Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC très lent : est-il infecté ?

mag007

Par mag007
dans Analyses et éradication malwares

 Partager

Messages recommandés

mag007 Member

mag007

Posté(e)
Posté(e)

bonjour a tous

 

mon pc est ultra ralenti. quand je vais sur internet cela mets un temps fou pour changer de page et souvent il ferme tout d'un coup.

 

Je pensais au départ que ça venait du fait que mon pc etait quasiemnt plein. alors j'ai acheté un disc dur externe où j'ai mis tout mes documents (taf photos, musique...)

 

j'ai suprimer par le panneau de configuration les logiciel dont je ne me servais pas.

 

mais cela n'a rien changé... et c'est de pirer en pire.

 

depuis ce matin j'ai une fenetre qui s'est ouverte dans ma barre de tache "sagem f@st 800-840" qui ne correspond a rien et qui ne veut pas disparaitre quand demande a fermer.

 

j'ai fait AFT cleaner.. selct all et je viens de faire une analyse d'hijack..

 

voici ce que ça donne.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at mag - 00:50:37, on 15/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe

C:\Windows\System32\bycool1\windo.exe

C:\Windows\System32\bycool\winacces.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe

C:\Windows\System32\bycool\myapp.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/search?hl=fr&q=google+&meta=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [DRIVESYS1] C:\Windows\System32\bycool1\windo.exe

O4 - HKLM\..\Run: [DRIVESYS] C:\Windows\System32\bycool\winacces.exe

O4 - S-1-5-18 Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'Default user')

O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.18\AMVConverter\grab.html

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.1...toUploader5.cab

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mag007space.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A132D2-0D18-4CDD-847F-78D588E7EAAB}: NameServer = 213.36.80.1 213.36.80.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

--

End of file - 8130 bytes

 

 

j'attends vos conseils merci!!!!

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut mag007 :P

 

Ton ordi est bel et bien infecté. De plus, il s'agit d'une infection plutôt rare, enfin jusqu'à maintenant il y a très peu de cas sur la toile.

 

Télécharge Combofix.exe de sUBs de l'un des trois liens suivants, puis sauvegarde-le sur ton Bureau (et pas ailleurs) :

 

http://subs.geekstogo.com/ComboFix.exe

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

  • Assure-toi que tous les programmes sont fermés avant de commencer.
  • Désactive ton antivirus et pare-feu tierce partie (si présent), juste pour le temps de l'analyse.
  • Double-clique sur Combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton pare-feu si demandé, puis accepte le message de contrat utilisateur final.
  • Le Bureau disparaîtra, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport est également sauvegardé là >> C:\Combofix.txt

 

@+

mag007 Member

mag007

Posté(e)
  • Auteur
Posté(e)

j'ai un ordi qui veut toujours faire son interressant et choper des trucs que les autres n'ont pas!!! j'te jure!!

 

bon alors j'ai fait tout comme tu m'as dit mais jeme suis fait peur car aprés avoir ouvert le texte en log le bureau n'est jamais revenu il a fallu que je redemarre l'ordi pour que ça revienne!!

 

petite question : je n'avais pas allumé mon disque externe quand j'ai fait hijack et combo... pas grave???

 

alors voici ce qu'il me dit :

 

ComboFix 09-01-13.04 - utilisateur 2009-01-15 10:57:52.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.127.15 [GMT 1:00]

Running from: c:\documents and settings\utilisateur\Bureau\ComboFix.exe

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Downloaded Program Files\setup.inf

c:\windows\Readme.txt

c:\windows\system32\bnomkl32.dll

 

.

((((((((((((((((((((((((( Files Created from 2008-12-15 to 2009-01-15 )))))))))))))))))))))))))))))))

.

 

2009-01-10 12:17 . 2009-01-10 12:34 <REP> d-------- c:\program files\Dialang

2009-01-07 12:16 . 2009-01-07 12:16 <REP> d--hs---- c:\windows\system32\f

2009-01-07 12:16 . 2009-01-07 12:16 <REP> d--hs---- c:\windows\system32\bycool1

2009-01-07 12:16 . 2009-01-07 22:29 <REP> d--hs---- c:\windows\system32\bycool

2008-12-30 11:16 . 2008-12-30 11:16 <REP> d-------- c:\program files\Bonjour

2008-12-24 14:20 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll

2008-12-24 14:20 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys

2008-12-24 14:18 . 2008-12-24 14:18 <REP> d-------- c:\program files\iPod

2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\program files\iTunes

2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-12-24 14:09 . 2008-12-24 14:09 <REP> d-------- c:\program files\Apple Software Update

2008-12-24 14:08 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys

2008-12-24 14:06 . 2008-12-24 14:18 <REP> d-------- c:\program files\Fichiers communs\Apple

2008-12-24 14:06 . 2008-12-24 14:06 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-14 23:00 --------- d-----w c:\program files\QuickTime

2009-01-14 22:28 --------- d-----w c:\documents and settings\All Users\Application Data\ExtraFilm

2009-01-14 22:27 --------- d-----w c:\program files\Extrafilm Designer FR

2009-01-10 11:34 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-25 12:18 --------- d-----w c:\documents and settings\utilisateur\Application Data\Apple Computer

2008-12-24 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer

2008-12-20 19:12 --------- d-----w c:\program files\MSN Messenger

2008-12-13 14:12 --------- d-----w c:\documents and settings\utilisateur\Application Data\Snapfish

2008-11-23 18:17 --------- d-----w c:\documents and settings\utilisateur\Application Data\Skype

2008-11-23 18:15 --------- d-----w c:\documents and settings\utilisateur\Application Data\skypePM

2008-08-11 06:50 8,306 ----a-w c:\program files\hijackthis.log

2008-08-10 12:31 396,288 ----a-w c:\program files\HijackThis.exe

2008-08-13 10:58 1,393,777 --sha-r c:\windows\system32\bycool1\windo.exe

2008-08-23 07:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TiscaliParam"="c:\program files\Tiscali\Dialer\bootparam.exe" [2003-02-19 32768]

"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-10-29 196608]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"DRIVESYS1"="c:\windows\System32\bycool1\windo.exe" [2008-08-13 1393777]

"DRIVESYS"="c:\windows\System32\bycool\winacces.exe" [2008-08-13 1133622]

 

c:\documents and settings\All Users\Menu Dmarrer\Programmes\Dmarrage\

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2004-01-03 962663]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoLogoff"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.X264"= x264vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a--c--- 2004-12-20 19:41 33792 c:\program files\Winamp\winampa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]

--a--c--- 2002-10-15 17:00 1818624 c:\windows\mixer.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\BitTorrent\\btdownloadgui.exe"=

"c:\\Program Files\\pas d'origine\\eMule\\emule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

 

S1 aswSP;avast! Self Protection; [x]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-11-26 20560]

S3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\DRIVERS\CTXH51.sys [2001-08-04 454815]

 

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - AFD

*Deregistered* - ALG

*Deregistered* - Apple Mobile Device

*Deregistered* - Aspi32

*Deregistered* - aswFsBlk

*Deregistered* - aswMon2

*Deregistered* - aswRdr

*Deregistered* - aswSP

*Deregistered* - aswUpdSv

*Deregistered* - AudioSrv

*Deregistered* - avast! Antivirus

*Deregistered* - avast! Mail Scanner

*Deregistered* - avast! Web Scanner

*Deregistered* - Beep

*Deregistered* - BITS

*Deregistered* - Bonjour Service

*Deregistered* - Browser

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - DcomLaunch

*Deregistered* - Dhcp

*Deregistered* - Dnscache

*Deregistered* - ERSvc

*Deregistered* - EventSystem

*Deregistered* - Fastfat

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fax

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - Gpc

*Deregistered* - helpsvc

*Deregistered* - HidServ

*Deregistered* - HTTP

*Deregistered* - ImapiService

*Deregistered* - IpNat

*Deregistered* - iPod Service

*Deregistered* - IPSec

*Deregistered* - Kbdclass

*Deregistered* - KSecDD

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - LVPr2Mon

*Deregistered* - LVPrcSrv

*Deregistered* - LVSrvLauncher

*Deregistered* - LVUSBSta

*Deregistered* - mnmdd

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - NVSvc

*Deregistered* - PartMgr

*Deregistered* - ParVdm

*Deregistered* - PolicyAgent

*Deregistered* - PptpMiniport

*Deregistered* - ProtectedStorage

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - RasAuto

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - Schedule

*Deregistered* - Secdrv

*Deregistered* - seclogon

*Deregistered* - SENS

*Deregistered* - SharedAccess

*Deregistered* - ShellHWDetection

*Deregistered* - Spooler

*Deregistered* - sptd

*Deregistered* - sr

*Deregistered* - srservice

*Deregistered* - Srv

*Deregistered* - SSDPSRV

*Deregistered* - StarWindService

*Deregistered* - stisvc

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Themes

*Deregistered* - TrkWks

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - wscsvc

*Deregistered* - wuauserv

*Deregistered* - WudfPf

*Deregistered* - WudfSvc

*Deregistered* - WZCSVC

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a66c162-dcac-11dd-bd96-4d6564696130}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe

\Shell\Ouvrir\command - H:\log.exe

.

Contents of the 'Scheduled Tasks' folder

 

2009-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-CleanUp - (no file)

MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.fr/search?hl=fr&q=google+&meta=

IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3}

hxxp://www.extrafilm.fr/ImageUploader5.cab

c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-15 11:04:02

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TiscaliParam = c:\program files\Tiscali\Dialer\bootparam.exe?arrer\Programmes?Dialer Tiscali\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-1426590395-972670786-3454122357-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:24,ba,90,c1,09,d5,6b,14,4d,b4,3d,39,11,d7,b9,a0,86,c4,26,ee,93,fc,fb,

f6,83,a7,22,d5,ad,fa,e8,dd,82,e1,f4,ce,8b,b3,b7,0c,82,66,34,5c,8e,2e,fa,5f,\

"??"=hex:05,84,6e,e8,84,86,2f,92,02,da,09,ca,4b,70,37,b0

.

Completion time: 2009-01-15 11:13:23

ComboFix-quarantined-files.txt 2009-01-15 10:13:11

 

Pre-Run: 11 016 441 856 octets libres

Post-Run: 11,057,152,000 octets libres

 

251 --- E O F --- 2008-12-18 20:03:33

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir mag007 :P

 

Bien joué. Voici la suite maintenant :

==============

 

**Le script prescrit ci-bas a été préparé pour la machine de mag007 seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

 

http://forum.zebulon.fr/help-analyse-hijack-t157676.html

Collect::
C:\Windows\System32\bycool1\windo.exe
C:\Windows\System32\bycool\winacces.exe

File::
H:\log.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DRIVESYS1"=-
"DRIVESYS"="-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a66c162-dcac-11dd-bd96-4d6564696130}]

DirLook::
c:\windows\system32\f
c:\windows\system32\bycool1
c:\windows\system32\bycool

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • **Branche ton DD externe à présent, ainsi que toutes clés USB utilisées ou autres lecteurs amovibles**
  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises : c'est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • En toute fin de routine, ComboFix affichera une fenêtre avec le message suivant :
    "ComboFix needs to submit malware files for further analysis.
    Please ensure that you're connected to the internet before clicking OK"
  • Clique OK pour soumettre les fichiers (et Merci).
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ta réponse.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

@+

mag007 Member

mag007

Posté(e)
  • Auteur
Posté(e)

J'ai fait tout comme tu as dit. La fenêtre bleue c'est ouverte depuis plus d'une heure mais rien ne se passe..rien d'inscrit.. Et je peux rien faire... Ni fermer la fenêtre ni éteindre l'ordi. Est ce normal?

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Étrange. Non, pas normal. La première chose à tenter est de fermer la fenêtre en cliquant sur le "X". Deuxième chose à tenter : lance le Gestionnaire des tâches (si tu peux) par CTRL+ALT+SUPP et arrête le processus de ComboFix. Si rien de tout ça n'est possible, arrête la machine avec le gros bouton, puis redémarre.

 

Après redémarrage, regarde si un rapport a été sauvegardé (C:\ComboFix.txt) s'il te plaît. On poursuivra selon tes trouvailles.

 

@+

mag007 Member

mag007

Posté(e)
  • Auteur
Posté(e)

alors quand j'ai redemarré j'ai du relancé combo fix qui c'est bien déroulé. seulement au moment ou il voulait analysé sur internet il n'a pas vu la connexion. il a mis une page de lien sur mon disque dur mais je ne sais pas quel fichier doit etre envoyé. voici sinon le rapport

ComboFix 09-01-15.01 - utilisateur 2009-01-16 15:48:05.2 - NTFSx86

Running from: c:\documents and settings\utilisateur\Bureau\ComboFix.exe

Command switches used :: c:\documents and settings\utilisateur\Bureau\CFScript.txt

AV: avast! antivirus 4.8.1296 [VPS 090116-0] *On-access scanning disabled* (Outdated)

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

H:\log.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\System32\bycool\winacces.exe

c:\windows\System32\bycool1\windo.exe

 

.

((((((((((((((((((((((((( Files Created from 2008-12-16 to 2009-01-16 )))))))))))))))))))))))))))))))

.

 

2009-01-10 12:17 . 2009-01-10 12:34 d-------- c:\program files\Dialang

2009-01-07 12:16 . 2009-01-07 12:16 d--hs---- c:\windows\system32\f

2009-01-07 12:16 . 2009-01-16 15:48 d--hs---- c:\windows\system32\bycool1

2009-01-07 12:16 . 2009-01-16 15:48 d--hs---- c:\windows\system32\bycool

2008-12-30 11:16 . 2008-12-30 11:16 d-------- c:\program files\Bonjour

2008-12-24 14:20 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll

2008-12-24 14:20 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys

2008-12-24 14:18 . 2008-12-24 14:18 d-------- c:\program files\iPod

2008-12-24 14:17 . 2008-12-24 14:19 d-------- c:\program files\iTunes

2008-12-24 14:17 . 2008-12-24 14:19 d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-12-24 14:09 . 2008-12-24 14:09 d-------- c:\program files\Apple Software Update

2008-12-24 14:08 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys

2008-12-24 14:06 . 2008-12-24 14:18 d-------- c:\program files\Fichiers communs\Apple

2008-12-24 14:06 . 2008-12-24 14:06 d-------- c:\documents and settings\All Users\Application Data\Apple

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-14 23:00 --------- d-----w c:\program files\QuickTime

2009-01-14 22:28 --------- d-----w c:\documents and settings\All Users\Application Data\ExtraFilm

2009-01-14 22:27 --------- d-----w c:\program files\Extrafilm Designer FR

2009-01-10 11:34 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-25 12:18 --------- d-----w c:\documents and settings\utilisateur\Application Data\Apple Computer

2008-12-24 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer

2008-12-20 19:12 --------- d-----w c:\program files\MSN Messenger

2008-12-13 14:12 --------- d-----w c:\documents and settings\utilisateur\Application Data\Snapfish

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-11-23 18:17 --------- d-----w c:\documents and settings\utilisateur\Application Data\Skype

2008-11-23 18:15 --------- d-----w c:\documents and settings\utilisateur\Application Data\skypePM

2008-08-11 06:50 8,306 ----a-w c:\program files\hijackthis.log

2008-08-10 12:31 396,288 ----a-w c:\program files\HijackThis.exe

2008-08-23 07:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

---- Directory of c:\windows\system32\bycool ----

 

2008-08-13 11:54 1133622 --a------ c:\windows\system32\bycool\winacces.exe

2008-03-08 16:07 685646 --a------ c:\windows\system32\bycool\compilateur_auto.exe

2008-03-04 16:50 161792 --a------ c:\windows\system32\bycool\myapp.exe

2008-03-03 00:35 144384 --a------ c:\windows\system32\bycool\my.dll

 

---- Directory of c:\windows\system32\bycool1 ----

 

2008-08-13 11:58 1393777 -rahs---- c:\windows\system32\bycool1\windo.exe

2008-08-13 11:54 1133622 --a------ c:\windows\system32\bycool1\log.exe

 

---- Directory of c:\windows\system32\f ----

 

2009-01-16 15:42 614996 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_15_04_37\comp.rar

2009-01-16 14:58 42610 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_58_57.jpg

2009-01-16 14:51 42138 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_51_21.jpg

2009-01-16 14:14 604 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009.K

2009-01-16 13:58 44747 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_58_58.jpg

2009-01-16 13:33 41643 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_33_45.jpg

2009-01-16 11:26 1572164 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\comp.rar

2009-01-16 03:20 1873 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\15_01_2009.K

2009-01-16 03:16 2892756 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\comp.rar

2009-01-15 21:36 2320284 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\comp.rar

2009-01-15 20:43 13789 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\15_01_2009.K

2009-01-15 11:16 1647708 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\comp.rar

2009-01-15 10:39 234 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\15_01_2009.K

2009-01-15 01:30 4536828 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\comp.rar

2009-01-15 01:29 12565 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\14_01_2009.K

2009-01-14 02:00 15288 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\13_01_2009.K

2009-01-14 01:57 3857948 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\comp.rar

2009-01-12 23:01 15686 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\12_01_2009.K

2009-01-12 22:49 4026444 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\comp.rar

2009-01-12 01:57 7865556 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\comp.rar

2009-01-12 01:33 27112 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\10_01_2009.K

2009-01-09 23:41 31125 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\08_01_2009.K

2009-01-09 23:35 6781996 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\comp.rar

2009-01-07 22:29 2197548 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\comp.rar

2009-01-07 17:46 435 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\07_01_2009.K

 

 

((((((((((((((((((((((((((((( snapshot@2009-01-15_11.09.27,85 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-09-08 10:41:42 333,824 -c----w c:\windows\system32\dllcache\srv.sys

+ 2008-12-11 10:57:09 333,952 -c----w c:\windows\system32\dllcache\srv.sys

- 2008-12-09 23:24:38 17,593,280 ----a-w c:\windows\system32\MRT.exe

+ 2009-01-10 01:35:28 20,853,704 ----a-w c:\windows\system32\MRT.exe

+ 2009-01-16 14:03:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_538.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TiscaliParam"="c:\program files\Tiscali\Dialer\bootparam.exe" [2003-02-19 32768]

"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-10-29 196608]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

 

c:\documents and settings\All Users\Menu Dmarrer\Programmes\Dmarrage\

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2004-01-03 962663]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoLogoff"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.X264"= x264vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a--c--- 2004-12-20 19:41 33792 c:\program files\Winamp\winampa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]

--a--c--- 2002-10-15 17:00 1818624 c:\windows\mixer.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\BitTorrent\\btdownloadgui.exe"=

"c:\\Program Files\\pas d'origine\\eMule\\emule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

 

S1 aswSP;avast! Self Protection; [x]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-11-26 20560]

S3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\DRIVERS\CTXH51.sys [2001-08-04 454815]

 

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - Aavmker4

*Deregistered* - AFD

*Deregistered* - ALG

*Deregistered* - Apple Mobile Device

*Deregistered* - Aspi32

*Deregistered* - aswFsBlk

*Deregistered* - aswMon2

*Deregistered* - aswRdr

*Deregistered* - aswSP

*Deregistered* - aswUpdSv

*Deregistered* - AudioSrv

*Deregistered* - avast! Antivirus

*Deregistered* - avast! Mail Scanner

*Deregistered* - avast! Web Scanner

*Deregistered* - Beep

*Deregistered* - Bonjour Service

*Deregistered* - Browser

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - DcomLaunch

*Deregistered* - Dhcp

*Deregistered* - Dnscache

*Deregistered* - ERSvc

*Deregistered* - EventSystem

*Deregistered* - Fastfat

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - Gpc

*Deregistered* - helpsvc

*Deregistered* - HidServ

*Deregistered* - HTTP

*Deregistered* - ImapiService

*Deregistered* - IpNat

*Deregistered* - iPod Service

*Deregistered* - IPSec

*Deregistered* - Kbdclass

*Deregistered* - KSecDD

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - LVPr2Mon

*Deregistered* - LVPrcSrv

*Deregistered* - LVSrvLauncher

*Deregistered* - LVUSBSta

*Deregistered* - mnmdd

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - NVSvc

*Deregistered* - PartMgr

*Deregistered* - ParVdm

*Deregistered* - PolicyAgent

*Deregistered* - PptpMiniport

*Deregistered* - ProtectedStorage

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - RasAuto

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - Schedule

*Deregistered* - Secdrv

*Deregistered* - seclogon

*Deregistered* - SENS

*Deregistered* - SharedAccess

*Deregistered* - ShellHWDetection

*Deregistered* - sptd

*Deregistered* - sr

*Deregistered* - srservice

*Deregistered* - Srv

*Deregistered* - SSDPSRV

*Deregistered* - StarWindService

*Deregistered* - stisvc

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Themes

*Deregistered* - TrkWks

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - wscsvc

*Deregistered* - wuauserv

*Deregistered* - WudfPf

*Deregistered* - WudfSvc

*Deregistered* - WZCSVC

.

Contents of the 'Scheduled Tasks' folder

 

2009-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-DRIVESYS - c:\windows\System32\bycool\winacces.exe

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.fr/search?hl=fr&q=google+&meta=

IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html

TCP: {E6A132D2-0D18-4CDD-847F-78D588E7EAAB} = 213.36.80.1 213.36.80.1

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3}

hxxp://www.extrafilm.fr/ImageUploader5.cab

c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-16 15:54:31

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TiscaliParam = c:\program files\Tiscali\Dialer\bootparam.exe?arrer\Programmes?Dialer Tiscali\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-1426590395-972670786-3454122357-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:24,ba,90,c1,09,d5,6b,14,4d,b4,3d,39,11,d7,b9,a0,86,c4,26,ee,93,fc,fb,

f6,83,a7,22,d5,ad,fa,e8,dd,82,e1,f4,ce,8b,b3,b7,0c,82,66,34,5c,8e,2e,fa,5f,\

"??"=hex:05,84,6e,e8,84,86,2f,92,02,da,09,ca,4b,70,37,b0

.

Completion time: 2009-01-16 16:05:32

ComboFix-quarantined-files.txt 2009-01-16 15:05:15

 

Pre-Run: 11 002 273 792 octets libres

Post-Run: 10,985,357,312 octets libres

 

290 --- E O F --- 2009-01-15 20:49:18

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bien joué à nouveau :P

 

Je ne sais pas si c'est l'infection qui cause ces soucis avec ta machine, mais là elle est quasi détruite alors on va terminer le travail. Pour ce qui est du fichier créé pour soumettre les fichiers, on s'en reparle à la prochaine étape ;

===========

 

**Le script prescrit ci-bas a été préparé pour la machine de mag007 seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

 

KillAll::

Folder::
c:\windows\system32\f
c:\windows\system32\bycool1
c:\windows\system32\bycool

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Désactive ton antivirus temporairement (réactive-le lorsque ComboFix aura terminé).
  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises : ceci est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher : tu peux le fermer pour le moment, je te le demanderai plus tard.

 

======

======

 

Je vais maintenant te faire analyser deux fichiers chez VirScan. C'est simple :

 

- Rends-toi sur leur site (avec Internet Explorer) :

http://virscan.org/

 

- "Copie" le chemin de fichier ci-bas (en entier) puis colle-le dans la petite boîte "Fichiers suspects à examiner" :

 

C:\Qoobox\Quarantine\c\windows\system32\bycool\winacces.exe.vir

 

- Clique maintenant sur le bouton "Envoyer". Le fichier sera analysé par plusieurs moteurs antivirus. Tu verras la progression à l'écran. Lorsque l'analyse sera terminée, copie/colle les résultats dans ta réponse.

 

- Avant de soumettre ta réponse ici, fais également analyser le fichier suivant (même méthode) :

 

C:\Qoobox\Quarantine\c\windows\system32\bycool1\windo.exe.vir

 

- Colle les résultats à la suite.

 

- Colle également le rapport de ComboFix, sauvegardé là >> C:\ComboFix.txt

 

 

@toute

mag007 Member

mag007

Posté(e)
  • Auteur
Posté(e)

super QC001!

 

c'est clair que mon pc tourne déjà super mieux!!! ça faisait des années que je devais fermer la session pour pouvoir acceder au bouton arreter l'ordi et la par magie il est réapparu!!!!!!

 

bon en revanche mon imprimante a disparue du panneau de config et quand je demande de la rechercher pour l'installer à nouveau il me dit qu'il n'y a un problème de spouleur d'impression...

 

bon je fais ce que tu m'as dit et te tiens au courant!!!!

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Elle est bien étrange cette bestiole, en effet. Là elle n'y est plus alors nous pouvons en tirer des conclusions :P

 

Pour ton spooleur, on verra dans une prochaine étape ; c'est étrange par contre, mais tout est étrange avec cette infection il me semble.

 

Je te laisse bosser :P

 

@+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...