(Resolu) Securisation

[Falkra]

Il faut laisser la console de récupération s'installer, c'est une sécurité bien utile et qui s'installe automatiquement.

 

Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

 

• Télécharge le fichier CFscript.txt depuis ce site :
  http://senduit.com/05d10c
   
  
• Place-le sur le bureau, près de l'icône de combofix.
  
• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

[Titso]

Salut,

 

Maintenant j'ai un gros problème, mon adresse IP a disparu. impossible de se connecter. Un message me dit limited or no connectivity.

 

J'ai fait ipconfig/release puis ipconfig/renew. Toujours rien, j'ai répété l'opération plusieurs fois et toujours rien.

 

Now je suis sur un laptop et ne sais quoi faire, car précédemment j'étais sur un PC.

[Falkra]

Passe le script combofix, il faut de toute façon éliminer ces bestioles.

Transfère avec une clé USB le fichier script.

 

Pour essayer de réparer internet, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

• Clique sur le bouton Démarrer.
  
• Clique sur l'option de menu Paramètres.
  
• Clique sur l'option Panneau de configuration.
  
• Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
  
• Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
  
• Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.
  

[Titso]

Salut,

 

Toujours rien.

[Titso]

Voici le script combofix :

 

ComboFix 09-06-05.09 - Abi 06/06/2009 22:11.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1014.672 [GMT 3:00]

Running from: c:\documents and settings\Abi\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Abi\Desktop\CFscript.txt

AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}

FW: McAfee Personal Firewall *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}

.

 

((((((((((((((((((((((((((((((((((((((( OtherDeletions))))))))))))))))))))))))))))))))))))))))))))))))).

 

.

(((((((((((((((((((((((((((((((((((((((Drivers/Services))))))))))))))))))))))))))))))))))))))))))))))))).

 

-------\Legacy_LDAFVBKJQ

-------\Service_ldafvbkjq

 

 

((((((((((((((((((((((((( Files Created from 2009-05-06 to 2009-0606))))))))))))))))))))))))))))))).

 

2009-06-06 18:53 . 2009-06-06 19:06 -------- d-----w- c:\windows\system32\CatRoot_bak

2009-06-06 16:32 . 2009-06-06 18:49 -------- d--h--w- c:\windows\$hf_mig$

2009-06-06 15:46 . 2009-06-06 15:46 -------- d-----w- c:\documents and settings\Abi\Application Data\Malwarebytes

2009-06-06 15:45 . 2009-05-26 10:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-06-06 15:45 . 2009-06-06 15:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-06-06 15:45 . 2009-06-06 15:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-06-06 15:45 . 2009-05-26 10:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-06-06 14:04 . 2009-06-06 14:06 -------- d-----w- c:\program files\trend micro

2009-06-06 14:04 . 2009-06-06 14:06 -------- d-----w- C:\rsit

2009-06-03 17:35 . 2009-06-03 17:39 -------- d-----w- c:\program files\Easy MEMOry

2009-06-03 14:44 . 2009-06-03 14:44 -------- d-----w- c:\documents and settings\Omi\Local Settings\Application Data\Google

2009-06-02 11:31 . 2009-06-02 11:31 -------- d-----w- c:\program files\SiteAdvisor

2009-05-31 20:57 . 2009-06-03 14:45 -------- d-----w- c:\documents and settings\LocalService\Application Data\SACore

2009-05-31 20:57 . 2009-05-31 20:57 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\SACore

2009-05-31 18:56 . 2009-06-06 19:14 -------- d-----w- c:\documents and settings\Abi\Tracing

2009-05-31 18:55 . 2009-02-06 15:08 55152 ----a-w- c:\windows\system32\drivers\fssfltr_tdi.sys

2009-05-31 18:54 . 2009-05-31 18:54 -------- d-----w- c:\program files\Microsoft

2009-05-31 18:54 . 2009-05-31 18:54 -------- d-----w- c:\program files\Windows Live SkyDrive

2009-05-31 18:54 . 2009-05-31 18:55 -------- d-----w- c:\program files\Windows Live

2009-05-31 18:09 . 2009-05-31 18:09 -------- d-----w- c:\program files\Common Files\Windows Live

2009-05-31 15:30 . 2009-05-31 15:30 -------- d-----w- c:\program files\Common Files\xing shared

2009-05-31 15:30 . 2009-05-31 15:30 -------- d-----w- c:\program files\Real

2009-05-31 15:29 . 2009-05-31 15:30 -------- d-----w- c:\program files\Common Files\Real

2009-05-31 15:28 . 2009-06-06 17:15 -------- d-----w- c:\program files\Google

2009-05-31 12:26 . 2009-05-31 12:26 86576 ----a-w- c:\documents and settings\Abi\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe

2009-05-31 12:26 . 2009-05-31 12:26 392728 ----a-w- c:\documents and settings\Abi\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll

2009-05-31 12:26 . 2009-05-31 12:26 135680 ----a-w- c:\documents and settings\Abi\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe

2009-05-31 12:26 . 2009-05-31 12:26 132672 ----a-w- c:\documents and settings\Abi\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe

2009-05-31 12:05 . 2009-03-24 13:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-05-30 14:02 . 2009-06-06 19:14 -------- d-----w- c:\documents and settings\Abi\Application Data\Skype

2009-05-30 14:02 . 2009-05-30 14:02 -------- d-----r- c:\program files\Skype

2009-05-30 14:02 . 2009-05-30 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-05-29 20:44 . 2009-05-29 21:46 -------- d-----w- c:\documents and settings\Abi\Application Data\MSNInstaller

2009-05-29 20:22 . 2009-05-29 20:22 1024 ---h--r- c:\windows\system32\NTIMPEG2.dll

2009-05-29 20:22 . 2009-05-29 20:22 1024 ---h--r- c:\windows\system32\NTIMP3.dll

2009-05-29 20:22 . 2009-05-29 20:22 1024 ---h--r- c:\windows\system32\NTICDMK7.dll

2009-05-29 20:13 . 2006-03-03 08:07 143360 ----a-w- c:\windows\system32\dunzip32.dll

2009-05-29 20:12 . 2009-03-25 08:05 34216 ----a-w- c:\windows\system32\drivers\mferkdk.sys

2009-05-29 20:12 . 2009-03-25 08:06 40552 ----a-w- c:\windows\system32\drivers\mfesmfk.sys

2009-05-29 20:12 . 2009-03-25 08:06 79880 ----a-w- c:\windows\system32\drivers\mfeavfk.sys

2009-05-29 20:12 . 2009-03-25 08:06 35272 ----a-w- c:\windows\system32\drivers\mfebopk.sys

2009-05-29 20:12 . 2009-03-25 08:06 214024 ----a-w- c:\windows\system32\drivers\mfehidk.sys

2009-05-29 20:12 . 2008-10-23 10:08 120136 ----a-w- c:\windows\system32\drivers\Mpfp.sys

2009-05-29 20:11 . 2009-05-29 20:12 -------- d-----w- c:\program files\McAfee.com

2009-05-29 20:11 . 2009-05-29 20:12 -------- d-----w- c:\program files\Common Files\McAfee

2009-05-29 20:11 . 2009-06-02 17:52 -------- d-----w- c:\program files\McAfee

2009-05-29 20:08 . 2009-05-29 20:08 -------- d-----w- c:\windows\IIS Temporary Compressed Files

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-06 16:12 . 2009-01-15 18:01 -------- d-----w- c:\program files\Common Files\Adobe

2009-06-02 11:54 . 2009-01-15 18:09 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee

2009-06-01 11:04 . 2009-01-15 18:13 -------- d-----w- c:\documents and settings\All Users\Application Data\SiteAdvisor

2009-05-31 18:55 . 2009-01-15 18:26 58080 ----a-w- c:\documents and settings\Abi\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-31 15:30 . 2003-03-18 17:14 499712 ----a-w- c:\windows\system32\msvcp71.dll

2009-05-31 15:30 . 2003-02-21 01:42 348160 ----a-w- c:\windows\system32\msvcr71.dll

2009-05-30 12:30 . 2009-03-21 13:36 -------- d-----w- c:\program files\Zahra Coloring Game

2009-03-25 20:53 . 2009-03-25 20:40 343218 ----a-w- c:\windows\zomorroda_clock5.scr

2009-03-25 20:49 . 2009-03-25 20:49 376963 ----a-w- c:\windows\zomorroda_clock4.scr

2009-03-25 20:48 . 2009-03-25 20:48 374566 ----a-w- c:\windows\zomorroda_clock1.scr

2009-03-25 20:47 . 2009-03-25 20:47 373285 ----a-w- c:\windows\zomorroda_clock2.scr

2009-03-25 20:39 . 2009-03-25 20:39 375051 ----a-w- c:\windows\zomorroda_clock3.scr

.

 

((((((((((((((((((((((((((((( SnapShot@2009-06-06_17.16.48 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-06-06 19:13 . 2009-06-06 19:13 16384 c:\windows\temp\Perflib_Perfdata_6f8.dat

+ 2009-01-15 17:40 . 2009-06-06 17:24 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

- 2009-01-15 17:40 . 2009-06-06 16:09 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2009-01-15 17:40 . 2009-06-06 17:24 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat

- 2009-01-15 17:40 . 2009-06-06 16:09 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat

+ 2009-01-15 17:40 . 2009-06-06 17:24 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-01-15 17:40 . 2009-06-06 16:09 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2008-05-04 15:52 . 2009-06-06 19:13 214581 c:\windows\system32\inetsrv\MetaBase.bin

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-04-16 24267560]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]

"AzMixerSel"="c:\program files\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]

"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2009-03-25 645328]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-05-31 198160]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-01-29 16859648]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\Abi\Start Menu\Programs\Startup\

Notification de cadeaux MSN.lnk - c:\documents and settings\Abi\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-5-31 135680]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

@=""

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Common Files\\McAfee\\MNA\\McNASvc.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4192:TCP"= 4192:TCP:pvavb

"3587:TCP"= 3587:TCP:Windows Peer-to-Peer Grouping

"3540:UDP"= 3540:UDP:Peer Name Resolution Protocol (PNRP)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [31/05/2009 21:55 55152]

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [31/05/2009 23:18 210216]

S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.

Contents of the 'Scheduled Tasks' folder

 

2009-05-29 c:\windows\Tasks\McDefragTask.job

- c:\progra~1\mcafee\mqc\QcConsol.exe [2009-05-29 07:53]

 

2009-05-31 c:\windows\Tasks\McQcTask.job

- c:\progra~1\mcafee\mqc\QcConsol.exe [2009-05-29 07:53]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com/

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-06 22:14

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(116)

c:\program files\McAfee\SiteAdvisor\saHook.dll

c:\program files\ScanSoft\OmniPageSE4\OpHookSE4.dll

c:\windows\system32\msi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\inetsrv\inetinfo.exe

c:\program files\Common Files\Motive\McciCMService.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\windows\system32\tcpsvcs.exe

c:\windows\system32\snmp.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2009-06-06 22:15 - machine was rebooted

ComboFix-quarantined-files.txt 2009-06-06 19:15

ComboFix2.txt 2009-06-06 17:18

 

Pre-Run: 152 399 990 784 bytes free

Post-Run: 152 464 478 208 bytes free

 

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

192 --- E O F --- 2009-06-06 16:32

 

Au fait, j'ai oublie de mentionner que le PC est partagé c'est-a-dire qu'il y a deux administrateurs. Le nettoyage s'est-il fait de l'autre cote?

 

Merci.

[Falkra]

Le script est correctement passé.

 

Au fait, j'ai oublie de mentionner que le PC est partagé c'est-a-dire qu'il y a deux administrateurs. Le nettoyage s'est-il fait de l'autre cote?

Ici oui, sur ce type de travail.

 

Tu te connectes comment ? Wifi, réseau local (filaire) ?

[Titso]

Merci pour le nettoyage.

 

Je suis relie a un Ethernet ADSL a quatre ports.

[Falkra]

Vérifie que la configuration dans les options du protocole TCP-IP, côté carte réseau, sont ok, au pire remets tes DNS et/où l'IP de la passerelle manuellement (ou tout en automatique, cela dépend de ton matériel).

[Titso]

Salut,

 

J'ai mis les adresses manuellement, la connectivité est la. Mais Internet non.

Quand j'essaie de réparer avec msn, un icône jaune avec point d'exclamation apparait au niveau de la Passerelle par défaut.

[Falkra]

J'ai mis les adresses manuellement, la connectivité est la. Mais Internet non.

Aoute les DNS, de ton FAI dans les propriétés TCP-IP sur la carte réseau.

Si tu ne connais pas les DNS de ton FAI, dis moi quel est la FAI, ou essaie ceux d'OpenDNS :

 

208.67.222.222

208.67.220.220