11:46 . 2008-10-31 17:38 470 --a------ c:\windows\system32\Datei1

2008-10-17 11:46 . 2008-10-31 17:38 469 --a------ c:\windows\system32\Datei7

2008-10-17 11:46 . 2008-10-31 17:38 469 --a------ c:\windows\system32\Datei5

2008-10-17 11:46 . 2008-10-31 17:38 468 --a------ c:\windows\system32\Datei0

2008-10-17 11:46 . 2008-10-31 17:38 467 --a------ c:\windows\system32\Datei9

2008-10-17 11:46 . 2008-10-31 17:38 467 --a------ c:\windows\system32\Datei8

2008-10-17 11:46 . 2008-10-31 17:38 467 --a------ c:\windows\system32\Datei10

2008-10-17 11:46 . 2008-10-31 17:38 465 --a------ c:\windows\system32\Datei6

2008-10-17 11:45 . 2008-10-17 11:46 <REP> d-------- c:\documents and settings\admin\Application Data\Steinberg

2008-10-16 14:19 . 2007-12-08 23:32 487,936 --a------ c:\windows\system32\rmbe3260.dll

2008-10-16 14:19 . 2007-12-08 23:32 487,424 --a------ c:\windows\system32\msvcp70.dll

2008-10-16 14:19 . 2007-12-08 23:32 352,768 --a------ c:\windows\system32\pngu3263.dll

2008-10-16 14:19 . 2007-12-08 23:32 131,072 --a------ c:\windows\system32\pneng50.dll

2008-10-16 14:19 . 2007-12-08 23:32 130,560 --a------ c:\windows\system32\pnc3250.dll

2008-10-16 14:19 . 2007-12-08 23:32 87,040 --a------ c:\windows\system32\ra32sipr.dll

2008-10-16 14:19 . 2007-12-08 23:32 85,504 --a------ c:\windows\system32\encdnet.dll

2008-10-16 14:19 . 2007-12-08 23:32 81,920 --a------ c:\windows\system32\ra3214_4.dll

2008-10-16 14:19 . 2007-12-08 23:32 72,704 --a------ c:\windows\system32\ra3228_8.dll

2008-10-16 14:19 . 2007-12-08 23:32 61,952 --a------ c:\windows\system32\decdnet.dll

2008-10-16 14:19 . 2007-12-08 23:32 21,504 --a------ c:\windows\system32\ra32dnet.dll

2008-10-16 14:17 . 2008-10-16 14:17 <REP> d-------- c:\program files\Syncrosoft

2008-10-16 14:17 . 2005-11-08 19:02 708,608 --a------ c:\windows\system32\SYNSOACC.dll

2008-10-16 14:17 . 2005-11-08 10:20 147,456 --a------ c:\windows\system32\SynsoLChk.dll

2008-10-16 14:17 . 2003-07-31 18:28 147,425 --a------ c:\windows\system32\SYNSOACC-Aide.chm

2008-10-16 14:17 . 2003-05-26 13:29 120,468 --a------ c:\windows\system32\SYNSOACC-Hilfe.chm

2008-10-16 14:17 . 2003-05-26 13:29 114,279 --a------ c:\windows\system32\SYNSOACC-Help.chm

2008-10-16 14:17 . 2005-11-03 16:14 45,056 --a------ c:\windows\system32\Synsopos.exe

2008-10-16 14:17 . 2005-05-09 19:08 33,792 --a------ c:\windows\system32\drivers\cledx.sys

2008-10-16 14:17 . 2005-11-03 11:17 16,896 --a------ c:\windows\system32\drivers\synasUSB.sys

2008-10-16 13:48 . 2008-10-16 13:48 <REP> d-------- c:\documents and settings\admin\Application Data\OpenOffice.org

2008-10-16 13:44 . 2008-10-16 13:44 <REP> d-------- c:\program files\OpenOffice.org 3

2008-10-16 13:44 . 2008-10-16 13:44 <REP> d-------- c:\program files\JRE

2008-10-16 13:44 . 2008-06-10 01:32 73,728 --a------ c:\windows\system32\javacpl.cpl

2008-10-16 13:29 . 2008-10-16 13:29 754 --a------ c:\windows\WORDPAD.INI

2008-10-16 12:21 . 2008-10-16 12:21 <REP> d-------- c:\documents and settings\admin\Application Data\Publish Providers

2008-10-16 12:19 . 2008-10-17 11:50 <REP> d-------- c:\program files\Sony

2008-10-16 12:19 . 2008-10-16 12:19 <REP> d-------- c:\documents and settings\admin\Application Data\Sony

2008-10-16 11:28 . 2008-08-14 14:23 2,191,232 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2008-10-16 11:28 . 2008-08-14 14:23 2,147,328 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2008-10-16 11:28 . 2008-08-14 14:23 2,068,096 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2008-10-16 11:28 . 2008-08-14 14:23 2,025,984 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2008-10-16 11:28 . 2008-09-15 16:26 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys

2008-10-16 11:28 . 2008-09-08 11:41 333,824 --------- c:\windows\system32\dllcache\srv.sys

2008-10-13 15:04 . 2008-10-13 15:04 <REP> d-------- c:\program files\Lavalys

2008-10-13 14:57 . 2008-10-13 14:57 <REP> d-------- c:\program files\Panda Security

2008-10-13 14:57 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys

2008-10-13 13:41 . 2008-11-03 11:57 <REP> d-------- c:\windows\BDOSCAN8

2008-10-10 13:42 . 2008-10-10 13:42 <REP> d-------- c:\program files\ToniArts

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-04 09:38 66,113 ----a-w c:\windows\system32\drivers\fwdrv.err

2008-11-03 16:40 --------- d-----w c:\program files\BAE

2008-11-03 13:30 --------- d-----w c:\documents and settings\admin\Application Data\FileZilla

2008-10-27 10:28 --------- d-----w c:\program files\Intel

2008-10-24 10:01 122,880 ----a-w C:\VaccinUSB.exe

2008-10-21 13:42 --------- d-----w c:\program files\NCH Swift Sound

2008-10-17 15:41 --------- d-----w c:\program files\Lavasoft

2008-10-17 15:40 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2008-10-16 13:19 --------- d-----w c:\program files\Steinberg

2008-10-16 12:44 --------- d-----w c:\program files\Java

2008-10-11 15:02 --------- d-----w c:\documents and settings\admin\Application Data\U3

2008-10-10 12:42 --------- d--h--w c:\program files\InstallShield Installation Information

2008-10-10 12:42 --------- d-----w c:\program files\Fichiers communs\InstallShield

2008-09-30 18:31 --------- d-----w c:\program files\FileZilla FTP Client

2008-09-30 10:50 --------- d-----w c:\documents and settings\All Users\Application Data\Audio Damage

2008-09-23 18:36 --------- d-----w c:\documents and settings\campus\Application Data\FileZilla

2008-09-11 12:03 --------- d-----w c:\program files\pd

2008-09-09 12:15 --------- d-----w c:\program files\NCH Software

2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys

2008-06-03 09:42 47,360 ----a-w c:\documents and settings\admin\Application Data\pcouffin.sys

2008-05-19 19:47 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051920080520\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"H2O"="c:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2007-12-11 307200]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

MMAUSBCM.LNK - c:\windows\system\MMAUSBCM.exe [2008-10-28 73728]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

--a------ 2006-01-02 18:41 45056 c:\program files\ATI Technologies\ATI.ACE\CLI.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]

--a------ 2006-07-24 18:20 282624 c:\windows\stsystra.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544]

R1 Asapi;Asapi;c:\windows\system32\drivers\Asapi.sys [2002-04-17 11264]

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2007-04-26 302000]

R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [2007-04-26 72624]

R2 NMSAccessU;NMSAccessU;c:\program files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]

R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]

R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\DRIVERS\cledx.sys [2005-05-09 33792]

R3 MMAUSB;M-Audio USB ASIO Driver;c:\windows\system32\Drivers\MMAUSB.SYS [2008-10-28 18560]

R3 P1130VID;Creative WebCam NX Pro;c:\windows\system32\DRIVERS\P1130Vid.sys [2003-06-11 90229]

R3 USBSTOR;Pilote de stockage de masse USB;c:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [ ]

S3 LMASFltr;LMASFltr;c:\windows\system32\drivers\LMASFltr.sys [2008-10-28 13684]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-07-25 191656]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{149c22b8-07c0-11dd-b2ea-0019d12643ff}]

\Shell\AutoRun\command - .\Encryption Tool\MaxtorEncryption.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cba2ff3-96b8-11dd-b384-0019d12643ff}]

\Shell\AutoRun\command - E:\run.bat

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cba2ff6-96b8-11dd-b384-0019d12643ff}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b4a2bcc-16da-11dd-b300-0019d12643ff}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e

\Shell\Open\command - Boot.exe e

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d3b0a58-a99b-11dd-b3b7-0019d12643ff}]

\Shell\AutoRun\command - E:\

\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{776564e4-fcb4-11dc-b2db-0019d12643ff}]

\Shell\AutoRun\command - E:\LaunchU3.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{776564e5-fcb4-11dc-b2db-0019d12643ff}]

\Shell\AutoRun\command - F:\tknn6.bat

\Shell\explore\Command - F:\tknn6.bat

\Shell\open\Command - F:\tknn6.bat

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9ddbe51-f738-11dc-b2d8-0019d12643ff}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

.

- - - - ORPHELINS SUPPRIMES - - - -

 

WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)

 

 

.

------- Examen supplémentaire -------

.

FireFox -: Profile - c:\documents and settings\admin\Application Data\Mozilla\Firefox\Profiles\rbfwkua8.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.campusgrenoble.org/

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-04 11:11:18

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\windows\system32\tcpsvcs.exe

c:\windows\system32\wdfmgr.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe

.

**************************************************************************

.

Heure de fin: 2008-11-04 11:17:17 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-04 10:17:10

 

Avant-CF: 26 828 591 104 octets libres

Après-CF: 26,745,016,320 octets libres

 

243 --- E O F --- 2008-10-24 14:46:16

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

Killall::

 

File::

F:\tknn6.bat

E:\LaunchU3.exe

E:\run.bat

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cba2ff3-96b8-11dd-b384-0019d12643ff}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cba2ff6-96b8-11dd-b384-0019d12643ff}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b4a2bcc-16da-11dd-b300-0019d12643ff}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d3b0a58-a99b-11dd-b3b7-0019d12643ff}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{776564e4-fcb4-11dc-b2db-0019d12643ff}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{776564e5-fcb4-11dc-b2db-0019d12643ff}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9ddbe51-f738-11dc-b2d8-0019d12643ff}]

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

img-191202xzrpd.gif

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...