Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

demande d'aide en ligne

angeyom

Par angeyom
dans Analyses et éradication malwares

 Partager

Messages recommandés

angeyom Junior Member

angeyom

Posté(e)
Posté(e)

Bonjour à tous,

 

quelqu'un peut il m'aider, je n'ai pas lu les procédures car trop galère avec un ordi qui mets 5 min pour ouvrir une page...

 

Voilà le pb

 

j'ai chopé un truc sur msn en pensant qu'un de mes contacts m'envoyais des photos... Depuis, mon ordi et super lent, j'ai plus de fond d'écran mais à la place un gros encart avec WARNING!!!! blablabla..., ensuite mon fichier mes documents s'ouvre tous seul sans que je lui demande et puis aussi, les éternels rappel que mon ordi est infecté qui me renvoie vers des pages pour télécharger antivurusxp qques chose...

 

J'ai essayé de télécharger ad aware mais il bloque pendant l'analyse et j'ai essayé aussi de télécharger hijackthis mais impossible, le téléchargement ne démarre pas...

 

Please help me!!!!

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonjour, bienvenue. :P

 

Messages : 1

Si jamais tu as besoin de quelques infos :

Comment participer à un forum

Retrouver ses messages

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

getrogibbs Member

getrogibbs

Posté(e)
Posté(e) (modifié)

je n'arrive pas télécharger, un message "il est impossible de lancer le téléchargement de plop.exe" apparait...

 

au fait getrogibbs et angeyom c'est pareil... c'est toujours moi

Modifié par getrogibbs
angeyom Junior Member

angeyom

Posté(e)
  • Auteur
Posté(e)

ça ne marche pas non plus, je crois qu'on va laisser comme ça aujourd'hui je vais télécharger les logiciels a partir d'un autre ordi et les copier sur celui là. tu es toujours sur le site? peux tu me donner tes horraires de présence stp??

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Utilise un seul compte Zebulon stp, là c'est le bazar, on ne doit en avoir qu'un par personne, mais ça tu dois le savoir.

 

Tu peux le télécharger sur une clé USB et le transférer par là.

 

Je t'ai mis un lien qui expire rapidement, donc je t'en mets un autre valable plus longtemps :

http://senduit.com/566abe

 

Je ne peux pas te donner d'horaires, poste quand tu es là, la suite, et quand je passe je te réponds. Je passe très souvent.

angeyom Junior Member

angeyom

Posté(e)
  • Auteur
Posté(e)

oui c'est parceque je suis chez un ami et j'ai moi meme un compte zebulon (getrogibbs) et j'avais déja eu de l'aide alors j'ai essayé de télécharger a partir de là... mais apparement j'ai trouvé un autre lien qui semble marcher, je te dis quoi

angeyom Junior Member

angeyom

Posté(e)
  • Auteur
Posté(e)

non c'est bon, c'était sur le site, j'avais déja commencé a telecharger quand j'ai vu ta réponse... et comme c'est galere j'avais pas le courage de l'anuler...

 

Bon sinon j'ai bien un rapport combo fix mais après téléchargement de combofix, j'ai fait "ouvrir le fichier" et il ne m'a pas demandé où je voulais l'enregistré, donc il n'est pas sur le bureau. estce grave?? si oui je retéléchargerais avec ton lien pour voir.

 

 

Voici quand meme le rapport

 

ComboFix 09-02-10.03 - guillaume 2009-02-11 18:26:22.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.510.261 [GMT 1:00]

Lancé depuis: c:\docume~1\GUILLA~1\MESDOC~1\GUILLA~1\angeyom.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

AV: Lavasoft Ad-Watch Live! AntiVirus *On-access scanning enabled* (Updated)

* Resident AV is active

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\docume~1\GUILLA~1\LOCALS~1\Temp\mousehook.dll

c:\docume~1\GUILLA~1\LOCALS~1\Temp\ntdll64.dll

c:\documents and settings\guillaume\Application Data\inst.exe

c:\documents and settings\guillaume\Local Settings\Application Data\pevxxfx.dat

c:\documents and settings\guillaume\Local Settings\Application Data\pevxxfx_nav.dat

c:\documents and settings\guillaume\Local Settings\Application Data\pevxxfx_navps.dat

c:\documents and settings\guillaume\Menu Démarrer\Programmes\InternetGameBox

c:\documents and settings\guillaume\Menu Démarrer\Programmes\InternetGameBox\Conditions générales.lnk

c:\documents and settings\guillaume\Menu Démarrer\Programmes\InternetGameBox\Confidentialité.lnk

c:\documents and settings\guillaume\Menu Démarrer\Programmes\InternetGameBox\InternetGameBox.lnk

c:\documents and settings\guillaume\Menu Démarrer\Programmes\InternetGameBox\Website.lnk

c:\documents and settings\guillaume\Mes documents\internetgamebox.lnk

c:\program files\AntivirusXP

c:\program files\AntivirusXP\AntivirusXP.exe

c:\program files\GamesBar\oberontb.dll

c:\program files\internetgamebox

c:\program files\internetgamebox\Conditions générales.url

c:\program files\internetgamebox\Confidentialité.url

c:\program files\internetgamebox\language

c:\program files\internetgamebox\ressources\AttenteOff.html

c:\program files\internetgamebox\ressources\AttenteOn.html

c:\program files\internetgamebox\ressources\configv2_en.xml

c:\program files\internetgamebox\ressources\configv2_es.xml

c:\program files\internetgamebox\ressources\configv2_fr.xml

c:\program files\internetgamebox\ressources\favoris\defaultv2.swf

c:\program files\internetgamebox\skins\skinv2.skn

c:\program files\internetgamebox\uninst.exe

c:\program files\internetgamebox\Website.url

c:\windows\IE4 Error Log.txt

c:\windows\system32\303369.exe

c:\windows\system32\ahtn.htm

c:\windows\system32\drivers\seneka.sys

c:\windows\system32\drivers\senekaanstjwse.sys

c:\windows\system32\frmwrk32.exe

c:\windows\system32\init32.exe

c:\windows\system32\nvs2.inf

c:\windows\system32\senekaewxdqbxu.dat

c:\windows\system32\senekalyfqmoqv.dll

c:\windows\system32\senekaosrpnbyo.dll

c:\windows\system32\senekatqwaimrd.dat

c:\windows\system32\senekauxjrwixu.dll

c:\windows\system32\uniq.tll

c:\windows\system32\warning.gif

c:\windows\system32\win32hlp.cnf

 

Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée

opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_SENEKA

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-11 au 2009-02-11 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-11 16:05 . 2009-02-11 18:16 <REP> d-------- c:\program files\Lavasoft

2009-02-11 16:05 . 2009-02-11 18:16 <REP> d----c--- c:\documents and settings\All Users\Application Data\Lavasoft

2009-02-10 14:43 . 2009-02-11 16:16 664 --a------ c:\windows\system32\d3d9caps.dat

2009-01-31 15:27 . 2009-01-31 15:27 <REP> d----c--- c:\documents and settings\All Users\Application Data\FlyWheelGames

2009-01-30 18:06 . 2009-01-30 18:06 <REP> d-------- c:\program files\SweetIM

2009-01-30 18:06 . 2009-01-30 18:06 <REP> d----c--- c:\documents and settings\All Users\Application Data\SweetIM

2009-01-24 13:39 . 2009-01-24 13:39 54,156 --ah----- c:\windows\QTFont.qfn

2009-01-24 13:39 . 2009-01-24 13:39 1,409 --a------ c:\windows\QTFont.for

2009-01-23 12:21 . 2009-01-23 12:24 <REP> d----c--- c:\documents and settings\guillaume\Application Data\SecretIslandEng

2009-01-14 10:28 . 2009-01-14 10:28 <REP> d-------- c:\windows\system32\LogFiles

2009-01-14 07:50 . 2009-01-17 09:05 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-01-14 06:54 . 2009-01-14 06:54 <REP> d-------- c:\program files\Fichiers communs\Windows Live

2009-01-14 06:41 . 2009-01-14 06:41 0 --a----t- c:\windows\006284_.tmp

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-11 17:38 --------- d-----w c:\program files\Wanadoo

2009-02-11 17:27 --------- d-----w c:\program files\GamesBar

2009-02-10 17:53 --------- dc----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition Classic

2009-01-31 15:13 --------- dc--a-w c:\documents and settings\All Users\Application Data\TEMP

2009-01-31 14:27 --------- d-----w c:\program files\Oberon Media

2009-01-30 16:51 --------- dc----w c:\documents and settings\All Users\Application Data\GamesBar

2009-01-10 14:01 --------- dc----w c:\documents and settings\guillaume\Application Data\Ubisoft

2009-01-10 14:00 --------- dc----w c:\documents and settings\All Users\Application Data\Ubisoft

2009-01-10 13:46 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-10 13:46 --------- d-----w c:\program files\Ubisoft

2009-01-10 13:45 --------- dc----w c:\documents and settings\guillaume\Application Data\InstallShield

2009-01-10 12:28 --------- dc----w c:\documents and settings\guillaume\Application Data\Flood Light Games

2009-01-10 12:28 --------- dc----w c:\documents and settings\All Users\Application Data\Flood Light Games

2008-12-26 15:57 --------- d-----w c:\program files\Ubi Soft

2008-12-24 14:04 --------- dc-h--w c:\documents and settings\All Users\Application Data\{F61B5A0B-822D-4173-BFD0-A948FC431FEB}

2008-12-24 14:03 --------- d-----w c:\program files\Utherverse Digital Inc

2008-12-14 15:34 --------- d-----w c:\program files\Micro Application

2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys

2008-10-27 20:26 137,640 -c--a-w c:\documents and settings\guillaume\Application Data\GDIPFONTCACHEV1.DAT

2007-09-23 04:47 0 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLds.DAT

2007-09-11 06:54 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLec.DAT

2007-09-08 07:42 47,360 -c--a-w c:\documents and settings\guillaume\Application Data\pcouffin.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]

"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"= "c:\program files\Search Settings\kb126\SearchSettings.dll" [2008-02-06 1160544]

 

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

 

[HKEY_CLASSES_ROOT\clsid\{e312764e-7706-43f1-8dab-fcdd2b1e416d}]

[HKEY_CLASSES_ROOT\SearchSettings.BHO.1]

[HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}]

[HKEY_CLASSES_ROOT\SearchSettings.BHO]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]

2008-02-06 17:47 1160544 --a------ c:\program files\Search Settings\kb126\SearchSettings.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

2008-10-08 12:22 1172792 --a------ c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FLMOFFICE4DMOUSE"="c:\program files\Labtec\Mouse\V3.0\moffice.exe" [2008-04-12 958464]

"OFFICEKB"="c:\program files\Labtec\Desktop\V5.1\kbdap32a.exe" [2007-09-05 387584]

"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 176128]

"au"="c:\program files\Dealio\DealioAU.exe" [2008-02-08 546144]

"SearchSettings"="c:\program files\Search Settings\SearchSettings.exe" [2008-02-06 1036640]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]

"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]

"DataLayer"="c:\program files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe" [2005-06-07 819712]

"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-06-29 176128]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-17 13529088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-17 86016]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-09-06 282624]

"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2009-01-13 111928]

"VTTimer"="VTTimer.exe" [2006-01-26 c:\windows\system32\VTTimer.exe]

"VTTrayp"="VTtrayp.exe" [2006-01-26 c:\windows\system32\VTTrayp.exe]

"nwiz"="nwiz.exe" [2008-05-17 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-05 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"WUAppSetup"="c:\program files\Fichiers communs\logishrd\WUApp32.exe" [2007-10-12 439568]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-05 44544]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave1"= audpci40.dll

"midi1"= audpci40.dll

"mixer1"= audpci40.dll

"aux1"= audpci40.dll

"wave2"= audpci40.dll

"midi2"= audpci40.dll

"mixer2"= audpci40.dll

"aux2"= audpci40.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk

backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Kodak software updater.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Kodak software updater.lnk

backup=c:\windows\pss\Kodak software updater.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk

backup=c:\windows\pss\Logiciel Kodak EasyShare.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk

backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]

--a--c--- 2007-10-25 15:37 2178832 c:\program files\Logitech\QuickCam\Quickcam.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-09-06 15:12 282624 c:\program files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a--c--- 2008-03-25 03:28 144784 c:\program files\Java\jre1.6.0_06\bin\jusched.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\Wanadoo\\WOOBrowser\\WOOBrowser.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Documents and Settings\\guillaume\\Mes documents\\Guillaume LAGNEAU\\utorrent.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Program Files\\NetMeeting\\conf.exe"=

"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"2853:TCP"= 2853:TCP:utorrent

 

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2007-08-31 22336]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2007-08-31 45376]

R3 ES1370;Creative AudioPCI (ES1370), SB PCI 64/128 (WDM);c:\windows\system32\drivers\es1370mp.sys [2007-08-31 37120]

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-11 c:\windows\Tasks\Ad-Aware Update (Daily).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

 

2009-02-11 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{CB0D163C-E9F4-4236-9496-0597E24B23A5} - c:\program files\GamesBar\oberontb.dll

Toolbar-{6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\GamesBar\oberontb.dll

HKCU-Run-msnmsgr - ~c:\program files\Windows Live\Messenger\msnmsgr.exe

HKLM-Run-RegistryMechanic - (no file)

MSConfigStartUp-IncrediMail - c:\program files\IncrediMail\bin\IncMail.exe

MSConfigStartUp-KiweeHook - c:\program files\Kiwee Toolbar\2.8.167\kwtbaim.exe

MSConfigStartUp-SweetIM - c:\program files\Macrogaming\SweetIM\SweetIM.exe

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://home.sweetim.com/

mStart Page = hxxp://home.sweetim.com

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: Compare Prices with &Dealio - c:\documents and settings\guillaume\Application Data\Dealio\kb126\res\DealioSearch.html

IE: Crawler Search - tbr:iemenu

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: { - c:\program files\Messenger\MSMSGS.EXE

IE: {{CDAFD956-97BE-443D-8EF7-F4F094EB5766} - c:\program files\Crawler\SSaver\CSSaver.exe

IE: {{1A93C934-025B-4c3a-B38E-9654A7003239} - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\GamesBar\oberontb.dll

LSP: c:\windows\TEMP\ntdll64.dll

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll

DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-11 18:37:24

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = ~"c:\program files\Windows Live\Messenger\msnmsgr.exe" /background?

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\logishrd\LVMVFM\LVPrcSrv.exe

c:\program files\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\AntiVir PersonalEdition Classic\sched.exe

c:\windows\system32\FTRTSVC.exe

c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\HPZipm12.exe

c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe

c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe

c:\program files\Labtec\Mouse\V3.0\mouse32a.exe

c:\progra~1\Wanadoo\TaskBarIcon.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\progra~1\Wanadoo\GestionnaireInternet.exe

c:\progra~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE

c:\progra~1\Wanadoo\ComComp.exe

c:\progra~1\Wanadoo\Toaster.exe

c:\progra~1\Wanadoo\Inactivity.exe

c:\progra~1\Wanadoo\PollingModule.exe

c:\windows\system32\wscntfy.exe

c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe

c:\program files\HP\Digital Imaging\bin\hpqimzone.exe

c:\windows\system32\ALERTM~1\ALERTM~1.EXE

.

**************************************************************************

.

Heure de fin: 2009-02-11 18:46:33 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-11 17:46:29

 

Avant-CF: 94,941,536,256 octets libres

Après-CF: 96,539,987,968 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect n

 

319 --- E O F --- 2009-01-14 07:20:10

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Il faut suivre les conseils, donc le mettre sur le bureau, après ça va poser d'autres problèmes.

Déplace le fichier que tu as sur le bureau pour la suite.

 

La machine est très infectée.

Tu avais installé internet gamebox, logiciel piégé, ne réinstalle pas.

SweetIM, logiciel douteux, tu peux le désinstaller via ajout/suppression de programmes.

 

--------

On a plein de choses à faire encore.

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

  • Double-clique maintenant sur le fichier téléchargé.
  • Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  • Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche.
  • Poste le rapport généré. (C:\TB.txt)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...