Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[resolu]Merci Infection Antivirus A360

simous

Par simous
dans Analyses et éradication malwares

 Partager

Messages recommandés

simous Extrem Member

simous

Posté(e)
Posté(e) (modifié)

Bonjour à tous et à toutes.

 

Une amie a chopé une jolie infection sur son portable, un Acer Aspire 3610.

 

Malgré Antivir, elle a installé le faux antivirus a360 (elle a paniqué en voyant les fenêtre d'avertissements, ne sachant pas quoi faire).

 

J'ai enlevé une partie du virus mais ça ne suffit pas, il est toujours là : fenêtres de pub, redirections d'url depuis google etc...

Mon gros souci, c'est que je ne peux installer ni lancer aucun logiciel de sécurité.

 

Mbam ne s'installe pas, Spybot s'installe mais ne se lance pas, combofix ne se lance pas non plus...

 

De plus, je ne peux pas démarrer en mode sans echec, j'ai systématiquement un écran bleu STOP 0x08e, début du vidage de la mémoire physique.

J'ai aussi un écran bleu (même erreur 0x08e) lorsque je lance une recherche de fichiers depuis l'explorateur Windows, ou quand j'essaie de lancer GlaryUtilities.

 

J'ai pensé à un problème de RAM, j'ai fait tourner Memtest pendant 2h, aucune erreur n'a été détectée .

 

Bref, je commence à ne plus savoir quoi faire..

Voici le rapport Hijack qui ne montre rien :

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:33, on 21/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre6\bin\java.exe
D:\Mes Documents\divers\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218792244093
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 6152 bytes

 

Je précise que c'est une version XP Familiale, que je n'ai aucun CD de réinstall.

 

Ce que je peux faire, que je n'ai pas essayé encore : monter son DD en slave pour nettoyage sur un autre PC, mais ça ne nettoiera pas la base de registre...

 

Merci de votre aide, je voudrais éviter un formatage :P

Modifié par simous

angelique Devil Member !

angelique

Posté(e)
Posté(e)

renomme ComboFix dans la fenetre de telechargement par COlaF

 

Télécharge combofix.exe (par sUBs) , renomme le par COlaF dans la fenetre de telechargement et sauvegarde le sur ton bureau , pas ailleurs!!!!!

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

* Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions,installe la console de recuperation (il faut etre connecté).

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

simous Extrem Member

simous

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Angélique et merci pour ton aide.

 

Voici le rapport Combofix demandé.

 

Je suis content, car après un reboot demandé par Combofix, chkdsk s'est lancé alors que je n'arrivais pas à le lancer avant...

 

ComboFix 09-02-19.01 - Capucine 2009-02-21 17:02:25.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.1.1036.18.502.283 [GMT 1:00]
Lancé depuis: c:\documents and settings\Capucine \Bureau\COlaf.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\UACqmkdwkri.sys
c:\windows\system32\UACbfditlem.log
c:\windows\system32\UACjtpixnss.dll
c:\windows\system32\UAClwrnmtau.dll
c:\windows\system32\UAColoopxgm.log
c:\windows\system32\UACovdylqbu.dat
c:\windows\system32\UACpdkppllv.dll
c:\windows\system32\UACpptfvkow.log
c:\windows\system32\UACtfqxobas.dll
c:\windows\Temp\log.txt

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


(((((((((((((((((((((((((((((   Fichiers créés du 2009-01-21 au 2009-02-21  ))))))))))))))))))))))))))))))))))))
.

2009-02-21 17:00 . 2009-02-21 17:00	<REP>	d--hs----	C:\FOUND.000
2009-02-21 16:19 . 2009-02-21 16:19	<REP>	d--------	c:\windows\McAfee.com
2009-02-21 15:50 . 2009-02-21 16:54	1,398	--a------	c:\windows\WINCMD.INI
2009-02-21 15:49 . 2009-02-21 15:49	<REP>	d--------	C:\totalcmd
2009-02-21 01:31 . 2009-02-21 01:31	<REP>	d--------	c:\program files\Glary Utilities
2009-02-21 00:41 . 2009-02-21 00:41	<REP>	d--------	c:\windows\Sun
2009-02-21 00:39 . 2009-02-21 00:39	<REP>	d--------	c:\program files\Java
2009-02-21 00:39 . 2009-02-21 00:39	410,984	--a------	c:\windows\system32\deploytk.dll
2009-02-21 00:39 . 2009-02-21 00:39	73,728	--a------	c:\windows\system32\javacpl.cpl
2009-02-21 00:17 . 2009-02-21 00:17	<REP>	d--------	c:\program files\Panda Security
2009-02-21 00:17 . 2008-06-19 16:24	28,544	--a------	c:\windows\system32\drivers\pavboot.sys
2009-02-21 00:11 . 2009-02-21 00:11	0	--a------	c:\windows\nsreg.dat
2009-02-21 00:05 . 2009-02-21 00:05	<REP>	d--------	c:\documents and settings\Capucine \.housecall6.6
2009-02-20 23:52 . 2009-02-20 23:52	<REP>	d--------	c:\program files\Navilog1
2009-02-20 22:30 . 2009-02-20 22:30	<REP>	d--------	c:\documents and settings\Capucine\log
2009-02-20 22:30 . 2009-02-21 00:41	102,664	--a------	c:\windows\system32\drivers\tmcomm.sys
2009-02-20 22:26 . 2009-02-20 22:26	<REP>	d--------	c:\program files\Sophos
2009-02-20 21:49 . 2009-02-20 21:49	<REP>	d--------	c:\program files\Spybot - Search & Destroy
2009-02-20 21:49 . 2009-02-20 21:49	<REP>	d--------	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-20 21:23 . 2009-02-20 21:23	244	--ah-----	C:\sqmnoopt19.sqm
2009-02-20 21:23 . 2009-02-20 21:23	232	--ah-----	C:\sqmdata19.sqm
2009-02-20 21:20 . 2009-02-20 21:20	244	--ah-----	C:\sqmnoopt18.sqm
2009-02-20 21:20 . 2009-02-20 21:20	232	--ah-----	C:\sqmdata18.sqm
2009-02-20 20:54 . 2009-02-20 20:54	244	--ah-----	C:\sqmnoopt17.sqm
2009-02-20 20:54 . 2009-02-20 20:54	232	--ah-----	C:\sqmdata17.sqm
2009-02-20 11:56 . 2009-02-20 11:56	244	--ah-----	C:\sqmnoopt16.sqm
2009-02-20 11:56 . 2009-02-20 11:56	232	--ah-----	C:\sqmdata16.sqm
2009-02-20 11:45 . 2009-02-21 15:46	5,188	--a------	c:\windows\system32\uacinit.dll
2009-02-14 03:54 . 2009-02-14 03:54	<REP>	d--------	c:\program files\Common Files
2009-01-28 22:03 . 2009-01-28 22:03	<REP>	d--------	c:\program files\Avira
2009-01-28 22:03 . 2009-01-28 22:03	<REP>	d--------	c:\documents and settings\All Users\Application Data\Avira
2009-01-28 21:53 . 2009-01-28 21:53	<REP>	d--------	c:\program files\processexplorer

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-20 20:25	90,112	----a-w	c:\windows\DUMP3671.tmp
2009-02-20 19:45	90,112	----a-w	c:\windows\DUMP3690.tmp
2009-01-16 20:15	3,594,752	----a-w	c:\windows\system32\dllcache\mshtml.dll
2008-12-20 22:47	826,368	----a-w	c:\windows\system32\wininet.dll
2008-12-20 22:47	826,368	----a-w	c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47	671,232	----a-w	c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47	477,696	----a-w	c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47	44,544	----a-w	c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47	233,472	----a-w	c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47	193,024	----a-w	c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47	105,984	----a-w	c:\windows\system32\dllcache\url.dll
2008-12-20 22:47	102,912	----a-w	c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47	1,160,192	----a-w	c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:11	70,656	----a-w	c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10	13,824	------w	c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25	634,024	----a-w	c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23	161,792	----a-w	c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57	333,952	------w	c:\windows\system32\dllcache\srv.sys
2008-10-10 19:44	32,768	--sha-w	c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008101020081011\index.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-06-01 192512]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-07-25 81920]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-04 708698]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2005-07-25 241664]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-06-06 69632]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-01-23 126976]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-06-29 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-21 148888]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Fichiers communs\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-21 28544]
R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2005-07-06 9867]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2005-07-06 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2005-07-06 78208]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2008-08-15 8704]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2008-08-15 4010]
S1 mailKmd;mailKmd; [x]
S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\2E.tmp --> c:\windows\system32\2E.tmp [?]
S3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [2008-08-15 2343]
.
Contenu du dossier 'Tâches planifiées'

2009-02-21 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-02-12 17:10]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Capucine \Application Data\Mozilla\Firefox\Profiles\ugs6qejp.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 17:05:12
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2E.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Heure de fin: 2009-02-21 17:06:12
ComboFix-quarantined-files.txt  2009-02-21 16:06:12

Avant-CF: 26,075,168,768 octets libres
Après-CF: 26,265,714,688 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

166	--- E O F ---	2009-02-11 22:41:42

 

Combofix a apparement supprimé des fichiers qui avaient été detectés et normalement supprimés par Antivir... mais pas bien supprimés apparement.

 

:P

Modifié par simous
angelique Devil Member !

angelique

Posté(e)
Posté(e)

• desinstalle navilog1 via ajout\supp de programmes si ce n'est pas deja fait.

 

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

http://forum.zebulon.fr/infection-antivirus-a360-t159564.html
Collect::
c:\windows\system32\uacinit.dll
Folder::
C:\FOUND.000
c:\program files\Navilog1
File::
C:\sqmnoopt19.sqm
C:\sqmdata19.sqm
C:\sqmnoopt18.sqm
C:\sqmdata18.sqm
C:\sqmnoopt17.sqm
C:\sqmdata17.sqm
C:\sqmnoopt16.sqm
C:\sqmdata16.sqm
c:\windows\DUMP3671.tmp
c:\windows\DUMP3690.tmp
SkipFix::

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

 

CFScriptB-4.gif

 

 

* suis les instructions

* Patiente le temps du scan.Il va etre beaucoup plus rapido.

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

» - Un fichier zippé sera créé c:\qoobox\quarantine > [4]-Submit_Date_Time.zip , tu vas l'uploader sur ce site:

 

http://www.bleepingcomputer.com/submit-malware.php?channel=4

 

en précisant:

 

Link to topic where this file was requested--- > http://forum.zebulon.fr/infection-antivirus-a360-t159564.html

 

avec l'onglet browse , tu vas chercher le zip en date et heure d'aujourd'hui là : c:\qoobox\quarantine\[4]-Submit_Date_Time.zip

 

et clic send file.

simous Extrem Member

simous

Posté(e)
  • Auteur
Posté(e) (modifié)

Navilog a été désinstallé :P

 

On avance bien, super !! j'ai réussi à lancer Spybot et Mbam, mais je n'ai rien fait avec eux.

 

Voici le rapport combofix, le fichier a été uploadé comme demandé.

 

ComboFix 09-02-19.01 - Capucine 2009-02-21 17:30:38.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.1.1036.18.502.275 [GMT 1:00]
Lancé depuis: c:\documents and settings\Capucine \Bureau\COlaf.exe
Commutateurs utilisés :: c:\documents and settings\Capucine \Bureau\CFScript.txt.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.
- Mode FONCTIONNALITES REDUITES -

FILE ::
C:\sqmdata16.sqm
C:\sqmdata17.sqm
C:\sqmdata18.sqm
C:\sqmdata19.sqm
C:\sqmnoopt16.sqm
C:\sqmnoopt17.sqm
C:\sqmnoopt18.sqm
C:\sqmnoopt19.sqm
c:\windows\DUMP3671.tmp
c:\windows\DUMP3690.tmp
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sqmdata16.sqm
C:\sqmdata17.sqm
C:\sqmdata18.sqm
C:\sqmdata19.sqm
C:\sqmnoopt16.sqm
C:\sqmnoopt17.sqm
C:\sqmnoopt18.sqm
C:\sqmnoopt19.sqm
c:\windows\DUMP3671.tmp
c:\windows\DUMP3690.tmp
c:\windows\system32\uacinit.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-01-21 au 2009-02-21  ))))))))))))))))))))))))))))))))))))
.

2009-02-21 17:14 . 2009-02-21 17:14	<REP>	d--------	c:\program files\Malwarebytes' Anti-Malware
2009-02-21 17:14 . 2009-02-21 17:14	<REP>	d--------	c:\documents and settings\Capucine \Application Data\Malwarebytes
2009-02-21 17:14 . 2009-02-21 17:14	<REP>	d--------	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-21 17:14 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-21 17:14 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-02-21 17:00 . 2009-02-21 17:00	<REP>	d--hs----	C:\FOUND.000
2009-02-21 16:19 . 2009-02-21 16:19	<REP>	d--------	c:\windows\McAfee.com
2009-02-21 15:50 . 2009-02-21 17:29	1,468	--a------	c:\windows\WINCMD.INI
2009-02-21 15:49 . 2009-02-21 15:49	<REP>	d--------	C:\totalcmd
2009-02-21 01:31 . 2009-02-21 01:31	<REP>	d--------	c:\program files\Glary Utilities
2009-02-21 00:41 . 2009-02-21 00:41	<REP>	d--------	c:\windows\Sun
2009-02-21 00:39 . 2009-02-21 00:39	<REP>	d--------	c:\program files\Java
2009-02-21 00:39 . 2009-02-21 00:39	410,984	--a------	c:\windows\system32\deploytk.dll
2009-02-21 00:39 . 2009-02-21 00:39	73,728	--a------	c:\windows\system32\javacpl.cpl
2009-02-21 00:17 . 2009-02-21 00:17	<REP>	d--------	c:\program files\Panda Security
2009-02-21 00:17 . 2008-06-19 16:24	28,544	--a------	c:\windows\system32\drivers\pavboot.sys
2009-02-21 00:11 . 2009-02-21 00:11	0	--a------	c:\windows\nsreg.dat
2009-02-21 00:05 . 2009-02-21 00:05	<REP>	d--------	c:\documents and settings\Capucine \.housecall6.6
2009-02-20 23:52 . 2009-02-20 23:52	<REP>	d--------	c:\program files\Navilog1
2009-02-20 22:30 . 2009-02-20 22:30	<REP>	d--------	c:\documents and settings\Capucine \log
2009-02-20 22:30 . 2009-02-21 00:41	102,664	--a------	c:\windows\system32\drivers\tmcomm.sys
2009-02-20 22:26 . 2009-02-20 22:26	<REP>	d--------	c:\program files\Sophos
2009-02-20 21:49 . 2009-02-20 21:49	<REP>	d--------	c:\program files\Spybot - Search & Destroy
2009-02-20 21:49 . 2009-02-20 21:49	<REP>	d--------	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-14 03:54 . 2009-02-14 03:54	<REP>	d--------	c:\program files\Common Files
2009-01-28 22:03 . 2009-01-28 22:03	<REP>	d--------	c:\program files\Avira
2009-01-28 22:03 . 2009-01-28 22:03	<REP>	d--------	c:\documents and settings\All Users\Application Data\Avira
2009-01-28 21:53 . 2009-01-28 21:53	<REP>	d--------	c:\program files\processexplorer

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 20:15	3,594,752	----a-w	c:\windows\system32\dllcache\mshtml.dll
2008-12-20 22:47	826,368	----a-w	c:\windows\system32\wininet.dll
2008-12-20 22:47	826,368	----a-w	c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47	671,232	----a-w	c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47	477,696	----a-w	c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47	44,544	----a-w	c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47	233,472	----a-w	c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47	193,024	----a-w	c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47	105,984	----a-w	c:\windows\system32\dllcache\url.dll
2008-12-20 22:47	102,912	----a-w	c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47	1,160,192	----a-w	c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:11	70,656	----a-w	c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10	13,824	------w	c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25	634,024	----a-w	c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23	161,792	----a-w	c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57	333,952	------w	c:\windows\system32\dllcache\srv.sys
2008-10-10 19:44	32,768	--sha-w	c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008101020081011\index.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-06-01 192512]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-07-25 81920]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-04 708698]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2005-07-25 241664]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-06-06 69632]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-01-23 126976]
"eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-06-29 352256]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-21 148888]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Fichiers communs\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-21 28544]
R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2005-07-06 9867]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2005-07-06 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2005-07-06 78208]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2008-08-15 8704]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2008-08-15 4010]
S1 mailKmd;mailKmd; [x]
S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\2E.tmp --> c:\windows\system32\2E.tmp [?]
S3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [2008-08-15 2343]
.
Contenu du dossier 'Tâches planifiées'

2009-02-21 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-02-12 17:10]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Capucine \Application Data\Mozilla\Firefox\Profiles\ugs6qejp.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 17:30:57
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2E.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Heure de fin: 2009-02-21 17:31:58
ComboFix-quarantined-files.txt  2009-02-21 16:31:58
ComboFix2.txt  2009-02-21 16:06:16

Avant-CF: 26 228 260 864 octets libres
Après-CF: 26,223,312,896 octets libres

167	--- E O F ---	2009-02-11 22:41:42

 

:P

Modifié par simous
angelique Devil Member !

angelique

Posté(e)
Posté(e)

• c:\windows\system32\uacinit.dll a bien été uploadé ??

 

• assure toi qu'antivir est bien configuré , les cases cochées comme sur cette ViD (lien ci dessous), et lance un scan du|des disques , quarantine les éléments trouvés sauf COlaF(ComboFix) , les éléments de c:\qoobox sont la qurantine de ComboFix , tu peux si t'as envie quarantine, et poste le rapport en fin d'analyse.

 

http://www.malekal.com/fichiers/antivir/Co...tionAntivir.avi

 

Ton Infection :: http://mad.internetpol.fr/archives/15-IFra...iableries..html

simous Extrem Member

simous

Posté(e)
  • Auteur
Posté(e)
• c:\windows\system32\uacinit.dll a bien été uploadé ??

 

 

Normalement oui. J'ai suivi ta procédure pour envoyer le zip. Si tu en as encore besoin,je ne l'ai pas supprimé

 

 

Le scan Antivir est en cours, il est un peu long.

 

J'ai effectué un scan Spybot (je sais, c'est pas le top),et un scan Mbam, à part les fichiers de quarantaine, plus rien n'a été trouvé.

 

les éléments de c:\qoobox sont la qurantine de ComboFix , tu peux si t'as envie quarantine,

 

Je suppose que je peux supprimer ce dossier ?

 

Le pc a l'air d'avoir retrouvé un comportement normal, j'attends le scan antivir et ton avis pour en avoir confirmation.

 

Quel fichier faudra-t-il modifier pour supprimer le choix entre Windows et la console de récupération au boot ?

 

:P

angelique Devil Member !

angelique

Posté(e)
Posté(e)

Non , supp. pas qoobox , ça fera parti de la procedure de desinstallation de Combofix apres lecture du rapport d'Antivir.

 

Tu laisses la console de recupération au boot /!\ça dure à peine 2s...

simous Extrem Member

simous

Posté(e)
  • Auteur
Posté(e)

Voici le rapport Antivir.

 

A priori, plus rien d'actif, juste des traces dans les fichiers de quarantaine, et dans les fichiers de point de restauration, que je vais supprimer avec ton accord bien sûr :P

 

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 21 février 2009  18:50

La recherche porte sur 1258726 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :	  Windows XP
Version de Windows :(Service Pack 3)  [5.1.2600]
Mode Boot :	   Démarré normalement
Identifiant :	 Capucine 
Nom de l'ordinateur :ACER-D18848DB56

Informations de version :
BUILD.DAT	 : 8.2.0.52	   16931 Bytes  02/12/2008 14:55:00
AVSCAN.EXE	: 8.1.4.10	  315649 Bytes  18/11/2008 08:21:02
AVSCAN.DLL	: 8.1.4.1		49921 Bytes  21/07/2008 13:44:28
LUKE.DLL	  : 8.1.4.5	   164097 Bytes  12/06/2008 12:44:18
LUKERES.DLL   : 8.1.4.0		13057 Bytes  04/07/2008 07:30:28
ANTIVIR0.VDF  : 7.1.0.0	 15603712 Bytes  27/10/2008 11:30:38
ANTIVIR1.VDF  : 7.1.2.12	 3336192 Bytes  11/02/2009 02:33:14
ANTIVIR2.VDF  : 7.1.2.55	  248832 Bytes  20/02/2009 22:32:12
ANTIVIR3.VDF  : 7.1.2.58		8704 Bytes  21/02/2009 14:48:06
Version du moteur: 8.2.0.87  
AEVDF.DLL	 : 8.1.1.0	   106868 Bytes  31/01/2009 10:06:20
AESCRIPT.DLL  : 8.1.1.47	  348539 Bytes  14/02/2009 02:33:16
AESCN.DLL	 : 8.1.1.7	   127347 Bytes  14/02/2009 02:33:16
AERDL.DLL	 : 8.1.1.3	   438645 Bytes  04/11/2008 13:58:40
AEPACK.DLL	: 8.1.3.8	   397684 Bytes  04/02/2009 19:33:24
AEOFFICE.DLL  : 8.1.0.33	  196987 Bytes  28/01/2009 21:05:10
AEHEUR.DLL	: 8.1.0.97	 1610103 Bytes  20/02/2009 22:32:20
AEHELP.DLL	: 8.1.2.0	   119159 Bytes  28/01/2009 21:05:08
AEGEN.DLL	 : 8.1.1.20	  336245 Bytes  20/02/2009 22:32:18
AEEMU.DLL	 : 8.1.0.9	   393588 Bytes  14/10/2008 10:05:58
AECORE.DLL	: 8.1.6.6	   176501 Bytes  20/02/2009 10:47:52
AEBB.DLL	  : 8.1.0.3		53618 Bytes  14/10/2008 10:05:58
AVWINLL.DLL   : 1.0.0.12	   15105 Bytes  09/07/2008 08:40:04
AVPREF.DLL	: 8.0.2.0		38657 Bytes  16/05/2008 09:28:00
AVREP.DLL	 : 8.0.0.2		98344 Bytes  31/07/2008 12:02:16
AVREG.DLL	 : 8.0.0.1		33537 Bytes  09/05/2008 11:26:38
AVARKT.DLL	: 1.0.0.23	  307457 Bytes  12/02/2008 08:29:20
AVEVTLOG.DLL  : 8.0.0.16	  119041 Bytes  12/06/2008 12:27:48
SQLITE3.DLL   : 3.3.17.1	  339968 Bytes  22/01/2008 17:28:04
SMTPLIB.DLL   : 1.2.0.23	   28929 Bytes  12/06/2008 12:49:38
NETNT.DLL	 : 8.0.0.1		 7937 Bytes  25/01/2008 12:05:08
RCIMAGE.DLL   : 8.0.0.51	 2371841 Bytes  04/07/2008 07:23:18
RCTEXT.DLL	: 8.0.52.1	   86273 Bytes  17/07/2008 10:08:44

Configuration pour la recherche actuelle :
Nom de la tâche..................: Disques durs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : samedi 21 février 2009  18:50

La recherche d'objets cachés commence.
'31218' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MsnMsgr.Exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Monitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LaunchAp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HotkeyApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OSDCtrl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Powerkey.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WButton.exe' - '1' module(s) sont contrôlés
Processus de recherche 'epm-dm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'anbmServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
'38' processus ont été contrôlés avec '38' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO]	  Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO]	  Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO]	  Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '59' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP122\A0010453.dll
[RESULTAT]  Contient le modèle de détection du rootkit RKIT/TDss.eyj.65
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP122\A0010454.dll
[RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP122\A0010456.dll
[RESULTAT]  Contient le modèle de détection du rootkit RKIT/TDss.eyj.66
[AVERTISSEMENT] Fichier ignoré.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACjtpixnss.dll.vir
[RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Fichier ignoré.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACtfqxobas.dll.vir
[RESULTAT]  Contient le modèle de détection du rootkit RKIT/TDss.eyj.66
[AVERTISSEMENT] Fichier ignoré.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_UACqmkdwkri_.sys.zip
[0] Type d'archive: ZIP
--> UACqmkdwkri.sys
  [RESULTAT]  Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Fichier ignoré.
Recherche débutant dans 'D:\' <ACERDATA>
D:\Mes Documents\divers\backups\backup-20090220-211456-826.dll
[RESULTAT]  Contient le cheval de Troie TR/Inject.ovs
[AVERTISSEMENT] Fichier ignoré.


Fin de la recherche : samedi 21 février 2009  19:23
Temps nécessaire: 33:02 Minute(s)

La recherche a été effectuée intégralement

  3219 Les répertoires ont été contrôlés
262511 Des fichiers ont été contrôlés
  7 Des virus ou programmes indésirables ont été trouvés
  0 Des fichiers ont été classés comme suspects
  0 Des fichiers ont été supprimés
  0 Des virus ou programmes indésirables ont été réparés
  0 Les fichiers ont été déplacés dans la quarantaine
  0 Les fichiers ont été renommés
  2 Impossible de contrôler des fichiers
262502 Fichiers non infectés
  6765 Les archives ont été contrôlées
  9 Avertissements
  0 Consignes
 31218 Des objets ont été contrôlés lors du Rootkitscan
  0 Des objets cachés ont été trouvés

 

Le dernier fichier sur D: dans le répertoire backup, ça provient de Hijack this, résultat de ma première tentative de désinfection.

 

:P

angelique Devil Member !

angelique

Posté(e)
Posté(e)

• c'est ok ; desinstalle ComboFix en copiant_collant ci dessous dans executer et valide:

 

ComboFix /u

 

» un dossier COlaF restant en c:\ tu supprimeras

 

» supp. :: D:\Mes Documents\divers\backups

 

• meme si CF fait ça à sa desinstallation!:

 

» Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

» puis utilise l'onglet "éditer" de ton 1er message et Ajoute [resolu] dans le titre .

 

Bonne SoiréeBye \o_

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...