help! plus d'AV, de FW, de connection internet

[pear]

Ce n'est pas un rapport hijackthis mais un rapport Findykill qui ne voit rien d'anormal.

Ce qui vous arrive avec combofix est inédit et je ne me l'explique pas.

Je vais me renseigner.

[kaoula]

oui effectivement je me suis trompé c un rapport findykill

mais je sens qu'il doit encore y avoir de la vermine

[pear]

Bonjour,

 

Créez sur C:`\ un dossier nommé Gamer

Télécharger gmer

vers C:\gamer

Clic droit sur fichier téléchargé->Extraire ici

Déconnecter internet si possible et fermer tous les programmes.

Double-cliquez sur le fichier

 

Clic sur l'onglet "rootkit"

Ne scanner que la partition système pour gagner du temps.

Faites un clic droit dans la fenêtre vide et dans options cliquez"Only non Ms Files"

Clic sur Scan

A la fin du scan->

Les informations sur le scan s'affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

Copier/coller les lignes rouges dans un prochain message

[kaoula]

bonjour,

 

je n'arrive pas a lancer gmer.exe, le pc redémarre a chaque fois que j'essaye de le lancer

ca se complique

 

bon j'ai en fait réussi a le lancer mais seulement en mode sans échec

après scan aucune ligne rouge

Modifié le 25 août 2009 par kaoula

[pear]

Décidément!!!

 

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

 

Pour le renommer:

Clic droit sur http://www2.gmer.net/catchme.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau et pas ailleurs

En bas, à Nom du Fichier:

Vous devez obtenir -> votrenom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

Cliquez sur scan et patientez

Postez le contenu de catchme.log

[kaoula]

voici le rapport catch me

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-25 14:35:05

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="E:\Logiciels\Daemon 3.47\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:a5,36,a1,82,0a,14,5c,c6,fd,78,f3,79,8d,5b,2d,f6,e4,64,44,cf,77,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,0e,54,70,82,b7,ae,de,a5,ea,66,59,79,ae,ad,a6,f9,60,..

"khjeh"=hex:f3,e4,02,77,d4,08,da,e2,62,f9,38,9a,23,29,9d,33,e9,e0,71,84,e0,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:8f,95,43,46,38,94,5b,96,e0,69,3e,07,fe,86,a4,a1,cf,0d,61,2b,88,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]

"khjeh"=hex:37,e8,3e,48,e3,6b,19,ef,92,ab,39,86,e5,3c,21,1f,69,55,a0,21,c3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="E:\Logiciels\Daemon 3.47\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:a5,36,a1,82,0a,14,5c,c6,fd,78,f3,79,8d,5b,2d,f6,e4,64,44,cf,77,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,0e,54,70,82,b7,ae,de,a5,ea,66,59,79,ae,ad,a6,f9,60,..

"khjeh"=hex:f3,e4,02,77,d4,08,da,e2,62,f9,38,9a,23,29,9d,33,e9,e0,71,84,e0,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:8f,95,43,46,38,94,5b,96,e0,69,3e,07,fe,86,a4,a1,cf,0d,61,2b,88,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]

"khjeh"=hex:37,e8,3e,48,e3,6b,19,ef,92,ab,39,86,e5,3c,21,1f,69,55,a0,21,c3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s0"=dword:9df41012

"s1"=dword:4ced11f6

"s2"=dword:3696be93

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="E:\Logiciels\Daemon 3.47\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:a5,36,a1,82,0a,14,5c,c6,fd,78,f3,79,8d,5b,2d,f6,e4,64,44,cf,77,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,0e,54,70,82,b7,ae,de,a5,ea,66,59,79,ae,ad,a6,f9,60,..

"khjeh"=hex:f3,e4,02,77,d4,08,da,e2,62,f9,38,9a,23,29,9d,33,e9,e0,71,84,e0,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:8f,95,43,46,38,94,5b,96,e0,69,3e,07,fe,86,a4,a1,cf,0d,61,2b,88,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]

"khjeh"=hex:37,e8,3e,48,e3,6b,19,ef,92,ab,39,86,e5,3c,21,1f,69,55,a0,21,c3,..

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"DeviceNotSelectedTimeout"="15"

"GDIProcessHandleQuota"=dword:00002710

"Spooler"="yes"

"swapdisk"=""

"TransmissionRetryTimeout"="90"

"USERProcessHandleQuota"=dword:00002710

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

[pear]

Rien non plus

 

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[kaoula]

voici le rapport mbam

il y a eu des alertes pendant le scan : detection de cheval de troie bagle et drooper je crois , dans le dossier système volume information

j'ai mis en quarantaine, mais a la fin du scan il n'y avais rien en quarantaine

 

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2693

Windows 5.1.2600 Service Pack 3

 

25/08/2009 17:05:46

mbam-log-2009-08-25 (17-05-46).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|K:\|)

Eléments examinés: 188798

Temps écoulé: 1 hour(s), 13 minute(s), 49 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[pear]

Pas de rootkit, rien dans Mbam.

 

supprimer Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur

OK.

Supprimez C:\qoobox si vous le trouvez

 

Relancez combofix.

 

Télécharger combofix.exe de sUBs

 

Vous devriez avoir une fenêtre vous avertissant que vous téléchargez Combofix depuis un site non-autorisé.

N'en tenez pas compte

 

Lancez Combofix en double cliquant

 

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Modifié le 25 août 2009 par pear

[kaoula]

non toujours pareil

plantage (ecran bleu puis redémarrage) pendant que la fenetre affiche "combofix genere le rapport" (2 essai réalisé, 2 plantage au meme moment)