Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection et redirection go.google

Buguézen

Par Buguézen
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
faut-il que j'élimine le pilote infectieux

je n'arrive toujours pas à lancer de restaurations system ?

Chaque chose en son temps

 

Vous allez télécharger Combofix.

Si vous utilez Combofix pour détruire Bagle ou tdsserv,Renommez Combofix

Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix, s'il est sur votre machine.

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir -> votre nom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

En cas de problème, :

méthode illustrée

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié par pear

Buguézen Member

Buguézen

Posté(e)
  • Auteur
Posté(e)
Chaque chose en son temps

 

Vous allez télécharger Combofix.

Si vous utilez Combofix pour détruire Bagle ou tdsserv,Renommez Combofix

Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix, s'il est sur votre machine.

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir -> votre nom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

En cas de problème, :

méthode illustrée

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

Bonjour,

 

Je vous adresse donc le rapport de Combofix en 2 fois et attends vos instructions... pour notre prochain échange... des jours prochains parce qu'aujourd'hui c'est jour spécial :P c'est Noël, donc je vous souhaite de très bonne fêtes donc je n'abuserais pas de votre temps en ce jour. Je reprendrais le cours de vos instructions après le réveillon passé. Mille merci à vous. A bientôt...

 

 

1er post :

 

 

ComboFix 08-12-23.01 - mastho 2008-12-24 12:41:25.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1590 [GMT 1:00]

Lancé depuis: c:\documents and settings\mastho\Bureau\Fixdupont.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\a3kebook.ini

c:\windows\akebook.ini

c:\windows\ANS2000.INI

c:\windows\system\oeminfo.ini

c:\windows\system32\ajtflwvfui.dll

c:\windows\system32\TDSSosvd.dat

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_PACKET

-------\Legacy_TDSSSERV.SYS

-------\Service_Packet

-------\Service_TDSSserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\documents and settings\mastho\Application Data\Malwarebytes

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-23 17:42 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-23 17:42 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-23 11:58 . 2008-12-23 11:58 <REP> d-------- c:\program files\Lavasoft

2008-12-23 08:51 . 2008-12-23 08:51 56,726 --a------ c:\windows\system32\ajtflwvfui.dll-uninst.exe

2008-12-08 14:59 . 2008-12-20 22:48 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-08 14:59 . 2008-12-08 14:59 1,409 --a------ c:\windows\QTFont.for

2008-12-07 09:41 . 2008-12-07 09:41 <REP> d-------- c:\program files\Fichiers communs\SWF Studio

2008-11-24 20:38 . 2008-11-24 20:38 <REP> d-------- c:\documents and settings\All Users\Application Data\MSScanAppDataDir

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-24 11:33 --------- d-----w c:\program files\Dl_cats

2008-12-23 18:13 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-22 16:09 --------- d-----w c:\program files\McAfee

2008-12-03 15:59 --------- d-----w c:\documents and settings\mastho\Application Data\OpenOffice.org2

2008-11-30 10:54 --------- d-----w c:\documents and settings\Céline\Application Data\OpenOffice.org2

2008-11-27 09:52 --------- d-----w c:\program files\MSN Messenger

2008-11-15 09:30 --------- d-----w c:\program files\MSECache

2008-11-10 09:49 --------- d-----w c:\program files\QuickTime

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-03-14 10:15 154,874 ----a-w c:\program files\Windows Live Hotmail.mht

2007-04-02 11:08 22,845,992 ----a-w c:\program files\AdbeRdr80_fr_FR.exe

2007-03-21 20:46 99,391,568 ----a-w c:\program files\OpenOffice.exe

2007-03-15 10:06 2,855,080 ----a-w c:\program files\aawsepersonal.exe

2007-02-26 13:41 698 ----a-w c:\documents and settings\mastho\Application Data\wklnhst.dat

2007-02-18 08:28 591,400 ----a-w c:\program files\DMSetupMcAfeespamkiller18-02-2007.exe

2007-01-20 11:48 42,496 ----a-w c:\documents and settings\mastho\Application Data\GDIPFONTCACHEV1.DAT

2006-11-25 19:10 251 ----a-w c:\program files\wt3d.ini

2007-01-19 17:28 168 --sh--r c:\windows\system32\BD921B16AF.sys

2007-01-20 17:06 5 --sha-w c:\windows\system32\fcfdfcbfe5_g.dll

2007-01-19 17:28 7,514 --sha-w c:\windows\system32\KGyGaAvL.sys

2008-08-05 14:33 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008080520080806\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]

"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]

"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]

"DLCCCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2005-09-14 73728]

"Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 28738]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-02-16 385024]

 

c:\documents and settings\C‚line\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk.disabled [2007-03-28 876]

 

c:\documents and settings\mastho\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk.disabled [2007-03-21 876]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Dell Network Assistant.lnk.disabled [2007-01-21 2333]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-11-13 24576]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

Lancement rapide d'Adobe Reader.lnk.disabled [2006-11-13 1757]

Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2003-08-06 51776]

Lancement rapide de Microsoft Office OneNote 2003.lnk.disabled [2007-01-18 1803]

Microsoft Office.lnk.disabled [2007-01-20 1740]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe"

"Corel Photo Downloader"=c:\program files\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe

"Google Desktop Search"="c:\program files\google\google desktop search\googledesktop.exe" /startup

"ISUSPM Startup"=c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

"Microsoft Works Portfolio"=c:\program files\Microsoft Works\WksSb.exe /AllUsers

"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_10\bin\jusched.exe"

"WorksFUD"=c:\program files\Microsoft Works\wkfud.exe

"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe"

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"dlccmon.exe"="c:\program files\Dell Photo AIO Printer 924\dlccmon.exe"

"DMXLauncher"=c:\program files\Dell\Media Experience\DMXLauncher.exe

"ehTray"=c:\windows\ehome\ehtray.exe

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

"SigmatelSysTrayApp"=stsystra.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Dell Network Assistant\\ezi_hnm2.exe"=

"c:\\WINDOWS\\system32\\dlcccoms.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\dlccPSWX.EXE"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol

"10426:UDP"= 10426:UDP:SingleClick ICC

"135:TCP"= 135:TCP:TCP Port 135

"5000:TCP"= 5000:TCP:TCP Port 5000

"5001:TCP"= 5001:TCP:TCP Port 5001

"5002:TCP"= 5002:TCP:TCP Port 5002

"5003:TCP"= 5003:TCP:TCP Port 5003

"5004:TCP"= 5004:TCP:TCP Port 5004

"5005:TCP"= 5005:TCP:TCP Port 5005

"5006:TCP"= 5006:TCP:TCP Port 5006

"5007:TCP"= 5007:TCP:TCP Port 5007

"5008:TCP"= 5008:TCP:TCP Port 5008

"5009:TCP"= 5009:TCP:TCP Port 5009

"5010:TCP"= 5010:TCP:TCP Port 5010

"5011:TCP"= 5011:TCP:TCP Port 5011

"5012:TCP"= 5012:TCP:TCP Port 5012

"5013:TCP"= 5013:TCP:TCP Port 5013

"5014:TCP"= 5014:TCP:TCP Port 5014

"5015:TCP"= 5015:TCP:TCP Port 5015

"5016:TCP"= 5016:TCP:TCP Port 5016

"5017:TCP"= 5017:TCP:TCP Port 5017

"5018:TCP"= 5018:TCP:TCP Port 5018

"5019:TCP"= 5019:TCP:TCP Port 5019

"5020:TCP"= 5020:TCP:TCP Port 5020

"1889:UDP"= 1889:UDP:Windows Media Format SDK (iexplore.exe)

"1888:UDP"= 1888:UDP:Windows Media Format SDK (iexplore.exe)

"1910:UDP"= 1910:UDP:Windows Media Format SDK (iexplore.exe)

 

R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\DRIVERS\hnm_wrls_pkt.sys [2006-01-12 13696]

R2 wsppkt;Wireless Security Protocol;c:\windows\system32\DRIVERS\wsp_pkt.sys [2006-01-12 13568]

.

Contenu du dossier 'Tâches planifiées'

 

2007-09-14 c:\windows\Tasks\McDefragTask.job

- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

 

2008-03-31 c:\windows\Tasks\McQcTask.job

- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

 

2008-12-23 c:\windows\Tasks\MSK_ABImport_Daily_mastho.job

- c:\windows\system32\rundll32.exe [2008-04-14 03:34]

 

Bonjour,

 

Je vous adresse donc le rapport de Combofix en 2 fois et attends vos instructions... pour notre prochain échange... des jours prochains parce qu'aujourd'hui c'est jour spécial :P c'est Noël, donc je vous souhaite de très bonne fêtes donc je n'abuserais pas de votre temps en ce jour. Je reprendrais le cours de vos instructions après le réveillon passé. Mille merci à vous. A bientôt...

 

 

1er post :

 

 

ComboFix 08-12-23.01 - mastho 2008-12-24 12:41:25.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1590 [GMT 1:00]

Lancé depuis: c:\documents and settings\mastho\Bureau\Fixdupont.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\a3kebook.ini

c:\windows\akebook.ini

c:\windows\ANS2000.INI

c:\windows\system\oeminfo.ini

c:\windows\system32\ajtflwvfui.dll

c:\windows\system32\TDSSosvd.dat

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_PACKET

-------\Legacy_TDSSSERV.SYS

-------\Service_Packet

-------\Service_TDSSserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\documents and settings\mastho\Application Data\Malwarebytes

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-23 17:42 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-23 17:42 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-23 11:58 . 2008-12-23 11:58 <REP> d-------- c:\program files\Lavasoft

2008-12-23 08:51 . 2008-12-23 08:51 56,726 --a------ c:\windows\system32\ajtflwvfui.dll-uninst.exe

2008-12-08 14:59 . 2008-12-20 22:48 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-08 14:59 . 2008-12-08 14:59 1,409 --a------ c:\windows\QTFont.for

2008-12-07 09:41 . 2008-12-07 09:41 <REP> d-------- c:\program files\Fichiers communs\SWF Studio

2008-11-24 20:38 . 2008-11-24 20:38 <REP> d-------- c:\documents and settings\All Users\Application Data\MSScanAppDataDir

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-24 11:33 --------- d-----w c:\program files\Dl_cats

2008-12-23 18:13 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-22 16:09 --------- d-----w c:\program files\McAfee

2008-12-03 15:59 --------- d-----w c:\documents and settings\mastho\Application Data\OpenOffice.org2

2008-11-30 10:54 --------- d-----w c:\documents and settings\Céline\Application Data\OpenOffice.org2

2008-11-27 09:52 --------- d-----w c:\program files\MSN Messenger

2008-11-15 09:30 --------- d-----w c:\program files\MSECache

2008-11-10 09:49 --------- d-----w c:\program files\QuickTime

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-03-14 10:15 154,874 ----a-w c:\program files\Windows Live Hotmail.mht

2007-04-02 11:08 22,845,992 ----a-w c:\program files\AdbeRdr80_fr_FR.exe

2007-03-21 20:46 99,391,568 ----a-w c:\program files\OpenOffice.exe

2007-03-15 10:06 2,855,080 ----a-w c:\program files\aawsepersonal.exe

2007-02-26 13:41 698 ----a-w c:\documents and settings\mastho\Application Data\wklnhst.dat

2007-02-18 08:28 591,400 ----a-w c:\program files\DMSetupMcAfeespamkiller18-02-2007.exe

2007-01-20 11:48 42,496 ----a-w c:\documents and settings\mastho\Application Data\GDIPFONTCACHEV1.DAT

2006-11-25 19:10 251 ----a-w c:\program files\wt3d.ini

2007-01-19 17:28 168 --sh--r c:\windows\system32\BD921B16AF.sys

2007-01-20 17:06 5 --sha-w c:\windows\system32\fcfdfcbfe5_g.dll

2007-01-19 17:28 7,514 --sha-w c:\windows\system32\KGyGaAvL.sys

2008-08-05 14:33 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008080520080806\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]

"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]

"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]

"DLCCCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2005-09-14 73728]

"Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 28738]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-02-16 385024]

 

c:\documents and settings\C‚line\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk.disabled [2007-03-28 876]

 

c:\documents and settings\mastho\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk.disabled [2007-03-21 876]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Dell Network Assistant.lnk.disabled [2007-01-21 2333]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-11-13 24576]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

Lancement rapide d'Adobe Reader.lnk.disabled [2006-11-13 1757]

Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2003-08-06 51776]

Lancement rapide de Microsoft Office OneNote 2003.lnk.disabled [2007-01-18 1803]

Microsoft Office.lnk.disabled [2007-01-20 1740]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe"

"Corel Photo Downloader"=c:\program files\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe

"Google Desktop Search"="c:\program files\google\google desktop search\googledesktop.exe" /startup

"ISUSPM Startup"=c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

"Microsoft Works Portfolio"=c:\program files\Microsoft Works\WksSb.exe /AllUsers

"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_10\bin\jusched.exe"

"WorksFUD"=c:\program files\Microsoft Works\wkfud.exe

"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe"

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"dlccmon.exe"="c:\program files\Dell Photo AIO Printer 924\dlccmon.exe"

"DMXLauncher"=c:\program files\Dell\Media Experience\DMXLauncher.exe

"ehTray"=c:\windows\ehome\ehtray.exe

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

"SigmatelSysTrayApp"=stsystra.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Dell Network Assistant\\ezi_hnm2.exe"=

"c:\\WINDOWS\\system32\\dlcccoms.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\dlccPSWX.EXE"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol

"10426:UDP"= 10426:UDP:SingleClick ICC

"135:TCP"= 135:TCP:TCP Port 135

"5000:TCP"= 5000:TCP:TCP Port 5000

"5001:TCP"= 5001:TCP:TCP Port 5001

"5002:TCP"= 5002:TCP:TCP Port 5002

"5003:TCP"= 5003:TCP:TCP Port 5003

"5004:TCP"= 5004:TCP:TCP Port 5004

"5005:TCP"= 5005:TCP:TCP Port 5005

"5006:TCP"= 5006:TCP:TCP Port 5006

"5007:TCP"= 5007:TCP:TCP Port 5007

"5008:TCP"= 5008:TCP:TCP Port 5008

"5009:TCP"= 5009:TCP:TCP Port 5009

"5010:TCP"= 5010:TCP:TCP Port 5010

"5011:TCP"= 5011:TCP:TCP Port 5011

"5012:TCP"= 5012:TCP:TCP Port 5012

"5013:TCP"= 5013:TCP:TCP Port 5013

"5014:TCP"= 5014:TCP:TCP Port 5014

"5015:TCP"= 5015:TCP:TCP Port 5015

"5016:TCP"= 5016:TCP:TCP Port 5016

"5017:TCP"= 5017:TCP:TCP Port 5017

"5018:TCP"= 5018:TCP:TCP Port 5018

"5019:TCP"= 5019:TCP:TCP Port 5019

"5020:TCP"= 5020:TCP:TCP Port 5020

"1889:UDP"= 1889:UDP:Windows Media Format SDK (iexplore.exe)

"1888:UDP"= 1888:UDP:Windows Media Format SDK (iexplore.exe)

"1910:UDP"= 1910:UDP:Windows Media Format SDK (iexplore.exe)

 

R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\DRIVERS\hnm_wrls_pkt.sys [2006-01-12 13696]

R2 wsppkt;Wireless Security Protocol;c:\windows\system32\DRIVERS\wsp_pkt.sys [2006-01-12 13568]

.

Contenu du dossier 'Tâches planifiées'

 

2007-09-14 c:\windows\Tasks\McDefragTask.job

- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

 

2008-03-31 c:\windows\Tasks\McQcTask.job

- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

 

2008-12-23 c:\windows\Tasks\MSK_ABImport_Daily_mastho.job

- c:\windows\system32\rundll32.exe [2008-04-14 03:34]

 

 

... 2e post :

 

suite et fin du rapport ComboFix

 

 

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-24 12:44:14

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

DLCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(744)

c:\windows\system32\ATL.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\ehome\ehrecvr.exe

c:\windows\ehome\ehSched.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\progra~1\McAfee\MSC\mcmscsvc.exe

c:\program files\Fichiers communs\McAfee\MNA\McNASvc.exe

c:\progra~1\FICHIE~1\McAfee\McProxy\McProxy.exe

c:\progra~1\McAfee\VIRUSS~1\Mcshield.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE

c:\program files\McAfee\MPF\MpfSrv.exe

c:\program files\McAfee\MSK\msksrver.exe

c:\windows\system32\ufdsvc.exe

c:\windows\ehome\mcrdsvc.exe

c:\windows\system32\dllhost.exe

c:\windows\system32\wscntfy.exe

c:\progra~1\McAfee\MSC\mcuimgr.exe

.

**************************************************************************

.

Heure de fin: 2008-12-24 12:49:28 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-12-24 11:49:19

 

Avant-CF: 201 975 726 080 octets libres

Après-CF: 201,919,369,216 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

 

220 --- E O F --- 2008-12-18 07:41:09

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Pendant que c'est chaud!

Vous le ferez quand vous voudrez.

Si je vous oublie, postez un "UP"

 

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

c:\program files\wt3d.ini

c:\windows\system32\BD921B16AF.sys

c:\windows\system32\fcfdfcbfe5_g.dll

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

img-191202xzrpd.gif

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

b]Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky[/b]

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

Modifié par pear
Buguézen Member

Buguézen

Posté(e)
  • Auteur
Posté(e)
Bonjour,

 

Pendant que c'est chaud!

Vous le ferez quand vous voudrez.

Si je vous oublie, postez un "UP"

 

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

c:\program files\wt3d.ini

c:\windows\system32\BD921B16AF.sys

c:\windows\system32\fcfdfcbfe5_g.dll

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

img-191202xzrpd.gif

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

b]Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky[/b]

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

 

Bonsoir,

 

voici donc les 2 rapports :

 

le rapport ComboFix :

 

ComboFix 08-12-23.01 - mastho 2008-12-24 16:17:35.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1497 [GMT 1:00]

Lancé depuis: c:\documents and settings\mastho\Bureau\Fixdupont.exe

Commutateurs utilisés :: c:\documents and settings\mastho\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

c:\program files\wt3d.ini

c:\windows\system32\BD921B16AF.sys

c:\windows\system32\fcfdfcbfe5_g.dll

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\documents and settings\mastho\Application Data\Malwarebytes

2008-12-23 17:42 . 2008-12-23 17:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-23 17:42 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-23 17:42 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-23 11:58 . 2008-12-23 11:58 <REP> d-------- c:\program files\Lavasoft

2008-12-23 08:51 . 2008-12-23 08:51 56,726 --a------ c:\windows\system32\ajtflwvfui.dll-uninst.exe

2008-12-08 14:59 . 2008-12-20 22:48 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-08 14:59 . 2008-12-08 14:59 1,409 --a------ c:\windows\QTFont.for

2008-12-07 09:41 . 2008-12-07 09:41 <REP> d-------- c:\program files\Fichiers communs\SWF Studio

2008-11-24 20:38 . 2008-11-24 20:38 <REP> d-------- c:\documents and settings\All Users\Application Data\MSScanAppDataDir

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-24 14:36 --------- d-----w c:\program files\Dl_cats

2008-12-23 18:13 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-22 16:09 --------- d-----w c:\program files\McAfee

2008-12-03 15:59 --------- d-----w c:\documents and settings\mastho\Application Data\OpenOffice.org2

2008-11-30 10:54 --------- d-----w c:\documents and settings\Céline\Application Data\OpenOffice.org2

2008-11-27 09:52 --------- d-----w c:\program files\MSN Messenger

2008-11-15 09:30 --------- d-----w c:\program files\MSECache

2008-11-10 09:49 --------- d-----w c:\program files\QuickTime

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-03-14 10:15 154,874 ----a-w c:\program files\Windows Live Hotmail.mht

2007-04-02 11:08 22,845,992 ----a-w c:\program files\AdbeRdr80_fr_FR.exe

2007-03-21 20:46 99,391,568 ----a-w c:\program files\OpenOffice.exe

2007-03-15 10:06 2,855,080 ----a-w c:\program files\aawsepersonal.exe

2007-02-26 13:41 698 ----a-w c:\documents and settings\mastho\Application Data\wklnhst.dat

2007-02-18 08:28 591,400 ----a-w c:\program files\DMSetupMcAfeespamkiller18-02-2007.exe

2007-01-20 11:48 42,496 ----a-w c:\documents and settings\mastho\Application Data\GDIPFONTCACHEV1.DAT

2007-01-19 17:28 7,514 --sha-w c:\windows\system32\KGyGaAvL.sys

2008-08-05 14:33 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008080520080806\index.dat

.

 

((((((((((((((((((((((((((((( snapshot@2008-12-24_12.48.50.12 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-12-24 07:20:39 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2008-12-24 12:17:01 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2008-12-24 07:20:39 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2008-12-24 12:17:01 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2008-12-24 07:20:39 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2008-12-24 12:17:01 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]

"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]

"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]

"DLCCCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2005-09-14 73728]

"Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 28738]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-02-16 385024]

 

c:\documents and settings\C‚line\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk.disabled [2007-03-28 876]

 

c:\documents and settings\mastho\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk.disabled [2007-03-21 876]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Dell Network Assistant.lnk.disabled [2007-01-21 2333]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-11-13 24576]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

Lancement rapide d'Adobe Reader.lnk.disabled [2006-11-13 1757]

Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2003-08-06 51776]

Lancement rapide de Microsoft Office OneNote 2003.lnk.disabled [2007-01-18 1803]

Microsoft Office.lnk.disabled [2007-01-20 1740]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe"

"Corel Photo Downloader"=c:\program files\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe

"Google Desktop Search"="c:\program files\google\google desktop search\googledesktop.exe" /startup

"ISUSPM Startup"=c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

"Microsoft Works Portfolio"=c:\program files\Microsoft Works\WksSb.exe /AllUsers

"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_10\bin\jusched.exe"

"WorksFUD"=c:\program files\Microsoft Works\wkfud.exe

"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe"

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"dlccmon.exe"="c:\program files\Dell Photo AIO Printer 924\dlccmon.exe"

"DMXLauncher"=c:\program files\Dell\Media Experience\DMXLauncher.exe

"ehTray"=c:\windows\ehome\ehtray.exe

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

"SigmatelSysTrayApp"=stsystra.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Dell Network Assistant\\ezi_hnm2.exe"=

"c:\\WINDOWS\\system32\\dlcccoms.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\dlccPSWX.EXE"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol

"10426:UDP"= 10426:UDP:SingleClick ICC

"135:TCP"= 135:TCP:TCP Port 135

"5000:TCP"= 5000:TCP:TCP Port 5000

"5001:TCP"= 5001:TCP:TCP Port 5001

"5002:TCP"= 5002:TCP:TCP Port 5002

"5003:TCP"= 5003:TCP:TCP Port 5003

"5004:TCP"= 5004:TCP:TCP Port 5004

"5005:TCP"= 5005:TCP:TCP Port 5005

"5006:TCP"= 5006:TCP:TCP Port 5006

"5007:TCP"= 5007:TCP:TCP Port 5007

"5008:TCP"= 5008:TCP:TCP Port 5008

"5009:TCP"= 5009:TCP:TCP Port 5009

"5010:TCP"= 5010:TCP:TCP Port 5010

"5011:TCP"= 5011:TCP:TCP Port 5011

"5012:TCP"= 5012:TCP:TCP Port 5012

"5013:TCP"= 5013:TCP:TCP Port 5013

"5014:TCP"= 5014:TCP:TCP Port 5014

"5015:TCP"= 5015:TCP:TCP Port 5015

"5016:TCP"= 5016:TCP:TCP Port 5016

"5017:TCP"= 5017:TCP:TCP Port 5017

"5018:TCP"= 5018:TCP:TCP Port 5018

"5019:TCP"= 5019:TCP:TCP Port 5019

"5020:TCP"= 5020:TCP:TCP Port 5020

"1889:UDP"= 1889:UDP:Windows Media Format SDK (iexplore.exe)

"1888:UDP"= 1888:UDP:Windows Media Format SDK (iexplore.exe)

"1910:UDP"= 1910:UDP:Windows Media Format SDK (iexplore.exe)

 

R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\DRIVERS\hnm_wrls_pkt.sys [2006-01-12 13696]

R2 wsppkt;Wireless Security Protocol;c:\windows\system32\DRIVERS\wsp_pkt.sys [2006-01-12 13568]

.

Contenu du dossier 'Tâches planifiées'

 

2007-09-14 c:\windows\Tasks\McDefragTask.job

- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

 

2008-03-31 c:\windows\Tasks\McQcTask.job

- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

 

2008-12-23 c:\windows\Tasks\MSK_ABImport_Daily_mastho.job

- c:\windows\system32\rundll32.exe [2008-04-14 03:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-24 16:20:17

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

DLCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\ehome\ehrecvr.exe

c:\windows\ehome\ehSched.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\progra~1\McAfee\MSC\mcmscsvc.exe

c:\program files\Fichiers communs\McAfee\MNA\McNASvc.exe

c:\progra~1\FICHIE~1\McAfee\McProxy\McProxy.exe

c:\progra~1\McAfee\VIRUSS~1\Mcshield.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE

c:\program files\McAfee\MPF\MpfSrv.exe

c:\program files\McAfee\MSK\msksrver.exe

c:\windows\system32\ufdsvc.exe

c:\windows\ehome\mcrdsvc.exe

c:\windows\system32\dllhost.exe

c:\windows\system32\wscntfy.exe

c:\progra~1\McAfee\MSC\mcuimgr.exe

.

**************************************************************************

.

Heure de fin: 2008-12-24 16:26:00 - La machine a redémarré [mastho]

ComboFix-quarantined-files.txt 2008-12-24 15:25:54

ComboFix2.txt 2008-12-24 14:52:57

ComboFix3.txt 2008-12-24 11:49:29

 

Avant-CF: 201 792 380 928 octets libres

Après-CF: 201,834,528,768 octets libres

 

207 --- E O F --- 2008-12-18 07:41:09

 

 

et...

Buguézen Member

Buguézen

Posté(e)
  • Auteur
Posté(e)

... le 2è rapport Kaspersky :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Wednesday, December 24, 2008

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, December 24, 2008 01:11:44

Records in database: 1507057

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

 

Scan statistics:

Files scanned: 74658

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 00:56:21

 

No malware has been detected. The scan area is clean.

 

The selected area was scanned.

pear Devil Member !

pear

Posté(e)
Posté(e)
No malware has been detected. The scan area is clean.

 

C'est bon. :P

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

Buguézen Member

Buguézen

Posté(e)
  • Auteur
Posté(e)
C'est bon. :P

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

 

Voici le rapport toolscleaner :

 

 

[ Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\Combofix.txt: trouvé !

C:\Qoobox: trouvé !

C:\Documents and Settings\mastho\Mes documents\Informatique\hijackthis.log: trouvé !

C:\Documents and Settings\mastho\Recent\HijackThis.lnk: trouvé !

C:\WINDOWS\NIRCMD.exe: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\mastho\Recent\HijackThis.lnk: supprimé !

C:\Combofix.txt: supprimé !

C:\Documents and Settings\mastho\Mes documents\Informatique\hijackthis.log: supprimé !

C:\WINDOWS\NIRCMD.exe: supprimé !

C:\Qoobox: supprimé !

 

Corbeille vidée!

Buguézen Member

Buguézen

Posté(e)
  • Auteur
Posté(e) (modifié)
Voici le rapport toolscleaner :

 

 

[ Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\Combofix.txt: trouvé !

C:\Qoobox: trouvé !

C:\Documents and Settings\mastho\Mes documents\Informatique\hijackthis.log: trouvé !

C:\Documents and Settings\mastho\Recent\HijackThis.lnk: trouvé !

C:\WINDOWS\NIRCMD.exe: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\mastho\Recent\HijackThis.lnk: supprimé !

C:\Combofix.txt: supprimé !

C:\Documents and Settings\mastho\Mes documents\Informatique\hijackthis.log: supprimé !

C:\WINDOWS\NIRCMD.exe: supprimé !

C:\Qoobox: supprimé !

 

Corbeille vidée!

 

 

Je ne sais pas comment vous remercier ?! :P

Mais je voudrais savoir encore deux 'tites choses :

 

Dites-moi, les différents rapports , je les ai enregistré sur mon bureau, je peux donc les mettre à la corbeille ? plus d'utilité ?

Et, la restauration system fonctionne à nouveau, c'est magique ! :P

Y a -t-il d'autres chose à faire ? Que faire du pilote dans les périphérique cachés qui étais infectieux et que l'on a désactivé ? Merci à vous...

Modifié par Buguézen
pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

les différents rapports , je les ai enregistré sur mon bureau, je peux donc les mettre à la corbeille

 

OUI, bien sur.

 

Que faire du pilote dans les périphérique cachés qui étais infectieux et que l'on a désactivé ?

 

Il est encore là ?

Normalement, combofix le supprime, non ?

Buguézen Member

Buguézen

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonsoir,

 

 

 

OUI, bien sur.

 

 

 

Il est encore là ?

Normalement, combofix le supprime, non ?

 

 

Bonsoir Pear,

 

Oui autant pour moi, effectivement le pilote à été supprimé :P

Je vous remercie beaucoup pour tout ce temps que vous consacrez à ce site si indispensable pour des néophites tels que moi...

Voilà, je suis amené à modifier ce message : je pensais que tout étais bon, mais j'ai une dernière question avant d'indiquer le sujet comme résolu : par acquis de conscience j'ai relancé un scan avec Malwarebyte, et dans le même temps mon anti-virus McAfee me laisse sans cesse une alerte. Il détecte un programme malveillant nommé Tool-NirCmd. Est-ce en rapport avec le scan que je suis en train de faire avec Malwarebyte ?

Modifié par Buguézen

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...