Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC infesté par security alerte et redirection

pounette

Par pounette
dans Analyses et éradication malwares

 Partager

Messages recommandés

pounette Member

pounette

Posté(e)
  • Auteur
Posté(e) (modifié)

j'ai bien lu ton message

tu entends quoi par connecter les supports amovibles ? (clé USB perso et disque dur externe ? )

gros problème quand je clique sur les 2 liens je tombe sur "la connection à échouée"dans les 2 cas

 

en mode sans echec impossible de lancer MBAM

mbam.exe

message qui apparait : un périphérique au système ne fonctionne pas correctement :P

Modifié par pounette

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)
tu entends quoi par connecter les supports amovibles ? (clé USB perso et disque dur externe ? )
Oui, c'est d'ailleurs ce que j'ai indiqué.

 

Bon je vais faire pareil pour ComboFix; je le prends, le renomme et l'héberge.

 

http://www.sendspace.com/file/jwbp2g

 

 

Je vais toujours en héberger un autre car tout cela me semble bien compliqué; ces troyens deviennent de plus en plus vicieux.

pounette Member

pounette

Posté(e)
  • Auteur
Posté(e) (modifié)

merci j'ai bien récupéré le fichier

comme j'ai un peu peur de faire des conneries toute seule j'ai un copain qui passe demain après midi je crois que je vais faire avec lui il s'y connait mieux que moi (surtout que moi je sais même pas désactiver les antivirus et autres programmes )

j'imprime tout ce que tu m'as dit de faire

tu peux me dire comment récupérer la connexion si je la perds après le passage de Combofix car le lien ne marche pas (je croix que c'est à cause du virus que j'ai chopé

merci beaucoup

je posterai des que l'on aura fait

Modifié par pounette
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)
tu peux me dire comment récupérer la connexion si je la perds après le passage de Combofix

 

Oui c'est très simple en fait: il suffit d'aller dans le panneau de configuration puis de double cliquer sur connexions réseau puis de faire un clic droit sur connexion au réseau local puis cliquer sur réparer.

 

img-233814iyb9i.jpg

 

Tu peux essayer avec ComboFix renommé, il n'y a pas de risques si tu suis bien mes instructions.

 

Cela permettrait déjà de retrouver pas mal de fonctions.

 

Si tu peux télécharger sur une clé usb sur un autre pc, tu peux télécharger DrWeb Cureit qui est un antivirus sans résident et sans installation.

 

Je vais le renommer également et l'héberger et te donner les instructions d'utilisation.

 

@++

pounette Member

pounette

Posté(e)
  • Auteur
Posté(e)

coucou,

 

après bien du mal, j'ai réussi à avoir un rapport de Combofix :

 

ComboFix 08-12-26.02 - alain 2008-12-27 14:46:34.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.256.80 [GMT 1:00]

Lancé depuis: c:\documents and settings\alain\Bureau\pounette-cf.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Propri‚taire\Local Settings\Temporary Internet Files\

C:\m.exe

c:\program files\delfin

c:\program files\Fichiers communs\WinSoftware

c:\program files\INSTALL.LOG

c:\program files\newdotnet

c:\windows\NDNuninstall4_94.exe

c:\windows\system32\mdm.exe

c:\windows\system32\wintsvtr.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_MSDIRECTX

-------\Legacy_NETMON

-------\Legacy_TDSSSERV.SYS

-------\Service_msdirectx

-------\Service_Netmon

-------\Service_TDSSserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-27 au 2008-12-27 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-26 22:24 . 2008-12-26 22:24 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-26 22:24 . 2008-12-26 22:24 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-26 22:24 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-26 22:24 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-26 15:46 . 2008-12-26 15:46 <REP> d-------- c:\program files\CCleaner

2008-12-24 12:49 . 2008-12-24 12:49 <REP> d-------- c:\program files\Avira

2008-12-24 12:49 . 2008-12-24 12:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-12-24 12:18 . 2008-12-24 12:21 <REP> d-------- c:\program files\Windows Live Safety Center

2008-12-24 11:55 . 2008-12-24 11:55 68,944 --ah----- c:\windows\system32\mlfcache.dat

2008-12-23 11:21 . 2008-12-23 11:21 <REP> d-------- c:\windows\system32\fr-fr

2008-12-23 11:21 . 2008-12-23 11:21 <REP> d-------- c:\windows\system32\fr

2008-12-23 11:21 . 2008-12-23 11:21 <REP> d-------- c:\windows\system32\bits

2008-12-23 11:21 . 2008-12-23 11:21 <REP> d-------- c:\windows\l2schemas

2008-12-22 22:46 . 2008-12-22 22:46 <REP> d-------- c:\documents and settings\All Users\Application Data\LogMeIn

2008-12-22 22:46 . 2008-10-16 20:35 83,288 --a------ c:\windows\system32\LMIRfsClientNP.dll

2008-12-22 22:46 . 2008-07-24 18:46 47,640 --a------ c:\windows\system32\drivers\LMIRfsDriver.sys

2008-12-22 22:46 . 2008-10-16 20:35 28,984 --a------ c:\windows\system32\LMIport.dll

2008-12-22 22:45 . 2008-12-27 09:45 <REP> d-------- c:\program files\LogMeIn

2008-12-22 22:45 . 2008-10-16 20:35 87,352 --a------ c:\windows\system32\LMIinit.dll

2008-12-22 22:45 . 2008-12-22 22:45 1,024 --a------ C:\.rnd

2008-12-22 15:32 . 2008-12-24 13:30 <REP> d-------- c:\documents and settings\All Users\Application Data\434324971

2008-11-29 15:16 . 2008-11-29 15:16 <REP> d-------- c:\documents and settings\alain\Application Data\Red Kawa

2008-11-29 15:13 . 2008-11-29 15:14 <REP> d-------- c:\program files\Red Kawa

2008-11-29 15:13 . 2008-11-29 15:14 <REP> d-------- c:\program files\AviSynth 2.5

2008-11-29 14:57 . 2008-11-29 14:57 <REP> d-------- C:\OpenCandy

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-24 16:29 --------- d-----w c:\program files\Canon

2008-12-24 13:18 --------- d-----w c:\program files\Trillian

2008-12-24 11:03 --------- d-----w c:\program files\MSN Messenger

2008-12-23 11:29 --------- d-----w c:\program files\DivX

2008-12-23 10:08 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-12-23 10:05 --------- d-----w c:\program files\Apple Software Update

2008-12-23 09:57 --------- d-----w c:\program files\Ahead

2008-12-22 22:24 --------- d-----w c:\program files\a2 Free

2008-12-22 22:17 --------- d-----w c:\program files\Microsoft Money 2005

2008-12-22 22:12 --------- d-----w c:\program files\EHMINSTALL

2008-11-26 18:35 --------- d--h--w c:\program files\InstallShield Installation Information

2008-11-10 15:42 --------- d-----w c:\documents and settings\All Users\Application Data\GameHouse

2003-12-29 22:13 40 ----a-w c:\documents and settings\lola\language.dat

1998-08-24 10:09 10,000 ----a-w c:\windows\inf\unregpn.exe

1997-02-17 10:37 171,520 ----a-w c:\documents and settings\lola\CNCS32.dll

2008-12-20 10:42 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll

2008-12-20 10:42 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

2008-12-20 10:42 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll

2008-12-20 10:42 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

2008-12-20 10:42 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Yahoo! Pager"="c:\progra~1\Yahoo!\MESSEN~1\ypager.exe" [2004-08-06 2502656]

"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="NvQTwk" [X]

"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-19 180269]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-07-27 113664]

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-08-21 962660]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2008-10-16 20:35 87352 c:\windows\system32\LMIinit.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

"vidc.i263"= i263_32.drv

"VIDC.AP41"= APmpg4v1.dll

"vidc.dmb1"= m3jpeg32.dll

"vidc.jpeg"= m3jpeg32.dll

"VIDC.HFYU"= huffyuv.dll

"vidc.DIV3"= DivXc32.dll

"vidc.MJPG"= m3jpeg32.dll

"msacm.DivXa32"= divxa32.acm

"vidc.div4"= DivXc32f.dll

"vidc.xvid"= xvid.dll

"vidc.3iv2"= 3ivxVfWCodec.dll

"msacm.imc"= imc32.acm

"VIDC.VP31"= vp31vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\webcamXP\\webcamXP.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

 

R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys [2008-07-24 12856]

R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\windows\system32\drivers\LMIRfsDriver.sys [2008-12-22 47640]

R2 Vcs;Vcs support;\??\c:\windows\System32\Drivers\Vcs.sys [2005-01-19 6852]

S3 188IR;WORLD ADS-188IR IrDA Adapter;c:\windows\system32\DRIVERS\188IR.sys [2004-07-31 29076]

S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys [2007-08-21 117289]

S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\DRIVERS\camdrv21.sys [2004-07-16 223232]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]

S3 jnv4_mib;jnv4_mib; []

S3 QCAbsee;QuickCam Web Logitech (0801);c:\windows\system32\DRIVERS\OVCA.sys [2003-03-08 25088]

S4 LMIRfsClientNP;LMIRfsClientNP; []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{986aa59c-69c3-11dc-84b7-00604c0b0f64}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

.

- - - - ORPHELINS SUPPRIMES - - - -

 

WebBrowser-{208AB706-0073-46AF-8060-6C985E371534} - (no file)

WebBrowser-{219DEC74-5195-4B1B-9C57-3E1FA0A2618D} - (no file)

WebBrowser-{097E8CBE-7AF5-5542-8C87-E54B48B57399} - (no file)

HKCU-Run-IncrediMail - c:\progra~1\INCRED~1\bin\IncMail.exe

HKCU-Run-Wipe Chic - c:\docume~1\alain\APPLIC~1\PlusPeak\MEOW JUGS.exe

HKU-Default-Run-MSN Messenger - msnmsgr.exe

HKU-Default-Run-MS Unix Binary - msnq3insller.exe

HKU-Default-Run-VID INTERNET WEB DRIVERS FOR WIN32 - phqghu.exe

HKU-Default-RunServices-MSN Messenger - msnmsgr.exe

SafeBoot-LSA Server

SafeBoot-MAPI

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\bin\resources\WebMenuImg.htm

IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

IE: {{47055D63-DFCD-11d3-8406-00500445A7D0} - c:\program files\Goto\Memoweb 3\IEBtn\Launcher

 

O16 -: Microsoft XML Parser for Java - c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

FF - ProfilePath - c:\documents and settings\alain\Application Data\Mozilla\Firefox\Profiles\x63ddkdq.Utilisateur par défaut\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 15:05:15

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(544)

c:\windows\system32\LMIinit.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\LogMeIn\x86\ramaint.exe

c:\program files\LogMeIn\x86\LogMeIn.exe

c:\program files\LogMeIn\x86\LMIGuardian.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

c:\program files\LogMeIn\x86\LMIGuardian.exe

c:\windows\system32\taskmgr.exe

.

**************************************************************************

.

Heure de fin: 2008-12-27 15:15:45 - La machine a redémarré [alain]

ComboFix-quarantined-files.txt 2008-12-27 14:14:16

 

Avant-CF: 4,511,854,592 octets libres

Après-CF: 4,375,453,696 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

 

203 --- E O F --- 2008-12-24 02:01:19

 

 

Dans l'attente de votre agréable analyse.

 

merci

pounette Member

pounette

Posté(e)
  • Auteur
Posté(e)

dossier classé

je voulais juste vous remercier pour l'aide que vous nous apporter à tous sur ce forum

Ayant commencer mon analyse avec Apollo je trouvais normal de finir avec lui

Les problèmes qu'il rencontre avec le forum ne me regardent pas

Moi je trouve votre forum super et je vous remercie tous pour votre disponibilité et votre convivialité à nous venir en aide

donc je voulais juste vous faire savoir que vous pouvez fermer cette demande

je vous souhaite à tous une bonne et heureuse année 2009

Dominique

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...