Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

restore fix


pka

Messages recommandés

Ok,sortons l'artillerie!

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

animation2ko5.gif

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,vous pourriez lire ce Mode opératoire:

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB).

*Double cliquer sur combofix.exe pour le lancer.

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Lien vers le commentaire
Partager sur d’autres sites

voilà le rapport de combofix

 

ComboFix 09-02-28.01 - Propriétaire 2009-03-01 16:34:17.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.255.120 [GMT 1:00]

Lancé depuis: c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\patch.exe

c:\windows\system\oeminfo.ini

c:\windows\system32\datkkq32.dll

c:\windows\system32\ftpupd.exe

c:\windows\system32\iAlmcoin.dll

c:\windows\system32\wins\svchost.exe

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-28 17:43 . 2009-02-28 17:43 <REP> d-------- c:\program files\Nobilis

2009-02-28 16:48 . 2009-02-28 16:48 <REP> d-------- C:\_OTMoveIt

2009-02-28 14:31 . 2009-02-28 14:31 <REP> d-------- C:\rsit

2009-02-27 21:49 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-27 21:49 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-27 21:11 . 2009-02-27 21:11 13,753 --a------ c:\windows\is-FPM8I.msg

2009-02-27 21:11 . 2009-02-27 21:11 433 --a------ c:\windows\is-FPM8I.lst

2009-02-26 19:26 . 2009-02-26 19:26 <REP> d-------- c:\program files\Avira

2009-02-26 19:26 . 2009-02-26 19:26 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-02-26 11:49 . 2009-02-26 11:49 <REP> d-------- C:\ToolBar SD

2009-02-15 13:11 . 2009-02-15 13:11 <REP> d-------- C:\DriveKey

2009-02-14 15:47 . 2009-02-14 15:47 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\Shareaza

2009-02-14 15:17 . 2009-02-14 15:17 <REP> d-------- c:\windows\LastGood

2009-02-14 14:44 . 2009-02-14 14:44 <REP> d-------- c:\program files\Duplicate Cleaner

2009-02-14 14:44 . 2007-09-24 11:04 675,840 --a------ c:\windows\system32\AudioGenie24.ocx

2009-02-13 23:08 . 2009-02-13 23:08 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier

2009-02-13 23:08 . 2009-02-13 23:11 4,212 ---h----- c:\windows\system32\zllictbl.dat

2009-02-13 23:06 . 2009-02-14 09:56 <REP> d-------- c:\windows\system32\ZoneLabs

2009-02-13 23:05 . 2009-02-14 09:56 <REP> d-------- c:\windows\Internet Logs

2009-02-13 21:49 . 2009-02-28 08:12 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-02-13 21:49 . 2009-02-13 21:49 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\Malwarebytes

2009-02-13 21:49 . 2009-02-13 21:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-13 21:30 . 2009-02-13 21:30 <REP> d-------- c:\program files\Trend Micro

2009-02-13 21:23 . 2003-03-09 21:31 561,152 -ra------ c:\windows\system32\hpotscl.dll

2009-02-13 21:23 . 2003-03-09 21:31 274,432 -ra------ c:\windows\system32\hpgwiamd.dll

2009-02-13 21:23 . 2003-03-09 21:30 237,568 -ra------ c:\windows\system32\HPZc3212.dll

2009-02-13 21:23 . 2003-03-09 21:31 81,920 -ra------ c:\windows\system32\hpovst08.dll

2009-02-13 21:23 . 2002-08-29 01:48 14,208 --a------ c:\windows\system32\drivers\usbscan.sys

2009-02-13 21:23 . 2002-08-29 01:48 14,208 --a--c--- c:\windows\system32\dllcache\usbscan.sys

2009-02-13 20:35 . 2009-02-13 21:24 <REP> d-------- c:\windows\LastGood.Tmp

2009-02-12 13:30 . 2009-02-12 13:30 <REP> d-------- C:\WUTemp

2009-02-12 13:30 . 2003-08-25 18:06 182,880 --a------ c:\windows\system32\iuenginenew.dll

2009-02-11 22:28 . 2009-02-11 22:28 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\DivX

2009-02-11 22:15 . 2003-12-08 11:53 70,688 --a------ c:\windows\system32\drivers\alcaudsl.sys

2009-02-11 22:15 . 2003-12-08 11:53 53,600 --a------ c:\windows\system32\drivers\alcan5wn.sys

2009-02-11 22:15 . 2003-12-08 11:53 5,606 --a------ c:\windows\system32\stci.dll

2009-02-11 22:15 . 2003-12-08 11:53 5,280 --a------ c:\windows\system32\drivers\alcawh.sys

2009-02-11 22:15 . 2003-12-08 11:53 3,968 --a------ c:\windows\system32\drivers\alcacr.sys

2009-02-11 22:14 . 2009-02-11 22:14 <REP> d-------- c:\program files\Wanadoo Messager

2009-02-11 22:14 . 2003-12-12 14:59 32,768 --a------ c:\windows\system32\ffJmpWeb.dll

2009-02-11 21:18 . 2003-01-02 06:30 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\WINDOWS

2009-02-11 21:18 . 2003-01-02 06:30 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\WINDOWS

2009-02-11 21:18 . 2003-01-02 05:29 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Voisinage réseau

2009-02-11 21:18 . 2003-01-02 05:29 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Voisinage réseau

2009-02-11 21:18 . 2003-01-02 05:29 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Voisinage d'impression

2009-02-11 21:18 . 2003-01-02 05:29 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Voisinage d'impression

2009-02-11 21:18 . 2009-02-11 21:18 <REP> d---s---- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\UserData

2009-02-11 21:18 . 2009-02-11 21:18 <REP> d---s---- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\UserData

2009-02-11 21:18 . 2009-02-11 21:18 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Modèles

2009-02-11 21:18 . 2009-02-11 21:18 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Modèles

2009-02-11 21:18 . 2009-02-28 14:55 <REP> dra------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Mes documents

2009-02-11 21:18 . 2009-02-28 14:55 <REP> dra------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Mes documents

2009-02-11 21:18 . 2009-02-11 21:27 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Menu Démarrer

2009-02-11 21:18 . 2009-02-11 21:27 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Menu Démarrer

2009-02-11 21:18 . 2009-02-28 23:18 <REP> dra------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Favoris

2009-02-11 21:18 . 2009-02-28 23:18 <REP> dra------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Favoris

2009-02-11 21:18 . 2009-03-01 16:30 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Bureau

2009-02-11 21:18 . 2009-03-01 16:30 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Bureau

2009-02-11 21:18 . 2004-12-22 13:43 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\Zylom

2009-02-11 21:18 . 2003-12-03 10:25 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\VERITAS

2009-02-11 21:18 . 2003-01-02 08:27 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\Symantec

2009-02-11 21:18 . 2003-01-02 06:28 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\Sonic

2009-02-11 21:18 . 2003-01-02 06:33 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\SampleView

2009-02-11 21:18 . 2009-02-14 09:53 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\MSN6

2009-02-11 21:18 . 2003-09-08 17:47 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\InterVideo

2009-02-11 21:18 . 2003-01-02 06:29 <REP> d-a------ c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\InterTrust

2009-02-11 21:18 . 2003-08-16 19:20 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\Hewlett-Packard

2009-02-11 21:18 . 2003-08-17 08:15 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\ArcSoft

2009-02-11 21:18 . 2004-06-13 08:07 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data\ACD Systems

2009-02-11 21:17 . 2009-02-11 21:38 <REP> d-------- c:\documents and settings\Propriétaire.NOM-Y40BV9AST51.000

2009-02-11 20:59 . 2002-08-29 11:33 52,736 --a------ c:\windows\system32\drivers\i8042prt.sys

2009-02-11 20:59 . 2002-08-29 11:35 24,064 --a------ c:\windows\system32\drivers\kbdclass.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-28 15:41 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-02-28 15:40 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-28 07:46 --------- d-----w c:\program files\Common Files

2009-02-15 12:11 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-14 14:47 --------- d-----w c:\program files\Shareaza

2009-02-14 14:44 --------- d-----w c:\program files\eMule

2009-02-14 14:40 --------- d-----w c:\documents and settings\Propriétaire.NOM-Y40BV9AST51\Application Data\Shareaza

2009-02-14 08:48 --------- d-----w c:\program files\Wanadoo

2009-02-14 08:39 --------- d---a-w c:\program files\Easy Internet signup

2009-02-11 22:06 --------- d---a-w c:\program files\Fichiers communs\Symantec Shared

2009-02-11 22:06 --------- d---a-w c:\documents and settings\All Users\Application Data\Symantec

2009-02-11 22:05 --------- d---a-w c:\program files\Symantec

2009-02-11 21:15 --------- d-----w c:\program files\Thomson

2009-02-11 21:14 --------- d-----w c:\program files\Messager Wanadoo

2009-02-11 20:32 4,114 --sha-r c:\windows\system32\drivers\HP_DM001A-ABF a248_YC_Pavi_QCZB330_E33FRheBLF1_4_IA7N8X-LA_SASUSTeK Computer INC._VRev 1.xx_B3.03_T030627_W1_L40C_M256_J80_7AMD_8Athlon XP 2400+_92_110DE006E_N10DE0066_P_Z_K_A10DE006A_U10DE0067_G10025961.MRK

2009-02-11 19:56 724,992 ----a-w c:\windows\iun6002.exe

2009-01-25 16:34 --------- d-----w c:\documents and settings\Propriétaire.NOM-Y40BV9AST51\Application Data\PlayFirst

2009-01-25 16:34 --------- d-----w c:\documents and settings\All Users\Application Data\PlayFirst

2009-01-10 10:47 --------- d-----w c:\program files\Google

2009-01-03 15:53 --------- d-----w c:\documents and settings\Propriétaire.NOM-Y40BV9AST51\Application Data\cerasus.media

2007-09-22 12:35 62,848 ----a-w c:\documents and settings\Propriétaire.NOM-Y40BV9AST51\Application Data\GDIPFONTCACHEV1.DAT

2006-06-25 11:50 1,793 ----a-w c:\windows\inf\SETD6.tmp

2004-11-04 14:09 60,872 ----a-w c:\windows\system32\config\systemprofile\Application Data\GDIPFONTCACHEV1.DAT

2004-11-04 14:09 60,872 ----a-w c:\documents and settings\Default User\Application Data\GDIPFONTCACHEV1.DAT

2001-06-06 18:31 150,238 ----a-w c:\program files\wdTOC10.CHM

2001-06-06 18:30 93,643 ----a-w c:\program files\fpTOC10.CHM

2001-06-06 18:30 77,110 ----a-w c:\program files\pbTOC10.CHM

2001-06-06 18:30 114,261 ----a-w c:\program files\olTOC10.CHM

2001-06-06 18:30 110,592 ----a-w c:\program files\ppTOC10.CHM

2001-06-06 18:29 207,673 ----a-w c:\program files\ACTOC10.CHM

2001-06-06 18:28 154,461 ----a-w c:\program files\xlTOC10.CHM

2001-05-07 14:54 380,432 ----a-r c:\program files\xlow10.aw

2001-05-07 14:54 341,112 ----a-r c:\program files\wdow10.aw

2001-05-07 14:54 317,335 ----a-r c:\program files\ppow10.aw

2001-05-07 14:54 135,594 ----a-r c:\program files\pbow10.aw

2001-05-07 14:53 361,233 ----a-r c:\program files\fpow10.aw

2001-05-07 14:53 304,348 ----a-r c:\program files\acow10.aw

2001-05-07 14:53 300,824 ----a-r c:\program files\olow10.aw

.

 

------- Sigcheck -------

 

2004-08-04 07:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ip6fw.sys

2004-08-04 07:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\drivers\ip6fw.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-21 1511453]

"NVIEW"="nview.dll" [2003-03-04 c:\windows\system32\nview.dll]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-12 61440]

"StorageGuard"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-13 155648]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2002-09-14 212992]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-03-12 114688]

"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-03-04 4595712]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 315392]

"ShowShifter TVTV EPG Daemon"="c:\program files\Home Media Networks Limited\ShowShifter\TVTVD.exe" [2003-04-24 50247]

"PS2"="c:\windows\system32\ps2.exe" [2002-10-16 81920]

"WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2004-10-13 24576]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-10-13 24576]

"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"ATIModeChange"="Ati2mdxx.exe" [2001-09-05 c:\windows\system32\Ati2mdxx.exe]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

Calc.exe [2005-01-24 471040]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

Calc.exe [2005-01-24 471040]

 

c:\documents and settings\Propri‚taire.NOM-Y40BV9AST51.000\Menu D‚marrer\Programmes\D‚marrage\

Calc.exe [2005-01-24 471040]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]

Windows Desktop Search.lnk - c:\program files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe [2005-09-20 17:10:04 238080]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.MJPG"= pvmjpg20.dll

 

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-02-26 22336]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-02-26 45376]

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-14 c:\windows\Tasks\Connexion facile à Internet.job

- c:\program files\Easy Internet signup\HPSdpApp.exe [2003-03-12 07:34]

 

2009-03-01 c:\windows\Tasks\LiveUpdate.job

- c:\progra~1\Symantec\LIVEUP~1\LUAll.exe [2002-08-20 06:07]

 

2009-02-28 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job

- c:\program files\Spybot - Search & Destroy\SpybotSD.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-01 16:45:51

Windows 5.1.2600 Service Pack 1 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(652)

c:\windows\System32\ODBC32.dll

c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

 

- - - - - - - > 'lsass.exe'(708)

c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

c:\windows\System32\dssenh.dll

.

Heure de fin: 2009-03-01 16:53:55

ComboFix-quarantined-files.txt 2009-03-01 15:53:52

 

Avant-CF: 2 825 232 384 octets libres

Après-CF: 3,922,202,624 octets libres

 

211

Lien vers le commentaire
Partager sur d’autres sites

Ca semble bon.

 

Désactiver l'antivirus actuel et faire un scan en ligne avec l'un de ces 3 logiciels

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

 

1) Kaspersky

b]Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky[/b]

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

Lien vers le commentaire
Partager sur d’autres sites

Essayez l'un ou l'autre:

 

Scan Panda

 

ou ,autre choix,

Nod32 Sous Vista

Cliquer sur le lien suivant > ESET Online Scanner Link

* Cocher la case YES, I accept the Terms Of Use

* Cliquer sur le bouton Start

* Cliquer ensuite sur le bouton Install

* Clique sur Start

* Le scanner va se mettre à jour.

* Ne pas cocher la case Remove found threats

* Clique sur le bouton Scan

* Le scan va se lancer:

* Lorsque le scan s'achève, cliquer sur le menu Details

* Copier/coller le contenu du rapport généré:

il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, j'ai fait un scan avec panda : mon pc est infecté à croire qu'antivir ne sert à rien.

Panda propose une petite désinfection gratuite pour le rapport qui suit

;*******************************************************************************

*********************************************************************************

*******************

ANALYSIS: 2009-03-02 21:55:57

PROTECTIONS: 0

MALWARE: 25

SUSPECTS: 0

;*******************************************************************************

*********************************************************************************

*******************

PROTECTIONS

Description Version Active Updated

;===============================================================================

=================================================================================

===================

;===============================================================================

=================================================================================

===================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===============================================================================

=================================================================================

===================

00024343 adware/keenvalue Adware No 0 Yes No c:\windows\system32\drivers\etc\hosts.bho

00035328 Application/KillApp.A HackTools No 0 Yes No C:\hp\bin\Terminator.exe

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Local Settings\Temp\Cookies\propriétaire@doubleclick[2].txt

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Local Settings\Temp\Cookies\propriétaire@atdmt[1].txt

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@tradedoubler[1].txt

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@tradedoubler[1].txt

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@tradedoubler[1].txt

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Local Settings\Temp\Cookies\propriétaire@247realmedia[1].txt

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@247realmedia[1].txt

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@247realmedia[1].txt

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@247realmedia[1].txt

00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@fastclick[1].txt

00145754 Cookie/Incredifind TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@incredifind[1].txt

00145754 Cookie/Incredifind TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@incredifind[1].txt

00147816 Cookie/Beweb TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@beweb[2].txt

00147816 Cookie/Beweb TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@beweb[2].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@com[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[2].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Local Settings\Temp\Cookies\propriétaire@xiti[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@xiti[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Cookies\propriétaire@xiti[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@xiti[2].txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Cookies\proprié[email protected][1].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Cookies\propriétaire@weborama[1].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@weborama[2].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@weborama[2].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Local Settings\Temp\Cookies\propriétaire@weborama[2].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@adtech[2].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[2].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Local Settings\Temp\Cookies\propriétaire@adtech[2].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@adtech[1].txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\proprié[email protected][2].txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\proprié[email protected][2].txt

00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@overture[2].txt

00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Local Settings\Temp\Cookies\propriétaire@overture[1].txt

00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@overture[2].txt

00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@realmedia[2].txt

00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@realmedia[2].txt

00172449 Cookie/MetriWeb TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@metriweb[2].txt

00172449 Cookie/MetriWeb TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@metriweb[2].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[2].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@bluestreak[2].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@bluestreak[1].txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Cookies\propriétaire@smartadserver[2].txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Cookies\propriétaire@smartadserver[2].txt

00593436 W32/Autorun.AQG.worm Virus/Worm No 1 No No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Bureau\ComboFix.exe[32788R22FWJFW\List.bat]

00593436 W32/Autorun.AQG.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{DC728D2A-F789-45D0-A904-D810A757CF8D}\RP27\A0010553.bat

01048936 Generic Malware Virus/Trojan No 0 Yes No C:\Program Files\GameSpy Arcade\Services\_common\PortraitLoader.dll

01162707 HackTool/KillProcWin.A HackTools No 0 No No C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51\Local Settings\Application Data\Wildtangent\Cdacache\00\00\0C.dat[simple_killw.exe]

02219087 Generic Malware Virus/Trojan No 0 Yes No C:\Program Files\GameSpy Arcade\Aphex.exe

02990320 Application/BoontyGames HackTools No 0 Yes No C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

;===============================================================================

=================================================================================

===================

SUSPECTS

Sent Location =B\39\

;===============================================================================

=================================================================================

===================

;===============================================================================

=================================================================================

===================

VULNERABILITIES

Id Severity Description =B\39\

;===============================================================================

=================================================================================

===================

133387 MEDIUM MS06-065 =B\39\

133386 MEDIUM MS06-064 =B\39\

133385 MEDIUM MS06-063 =B\39\

133379 HIGH MS06-057 =B\39\

131654 HIGH MS06-055 =B\39\

129977 MEDIUM MS06-053 =B\39\

129976 MEDIUM MS06-052 =B\39\

126093 HIGH MS06-051 =B\39\

126092 MEDIUM MS06-050 =B\39\

126087 HIGH MS06-046 =B\39\

126086 MEDIUM MS06-045 =B\39\

126083 HIGH MS06-042 =B\39\

126082 HIGH MS06-041 =B\39\

126081 HIGH MS06-040 =B\39\

123421 HIGH MS06-036 =B\39\

123420 HIGH MS06-035 =B\39\

120825 MEDIUM MS06-032 =B\39\

120823 MEDIUM MS06-030 =B\39\

120818 HIGH MS06-025 =B\39\

120815 HIGH MS06-022 =B\39\

120814 HIGH MS06-021 =B\39\

117384 MEDIUM MS06-018 =B\39\

114666 HIGH MS06-015 =B\39\

114664 HIGH MS06-013 =B\39\

111790 MEDIUM MS06-011 =B\39\

108744 MEDIUM MS06-008 =B\39\

108743 MEDIUM MS06-007 =B\39\

108742 MEDIUM MS06-006 =B\39\

104567 HIGH MS06-002 =B\39\

104237 HIGH MS06-001 =B\39\

101055 HIGH MS05-054 =B\39\

96574 HIGH MS05-053 =B\39\

93396 HIGH MS05-052 =B\39\

93395 HIGH MS05-051 =B\39\

93394 HIGH MS05-050 =B\39\

93454 MEDIUM MS05-049 =B\39\

;===============================================================================

=================================================================================

===================

 

 

Et pour les plus dangereux, une désinfection payante.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

A part les cookies et fichiers en quarantaine, Panda a trouvé ceci:

Rien d'important!

 

Pour ceci, à vous de voir si vous voulez désinstaller:

C:\Program Files\GameSpy Arcade\Services\_common\PortraitLoader.dll

C:\Program Files\GameSpy Arcade\Aphex.exe

 

Pour Bounty:

C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

A propos de Bounty Games:

 

Il ne s'agit pas d'une infection!

Conformément aux conditions générales d'utilisation définies que l'on peut trouver sur leur site et acceptées lors du téléchargement d'un jeu (cf ici par exemple pour une traduction google et la visualisation de la page originale) le service Boonty, à l'image de la BoontyBox, collecte des informations vous concernant (configuration, téléchargements effectués, toutes informations strictement personnelles fournies par un formulaire d'enregistrement ou d'inscription à un jeu concours, etc, )en principe,à des fins d'amélioration du service , mais il se réserve le droit de les fournir à des tiers comme les producteurs de jeu pour leur études de de marché: (références de jeu, âge, genre, situation géographique, éducation, métier, matériel informatique , centres d' intérêts de jeu vidéo, activités et achats, mais pas de nom ou informations de contact).

Autant de raisons donc de le supprimer, mais en sachant qu'il réapparaitra après chaque téléchargement de ces petits jeux..

 

]En gardant ce fichier Bounty.bat sur votre bureau, vous pourrez vous débarrasser de Bounty quand vous voudrez.

 

Supprimer le service Bounnty:

Copiez collez dans le bloc notes.

Enregistrez sous Bounty.bat, sur le bureau.

Double clic pour lancer.:

@echo off

sc stop Bounty

sc delete Bounty

cd c:\

cd Program Files

cd Fichiers communs

del /f /s /q C:\Program Files\Fichiers communs\BOONTY Shared

 

 

 

Je ne prendrais pas le risque de toucher au suivant

C:\hp\bin\Terminator.exe

 

POur ceci:

c:\windows\system32\drivers\etc\hosts.bho

 

Nettoyer le fichier hosts

process.exe, dans Smitfraudfix, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

# Vous devez donc désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

[ b]Si vous êtes Sous Vista:[/b]

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Sous Xp, vous faites la suite.

 

Télécharger SmitfraudFix sur le Bureau

Miroirs: si vous avez un problème pour télécharger, utilisez ces sites miroirs officiels qui hébergent aussi la dernière version:

http://siri.geekstogo.com/SmitfraudFix.exe

http://downloads.securitycadets.com/SmitfraudFix.exe

 

option 1 - Recherche :

Double cliquer sur smitfraudfix.exe

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ).

Double cliquer sur smitfraudfix.exe

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

Poster le rapport(c:\rapport.txt)

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, j'ai fais une mise à jour de windows sp2, le pare feu fonctionne, je n'ai plus de ports ouverts, peut-être qu'il faudrait un pare feu plus efficace ?

Voici le rapport de smitfraudfix:

SmitFraudFix v2.398

 

Rapport fait à 20:47:09,78, 03/03/2009

Executé à partir de C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Bureau\Raccourcis Bureau non utilisés\SECURITE ZEBULON\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Menu Démarrer\Programmes\Démarrage\Calc.exe

c:\Program Files\Microsoft Works\MSWorks.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

Fichier hosts corrompu !

 

127.0.0.1 www.legal-at-spybot.info

127.0.0.1 legal-at-spybot.info

127.0.0.1 www.spywareinfo.com

127.0.0.1 spywareinfo.com

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1.000\LOCALS~1\Temp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1.000\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 81.253.149.9

DNS Server Search Order: 80.10.246.132

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{86DD5CC7-1D75-4A4F-B8AB-661D280F5383}: NameServer=81.253.149.9 80.10.246.132

HKLM\SYSTEM\CS1\Services\Tcpip\..\{86DD5CC7-1D75-4A4F-B8AB-661D280F5383}: NameServer=81.253.149.9 80.10.246.132

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Je vais tenter l'option 2 : le nettoyage.

Lien vers le commentaire
Partager sur d’autres sites

Voilà le rapport après le nettoyage :

SmitFraudFix v2.398

 

Rapport fait à 20:55:49,71, 03/03/2009

Executé à partir de C:\Documents and Settings\Propriétaire.NOM-Y40BV9AST51.000\Bureau\Raccourcis Bureau non utilisés\SECURITE ZEBULON\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

...

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

je n'ai pas eu le message corriger le fichier infecté, pour le fichier wininet.dll, il n'est peut être pas infecté ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...