Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour,

 

Ma vie n'était que calme et volupté jusqu'à l'apparition de ce malware. Je m'adresse aux spécialistes pour tenter une réparation...

Merci pour votre aide :P

 

 

Description :

 

Apparitions de fenêtres intempestives (votre PC est infecté, tout ça....) lorsque je navigue sur le web

Débit de la connexion internet très aléatoire

Tentative désespérée de désinstaller avec Malwarebytes

Pour la blague, il s'agit de mon portable professionnel...

 

 

 

Rapport HIJACKTHIS :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:14:20, on 05/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Wave Systems Corp\Common\DataServer.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.7\bin\tcsd_win32.exe

C:\Program Files\RealVNC\WinVNC\WinVNC.exe

C:\Program Files\Citrix\Client ICA\ssonsvr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe

C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Apoint\HidFind.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Apoint\Apntex.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\WINDOWS\stsystra.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\sys32_nov.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\NetWaiting\netWaiting.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\F86SYH\sys32_nov.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WinBar\WinBar.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Documents and Settings\F86SYH\Bureau\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = squid.xxxxxx.fr:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = xxxxxactiv;*.om;*.production.net;*.ametif.local;*.cimta.local;*.acismt.com;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [Document Manager] C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sys32_nov] C:\WINDOWS\system32\sys32_nov.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ModemOnHold] C:\Program Files\NetWaiting\netWaiting.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [sys32_nov] C:\Documents and Settings\F86SYH\sys32_nov.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ikowin32.exe

O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154765218234

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pyrenees.net

O17 - HKLM\Software\..\Telephony: DomainName = pyrenees.net

O17 - HKLM\System\CCS\Services\Tcpip\..\{29844E54-7345-4116-9267-C6D009F71889}: NameServer = 172.17.124.61,172.17.124.62

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pyrenees.net

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = pyrenees.net

O20 - AppInit_DLLs: cru629.dat

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: DataSvr2 - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Common\DataServer.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: NTRU Hybrid TSS v2.0.7 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.7\bin\tcsd_win32.exe

O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 10288 bytes

 

 

 

 

Rapport COMBOFIX (Symantec et Spybot désactivés) :

 

ComboFix 09-09-04.02 - F86SYH 06/09/2009 1:00.1.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.642 [GMT 2:00]

Running from: c:\documents and settings\F86SYH\Bureau\ComboTestFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\16236254

c:\documents and settings\All Users\Application Data\16236254\16236254

c:\documents and settings\All Users\Application Data\16236254\16236254.exe

c:\documents and settings\All Users\Application Data\16236254\pc16236254ins

c:\documents and settings\All Users\Application Data\alewedun.inf

c:\documents and settings\All Users\Application Data\azosevo.vbs

c:\documents and settings\All Users\Application Data\behogylon.vbs

c:\documents and settings\All Users\Application Data\ehizan.exe

c:\documents and settings\All Users\Application Data\esekobeq.dl

c:\documents and settings\All Users\Application Data\evycajip.scr

c:\documents and settings\All Users\Application Data\fyjukavuqa._dl

c:\documents and settings\All Users\Application Data\gejoj.dll

c:\documents and settings\All Users\Application Data\gotima._dl

c:\documents and settings\All Users\Application Data\heqep.com

c:\documents and settings\All Users\Application Data\hysokiqefy._sy

c:\documents and settings\All Users\Application Data\irufo.dl

c:\documents and settings\All Users\Application Data\moxadocot.inf

c:\documents and settings\All Users\Application Data\onavyb.exe

c:\documents and settings\All Users\Application Data\opibycigem.dll

c:\documents and settings\All Users\Documents\bosynup.ban

c:\documents and settings\All Users\Documents\ejykefybic.ban

c:\documents and settings\All Users\Documents\fybajawocy.reg

c:\documents and settings\All Users\Documents\isyhi.bat

c:\documents and settings\All Users\Documents\ixoq.inf

c:\documents and settings\All Users\Documents\kazozimewe.ban

c:\documents and settings\All Users\Documents\ocomizeqy.com

c:\documents and settings\All Users\Documents\ogoj.ban

c:\documents and settings\All Users\Documents\tivuqanaw.reg

c:\documents and settings\All Users\Documents\ywusopu.pif

c:\documents and settings\F86SYH\Application Data\durem.bin

c:\documents and settings\F86SYH\Application Data\ipypijih.ban

c:\documents and settings\F86SYH\Application Data\irebelilo.pif

c:\documents and settings\F86SYH\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusPro_2010.lnk

c:\documents and settings\F86SYH\Application Data\nemuxuly.bin

c:\documents and settings\F86SYH\Application Data\nyfu.sys

c:\documents and settings\F86SYH\Application Data\oveva.lib

c:\documents and settings\F86SYH\Application Data\pikozob.com

c:\documents and settings\F86SYH\Application Data\raro.exe

c:\documents and settings\F86SYH\Application Data\ugas.scr

c:\documents and settings\F86SYH\Application Data\umefe.vbs

c:\documents and settings\F86SYH\Application Data\vuhop.dl

c:\documents and settings\F86SYH\Application Data\wiaserva.log

c:\documents and settings\F86SYH\Application Data\ybiryp.scr

c:\documents and settings\F86SYH\Application Data\yjol.ban

c:\documents and settings\F86SYH\Application Data\ypinu.sys

c:\documents and settings\F86SYH\Cookies\adozy.ban

c:\documents and settings\F86SYH\Cookies\afigydi.reg

c:\documents and settings\F86SYH\Cookies\ajyzihex.bat

c:\documents and settings\F86SYH\Cookies\apyf._dl

c:\documents and settings\F86SYH\Cookies\bamycu.dl

c:\documents and settings\F86SYH\Cookies\bogihone.com

c:\documents and settings\F86SYH\Cookies\cykuki.com

c:\documents and settings\F86SYH\Cookies\nyjamunym.bin

c:\documents and settings\F86SYH\Cookies\qizojo.sys

c:\documents and settings\F86SYH\Cookies\qogodajaq.com

c:\documents and settings\F86SYH\Local Settings\Application Data\atuxeru.bin

c:\documents and settings\F86SYH\Local Settings\Application Data\bopamo.dl

c:\documents and settings\F86SYH\Local Settings\Application Data\ejulavyna.dl

c:\documents and settings\F86SYH\Local Settings\Application Data\myhajinowo.ban

c:\documents and settings\F86SYH\Local Settings\Application Data\nogyde.com

c:\documents and settings\F86SYH\Local Settings\Application Data\ufew.sys

c:\documents and settings\F86SYH\Local Settings\Application Data\ybyjedyme.scr

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\adakidib._dl

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\hajok.ban

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\ocipozez.pif

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\runidol.sys

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\ujez._sy

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\wijigy.vbs

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\yciku.db

c:\documents and settings\F86SYH\sys32_nov.exe

c:\program files\Fichiers communs\jaqa.scr

c:\program files\Fichiers communs\koxa.ban

c:\program files\Fichiers communs\vyhynobeq.com

c:\program files\Fichiers communs\wykij.dl

c:\program files\Fichiers communs\ycyrylamef.bat

c:\program files\Fichiers communs\ywavule.bat

c:\program files\WinPCap

c:\program files\WinPCap\rpcapd.exe

c:\recycler\S-1-5-21-54819612-3682430695-4060650763-500

c:\windows\akolyp._dl

c:\windows\braviax.exe

c:\windows\buzysadur.dl

c:\windows\cru629.dat

c:\windows\dizod.reg

c:\windows\edasefe.dl

c:\windows\ixoguro.bat

c:\windows\kopun.reg

c:\windows\mosisacevo.dll

c:\windows\mozodimu.pif

c:\windows\nigyrezusu.reg

c:\windows\nubysiwuga.sys

c:\windows\opukybed._dl

c:\windows\simygazape.dll

c:\windows\system32\braviax.exe

c:\windows\system32\cru629.dat

c:\windows\system32\dllcache\beep.sys

c:\windows\system32\drivers\npf.sys

c:\windows\system32\iviju.bin

c:\windows\system32\iwatax.ban

c:\windows\system32\iweco._dl

c:\windows\system32\jiqopumeb.inf

c:\windows\system32\Packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\WanPacket.dll

c:\windows\system32\wisdstr.exe

c:\windows\system32\wpcap.dll

c:\windows\system32\xopowynyz.sys

c:\windows\uryzuzux.ban

c:\windows\uzygypod.vbs

c:\windows\vicod.bat

c:\windows\yfidozixy.inf

c:\windows\zobymy.inf

 

Infected copy of c:\windows\system32\drivers\beep.sys was found and disinfected

Restored copy from - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP100\A0034103.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_NPF

-------\Service_npf

 

 

((((((((((((((((((((((((( Files Created from 2009-08-05 to 2009-09-05 )))))))))))))))))))))))))))))))

.

 

2009-09-05 13:15 . 2004-08-05 11:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys

2009-09-05 09:53 . 2009-09-05 09:53 11514 ----a-w- c:\windows\system32\asuzigagos.dat

2009-09-05 09:53 . 2009-09-05 09:53 10775 ----a-w- c:\windows\peli.com

2009-09-05 09:52 . 2009-09-05 09:55 -------- d-----w- c:\program files\AntivirusPro_2010

2009-09-03 21:40 . 2009-09-03 21:40 19820 ----a-w- c:\program files\Fichiers communs\jedybokago.dat

2009-09-03 21:40 . 2009-09-03 21:40 18421 ----a-w- c:\program files\Fichiers communs\uduh.dat

2009-09-02 21:17 . 2009-09-02 21:17 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-02 21:16 . 2009-09-02 21:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-02 21:16 . 2009-09-02 21:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-02 21:03 . 2009-09-02 21:03 19159 ----a-w- c:\documents and settings\F86SYH\Local Settings\Application Data\kirure.dat

2009-09-02 21:03 . 2009-09-02 21:03 18736 ----a-w- c:\windows\xidusoveh.com

2009-09-02 21:03 . 2009-09-02 21:03 18142 ----a-w- c:\windows\system32\covatuhe.dat

2009-09-02 21:03 . 2009-09-02 21:03 13619 ----a-w- c:\windows\yqujup.com

2009-09-02 20:52 . 2009-09-02 20:52 16272 ----a-w- c:\windows\ofohihihi.dat

2009-09-02 20:52 . 2009-09-02 20:52 13129 ----a-w- c:\program files\Fichiers communs\vajyr.dat

2009-09-02 19:39 . 2009-09-05 20:49 94272 ----a-w- c:\windows\system32\dllcache\agp440.sys

2009-09-02 19:39 . 2009-09-02 19:39 29216 ----a-w- c:\windows\system32\sys32_nov.exe

2009-08-09 11:21 . 2009-08-10 10:59 -------- d-----w- c:\program files\AskBarDis

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-05 23:07 . 2008-01-20 12:42 -------- d-----w- c:\documents and settings\F86SYH\Application Data\uTorrent

2009-09-05 23:05 . 2007-01-09 04:10 12 ----a-w- c:\windows\bthservsdp.dat

2009-09-05 23:01 . 2004-08-19 12:03 85232 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-05 23:01 . 2004-08-19 12:03 509454 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-05 20:49 . 2004-08-19 12:11 94272 ----a-w- c:\windows\system32\drivers\AGP440.SYS

2009-09-05 11:15 . 2007-01-09 04:41 188600 ----a-w- c:\windows\system32\nvModes.dat

2009-09-02 21:03 . 2009-09-02 21:03 14486 ----a-w- c:\documents and settings\All Users\Application Data\juci.dat

2009-09-02 21:03 . 2009-09-02 21:03 11354 ----a-w- c:\program files\Fichiers communs\ekihom._sy

2009-09-02 21:03 . 2009-09-02 21:03 11129 ----a-w- c:\program files\Fichiers communs\umidukatev._sy

2009-09-02 20:52 . 2009-09-02 20:52 14163 ----a-w- c:\documents and settings\All Users\Application Data\obufe.dat

2009-08-10 01:51 . 2008-12-01 17:13 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Any Video Converter

2009-08-03 17:52 . 2007-03-16 09:00 -------- d-----w- c:\program files\WinBar

2009-07-15 17:27 . 2007-01-29 10:01 -------- d-----w- c:\documents and settings\F86SYH\Application Data\ICAClient

2009-06-15 16:50 . 2007-01-30 16:26 50888 ----a-w- c:\documents and settings\F86SYH\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-09-24 13:42 . 2007-02-19 13:47 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]

 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]

 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 1460560]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-08-09 288048]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]

"Document Manager"="c:\program files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2006-03-09 98304]

"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]

"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-09-02 77824]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-19 7401472]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-24 29744]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]

"sys32_nov"="c:\windows\system32\sys32_nov.exe" [2009-09-02 29216]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-05 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-01-19 1519616]

"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2006-01-19 73728]

"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\F86SYH\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2004-8-5 25600]

WinBar.lnk - c:\program files\WinBar\WinBar.exe [2002-2-25 155136]

 

c:\docume~1\ALLUSE~1\MENUD~1\PROGRA~1\DMARR~1\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-7-25 24576]

EMBASSY Trust Suite Secure Update.lnk - c:\program files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe [2005-11-30 192512]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave2"=rddv1046.dll

"midi2"=rddv1046.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 wvauth

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\1]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Maladeta.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Push Config Maladeta Paris.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\1\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

@="Driver Group"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HomePlayer\\bin\\HomePlayer.exe"=

"c:\\Documents and Settings\\F86SYH\\Mes documents\\Programmes et Mises à jour\\Freeplayer-Win32-20050905\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"20609:TCP"= 20609:TCP:MediaMicrosoft ExplorerResources

"32809:TCP"= 32809:TCP:MediaMicrosoft winsxsBoot

"18423:UDP"= 18423:UDP:MediaMicrosoft AgentIntel

"27712:UDP"= 27712:UDP:MediaMicrosoft SoftwareZx

 

R3 eDataVideoCap;eDataVideoCap;c:\windows\system32\drivers\eDataVideoCap.sys [13/12/2007 03:20 25600]

R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\windows\system32\drivers\nwdelmdm.sys [08/03/2006 20:53 77952]

R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\windows\system32\drivers\nwdelser.sys [08/03/2006 20:53 77952]

S2 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [09/08/2009 13:21 234888]

S2 TapiSystem;Logon Discovery;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 14:03 14336]

S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [31/12/2003 12:35 18848]

S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [19/02/2007 15:46 29744]

S3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\rdwm1046.sys [13/03/2007 20:47 163390]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

TapiSystem

.

Contents of the 'Scheduled Tasks' folder

 

2009-09-02 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

- - - - ORPHANS REMOVED - - - -

 

HKCU-Run-TomTomHOME.exe - c:\program files\TomTom HOME 2\HOMERunner.exe

HKCU-Run-sys32_nov - c:\documents and settings\F86SYH\sys32_nov.exe

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

uInternet Settings,ProxyServer = squid.cegedim.fr:3128

uInternet Settings,ProxyOverride = *.cegedim;*.soltim;*.soltimfm;*.esquif.fr;*.pyrenees.net;131.131.*;172.17.*;172.

18.*;128.1.*;193.252.4.*;192.168.*;*.cegedim-srh.com;133.133.*;*.intranet.proval.fr;10.*;frtlm001;intranet.*;195.6.223.14;*.c

egedim-activ;*.cegedim-portal.com;intranet.cegedim-activ.com;*.production.net;*.ametif.local;*.cimta.local;*.acismt.com;<local>

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {29844E54-7345-4116-9267-C6D009F71889} = 172.17.124.61,172.17.124.62

FF - ProfilePath - c:\documents and settings\F86SYH\Application Data\Mozilla\Firefox\Profiles\lnz3nfzw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cegedim-activ.com

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataConf.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataDiagnostics.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataExporter.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataInstall.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-06 01:07

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TapiSystem]

"ServiceDll"="c:\windows\system32\fqxmkqck.dll"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'lsass.exe'(932)

c:\windows\system32\rddv1046.dll

c:\windows\system32\wvauth.dll

c:\windows\system32\biolsp.dll

 

- - - - - - - > 'explorer.exe'(2564)

c:\windows\system32\browselc.dll

c:\program files\Microsoft Office\OFFICE11\msohev.dll

c:\program files\WinRAR\rarext.dll

c:\program files\PowerArchiver\PASHLEXT.DLL

c:\program files\Malwarebytes' Anti-Malware\mbamext.dll

c:\program files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Intel\Wireless\Bin\WLKEEPER.exe

c:\windows\system32\scardsvr.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Wave Systems Corp\common\DataServer.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

c:\program files\Dell\QuickSet\NicConfigSvc.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\program files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.7\bin\tcsd_win32.exe

c:\program files\Citrix\Client ICA\ssonsvr.exe

c:\program files\Apoint\ApntEx.exe

c:\program files\Apoint\hidfind.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe

c:\windows\system32\notepad.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\wbem\wmiadap.exe

.

**************************************************************************

.

Completion time: 2009-09-05 1:11 - machine was rebooted

ComboFix-quarantined-files.txt 2009-09-05 23:10

 

Pre-Run: 4 266 954 752 octets libres

Post-Run: 4 345 987 072 octets libres

 

371

Posté(e)

Salut et bienvenue sur le forum :P

 

Quelques liens pour t'aider à commencer :

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement :P

 

Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton t_reply.gif. :P

(bouton qui se trouve entre "Flash" et "Nouveau")

 

*********

 

On va continuer avec ComboFix comme ceci pour nettoyer les restes (de la même manière, désactive Symantec et Spybot avant de lancer le script suivant) >>

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/d6fe64

Patiente une seconde: le téléchargement va se lancer automatiquement.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de Michael75 : Vous ne devez en aucun cas l'utiliser sur votre pc!

Posté(e) (modifié)

Salut et merci à toi pour cette réponse rapide !!

 

J'ai fait la manip avec le script, voilà le nouveau log Combo Fix :

 

ComboFix 09-09-04.02 - F86SYH 06/09/2009 12:31.2.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.560 [GMT 2:00]

Running from: c:\documents and settings\F86SYH\Bureau\ComboTestFix.exe

Command switches used :: c:\documents and settings\F86SYH\Bureau\CFScript.txt

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

"c:\documents and settings\All Users\Application Data\juci.dat"

"c:\documents and settings\All Users\Application Data\obufe.dat"

"c:\documents and settings\F86SYH\Local Settings\Application Data\kirure.dat"

"c:\documents and settings\F86SYH\Menu D‚marrer\Programmes\D‚marrage\ikowin32.exe"

"c:\program files\Fichiers communs\ekihom._sy"

"c:\program files\Fichiers communs\jedybokago.dat"

"c:\program files\Fichiers communs\uduh.dat"

"c:\program files\Fichiers communs\umidukatev._sy"

"c:\program files\Fichiers communs\vajyr.dat"

"c:\windows\ofohihihi.dat"

"c:\windows\peli.com"

"c:\windows\system32\asuzigagos.dat"

"c:\windows\system32\covatuhe.dat"

"c:\windows\system32\fqxmkqck.dll"

"c:\windows\system32\sys32_nov.exe"

"c:\windows\xidusoveh.com"

"c:\windows\yqujup.com"

 

file zipped: c:\windows\system32\sys32_nov.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\15350624

c:\documents and settings\All Users\Application Data\15350624\15350624

c:\documents and settings\All Users\Application Data\15350624\15350624.exe

c:\documents and settings\All Users\Application Data\15350624\pc15350624ins

c:\documents and settings\All Users\Application Data\adogoza.vbs

c:\documents and settings\All Users\Application Data\ewufi.dll

c:\documents and settings\All Users\Application Data\juci.dat

c:\documents and settings\All Users\Application Data\obufe.dat

c:\documents and settings\All Users\Documents\inisofunog.vbs

c:\documents and settings\All Users\Documents\ojixihypyk._dl

c:\documents and settings\F86SYH\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusPro_2010.lnk

c:\documents and settings\F86SYH\Application Data\tybanuli._dl

c:\documents and settings\F86SYH\Application Data\wiaserva.log

c:\documents and settings\F86SYH\Bureau\Total Security 2009.lnk

c:\documents and settings\F86SYH\Cookies\nozecucy.pif

c:\documents and settings\F86SYH\Local Settings\Application Data\axyfimig.pif

c:\documents and settings\F86SYH\Local Settings\Application Data\ikog.dl

c:\documents and settings\F86SYH\Local Settings\Application Data\kirure.dat

c:\documents and settings\F86SYH\Local Settings\Application Data\tyvamo._dl

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\osiw.inf

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\pejujenem.com

c:\documents and settings\F86SYH\Local Settings\Temporary Internet Files\uxuquqyh.pif

c:\documents and settings\F86SYH\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\documents and settings\F86SYH\sys32_nov.exe

c:\program files\AntivirusPro_2010

c:\program files\AntivirusPro_2010\AntivirusPro_2010.cfg

c:\program files\AntivirusPro_2010\AntivirusPro_2010.exe

c:\program files\AntivirusPro_2010\AVEngn.dll

c:\program files\AntivirusPro_2010\data\daily.cvd

c:\program files\AntivirusPro_2010\htmlayout.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll

c:\program files\AntivirusPro_2010\pthreadVC2.dll

c:\program files\AntivirusPro_2010\Uninstall.exe

c:\program files\AntivirusPro_2010\wscui.cpl

c:\program files\AskBarDis

c:\program files\AskBarDis\bar\bin\askBar.dll

c:\program files\AskBarDis\bar\bin\askPopStp.dll

c:\program files\AskBarDis\bar\bin\AskSplash.exe

c:\program files\AskBarDis\bar\bin\AskTBApp.exe

c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe

c:\program files\AskBarDis\bar\bin\psvince.dll

c:\program files\AskBarDis\bar\Cache\0001AD23.bin

c:\program files\AskBarDis\bar\Cache\0001B215.bin

c:\program files\AskBarDis\bar\Cache\0001D78E.bin

c:\program files\AskBarDis\bar\Cache\0001D992.bin

c:\program files\AskBarDis\bar\Cache\0001DBB5.bin

c:\program files\AskBarDis\bar\Cache\0001DD4B.bin

c:\program files\AskBarDis\bar\Cache\0017E37A

c:\program files\AskBarDis\bar\Cache\files.ini

c:\program files\AskBarDis\bar\History\search

c:\program files\AskBarDis\bar\Settings\AskLogo.ico

c:\program files\AskBarDis\bar\Settings\config.dat

c:\program files\AskBarDis\bar\Settings\config.dat.bak

c:\program files\AskBarDis\bar\Settings\prevcfg.htm

c:\program files\AskBarDis\bar\Settings\prevCfg2.htm

c:\program files\AskBarDis\PopSwatter\History\notallow

c:\program files\AskBarDis\unins000.dat

c:\program files\AskBarDis\unins000.exe

c:\program files\Fichiers communs\ekihom._sy

c:\program files\Fichiers communs\jedybokago.dat

c:\program files\Fichiers communs\uduh.dat

c:\program files\Fichiers communs\umidukatev._sy

c:\program files\Fichiers communs\vajyr.dat

c:\program files\WinBar

c:\program files\WinBar\Uninstall.exe

c:\program files\WinBar\Update.exe

c:\program files\WinBar\WinBar.cfg

c:\program files\WinBar\WinBar.chm

c:\program files\WinBar\WinBar.exe

c:\windows\adaf.pif

c:\windows\braviax.exe

c:\windows\cru629.dat

c:\windows\domuqiwu.scr

c:\windows\ofohihihi.dat

c:\windows\peli.com

c:\windows\qyremyd.sys

c:\windows\system32\_scui.cpl

c:\windows\system32\asuzigagos.dat

c:\windows\system32\braviax.exe

c:\windows\system32\covatuhe.dat

c:\windows\system32\cru629.dat

c:\windows\system32\dllcache\beep.sys

c:\windows\system32\dllcache\figaro.sys

c:\windows\system32\fqxmkqck.dll

c:\windows\system32\sys32_nov.exe

c:\windows\system32\wisdstr.exe

c:\windows\uqodaw.sys

c:\windows\xidusoveh.com

c:\windows\yqujup.com

 

Infected copy of c:\windows\system32\drivers\beep.sys was found and disinfected

Restored copy from - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0035391.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ASKUPGRADE

-------\Legacy_TAPISYSTEM

-------\Service_ASKUpgrade

-------\Service_TapiSystem

 

 

((((((((((((((((((((((((( Files Created from 2009-08-06 to 2009-09-06 )))))))))))))))))))))))))))))))

.

 

2009-09-05 23:59 . 2009-09-05 23:59 13124 ----a-w- c:\windows\giqyriz.com

2009-09-05 13:15 . 2004-08-05 11:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys

2009-09-02 21:17 . 2009-09-02 21:17 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-02 21:16 . 2009-09-02 21:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-02 21:16 . 2009-09-02 21:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-02 19:39 . 2009-09-06 10:19 94272 ----a-w- c:\windows\system32\dllcache\agp440.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-06 10:36 . 2007-01-09 04:10 12 ----a-w- c:\windows\bthservsdp.dat

2009-09-06 10:29 . 2008-01-20 12:42 -------- d-----w- c:\documents and settings\F86SYH\Application Data\uTorrent

2009-09-06 10:20 . 2004-08-19 12:03 85232 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-06 10:20 . 2004-08-19 12:03 509454 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-06 10:20 . 2007-01-09 04:41 188600 ----a-w- c:\windows\system32\nvModes.dat

2009-09-06 10:19 . 2004-08-19 12:11 94272 ----a-w- c:\windows\system32\drivers\AGP440.SYS

2009-08-10 01:51 . 2008-12-01 17:13 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Any Video Converter

2009-07-15 17:27 . 2007-01-29 10:01 -------- d-----w- c:\documents and settings\F86SYH\Application Data\ICAClient

2009-06-15 16:50 . 2007-01-30 16:26 50888 ----a-w- c:\documents and settings\F86SYH\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-09-24 13:42 . 2007-02-19 13:47 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2009-09-05_23.07.16 )))))))))))))))))))))))))))))))))))))))))

.

+ 2004-08-19 12:03 . 2009-09-06 10:20 71974 c:\windows\system32\perfc009.dat

- 2004-08-19 12:03 . 2009-09-05 23:01 71974 c:\windows\system32\perfc009.dat

+ 2004-08-19 12:03 . 2009-09-06 10:20 440940 c:\windows\system32\perfh009.dat

- 2004-08-19 12:03 . 2009-09-05 23:01 440940 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-08-09 288048]

"sys32_nov"="c:\documents and settings\F86SYH\sys32_nov.exe" [bU]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]

"Document Manager"="c:\program files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2006-03-09 98304]

"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]

"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-09-02 77824]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-19 7401472]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-24 29744]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-05 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-01-19 1519616]

"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2006-01-19 73728]

"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\F86SYH\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2004-8-5 25600]

WinBar.lnk - c:\qoobox\Quarantine\C\Program Files\WinBar\WinBar.exe.vir [2002-2-25 155136]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-7-25 24576]

EMBASSY Trust Suite Secure Update.lnk - c:\program files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe [2005-11-30 192512]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave2"=rddv1046.dll

"midi2"=rddv1046.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 wvauth

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\1]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Maladeta.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Push Config Maladeta Paris.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\1\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HomePlayer\\bin\\HomePlayer.exe"=

"c:\\Documents and Settings\\F86SYH\\Mes documents\\Programmes et Mises à jour\\Freeplayer-Win32-20050905\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"20609:TCP"= 20609:TCP:MediaMicrosoft ExplorerResources

"32809:TCP"= 32809:TCP:MediaMicrosoft winsxsBoot

"18423:UDP"= 18423:UDP:MediaMicrosoft AgentIntel

"27712:UDP"= 27712:UDP:MediaMicrosoft SoftwareZx

 

R3 eDataVideoCap;eDataVideoCap;c:\windows\system32\drivers\eDataVideoCap.sys [13/12/2007 03:20 25600]

R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\windows\system32\drivers\nwdelmdm.sys [08/03/2006 20:53 77952]

R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\windows\system32\drivers\nwdelser.sys [08/03/2006 20:53 77952]

S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [31/12/2003 12:35 18848]

S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [19/02/2007 15:46 29744]

S3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\rdwm1046.sys [13/03/2007 20:47 163390]

.

Contents of the 'Scheduled Tasks' folder

 

2009-09-02 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

uInternet Settings,ProxyServer = squid.cegedim.fr:3128

uInternet Settings,ProxyOverride = *.cegedim;*.soltim;*.soltimfm;*.esquif.fr;*.pyrenees.net;131.131.*;172.17.*;172.

18.*;128.1.*;193.252.4.*;192.168.*;*.cegedim-srh.com;133.133.*;*.intranet.proval.fr;10.*;frtlm001;intranet.*;195.6.223.14;*.c

egedim-activ;*.cegedim-portal.com;intranet.cegedim-activ.com;*.production.net;*.ametif.local;*.cimta.local;*.acismt.com;<local>

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {29844E54-7345-4116-9267-C6D009F71889} = 172.17.124.61,172.17.124.62

FF - ProfilePath - c:\documents and settings\F86SYH\Application Data\Mozilla\Firefox\Profiles\lnz3nfzw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cegedim-activ.com

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataConf.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataDiagnostics.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataExporter.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataInstall.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-06 12:39

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'lsass.exe'(932)

c:\windows\system32\rddv1046.dll

c:\windows\system32\wvauth.dll

c:\windows\system32\biolsp.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Intel\Wireless\Bin\WLKEEPER.exe

c:\windows\system32\scardsvr.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Wave Systems Corp\common\DataServer.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

c:\program files\Dell\QuickSet\NicConfigSvc.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\program files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.7\bin\tcsd_win32.exe

c:\program files\Citrix\Client ICA\ssonsvr.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\program files\Apoint\hidfind.exe

c:\program files\Apoint\ApntEx.exe

c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe

.

**************************************************************************

.

Completion time: 2009-09-06 12:43 - machine was rebooted

ComboFix-quarantined-files.txt 2009-09-06 10:43

ComboFix2.txt 2009-09-05 23:11

 

Pre-Run: 4 346 359 808 octets libres

Post-Run: 4 305 850 368 octets libres

 

321

Upload was successful

 

 

 

Les symptômes sont bien plus légers mais il reste des traces. Dois-je effacer certains fichiers restants (braviax.exe et ce genre de truc...) ?

Edit : PC Antispyware 2010 est effacé mais Total Security est toujours là.

Modifié par Michael75
Posté(e) (modifié)

salut :P

 

Michael75, est ce que ta version de Norton comporte un parefeu ? Si ce n'est pas le cas, je vais te demander d'en télécharger un afin de bloquer l'infection qui a tendance à se régénérer très facilement.

Dois-je effacer certains fichiers restants (braviax.exe et ce genre de truc...) ?

ComboFix s'en charge automatiquement :P

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Lance l'installation de ton pare-feu et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

Si Norton intègre aussi un parefeu, ignore ce qui précède.

 

On continue le nettoyage comme ceci >>

 

Rend toi sur cette page afin de télécharger le fichier CFScript => http://senduit.com/d42024

Patiente une seconde: le téléchargement va se lancer automatiquement.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de Michael75 : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

Est ce que tu connais "pyrenees.net" ? ca te dis quelque chose ?

Modifié par Thanos
Posté(e)

Merci pour la réponse je viens de percuter sur mon problème :P

Il s'agit de mon PC portable professionnel et je bénéficie d'un part-feu uniquement lorsque je suis connecté au bureau.

De chez moi je suis en tête à tête avec ma freebox, c'est pourquoi le virus est revenu dès que je me suis connecté de la maison

 

pyrenees.net est le nom de domaine du réseau de mon entreprise. Mon PC a été configuré pour que je m'y connecte

 

Je vais suivre ton conseil en téléchargeant un part feu pour l'utilisation hors réseau entreprise.

 

Je te tiens au courant.

Merci pour tout.

Posté(e)

Les virus c'est un peu comme PAIC Citron: "quand il y en a plus, il y en a encore" !!!

Je crois que j'ai choppé le reader_s.exe en cours de route !!! Je viens de rejouer ComboFix, voilà le rapport :

 

 

ComboFix 09-09-04.02 - F86SYH 12/09/2009 13:13.5.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.561 [GMT 2:00]

Running from: c:\documents and settings\F86SYH\Mes documents\Programmes et Mises à jour\ComboTestFix.exe

FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

- REDUCED FUNCTIONALITY MODE -

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\reader_s.exe

E:\Autorun.inf

 

.

((((((((((((((((((((((((( Files Created from 2009-08-12 to 2009-09-12 )))))))))))))))))))))))))))))))

.

 

2009-09-09 18:45 . 2009-09-09 18:45 212480 ----a-w- c:\windows\system32\dllcache\ndis.sys

2009-09-09 18:45 . 2009-09-09 18:45 39424 ----a-w- c:\documents and settings\F86SYH\reader_s.exe

2009-09-09 18:09 . 2006-08-23 21:39 42920 ----a-w- c:\windows\system32\vsutil_loc040c.dll

2009-09-09 18:09 . 2006-08-23 21:38 83960 ----a-w- c:\windows\system32\zlcomm.dll

2009-09-09 18:09 . 2006-08-23 21:38 71672 ----a-w- c:\windows\system32\zlcommdb.dll

2009-09-09 18:08 . 2009-09-09 18:09 -------- d-----w- c:\windows\system32\ZoneLabs

2009-09-09 18:08 . 2009-09-09 18:08 -------- d-----w- c:\program files\Zone Labs

2009-09-07 20:25 . 2009-09-09 18:11 4212 ---h--w- c:\windows\system32\zllictbl.dat

2009-09-07 20:22 . 2009-09-12 11:06 -------- d-----w- c:\windows\Internet Logs

2009-09-07 20:11 . 2009-09-07 19:29 271360 ----a-w- c:\windows\system32\jeluwydor.exe

2009-09-06 10:43 . 2009-09-06 10:43 29212 ----a-w- c:\windows\system32\sys32_nov.exe

2009-09-05 23:59 . 2009-09-05 23:59 13124 ----a-w- c:\windows\giqyriz.com

2009-09-05 13:15 . 2004-08-05 11:00 4224 ------w- c:\windows\system32\drivers\beep.sys

2009-09-02 21:17 . 2009-09-02 21:17 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-02 21:16 . 2009-09-02 21:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-02 21:16 . 2009-09-02 21:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-02 19:39 . 2009-09-12 11:05 94272 ----a-w- c:\windows\system32\dllcache\agp440.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-12 11:12 . 2008-01-20 12:42 -------- d-----w- c:\documents and settings\F86SYH\Application Data\uTorrent

2009-09-12 11:06 . 2004-08-19 12:03 85232 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-12 11:06 . 2004-08-19 12:03 509454 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-12 11:05 . 2004-08-19 12:11 94272 ----a-w- c:\windows\system32\drivers\AGP440.SYS

2009-09-11 16:29 . 2007-01-09 04:10 12 ----a-w- c:\windows\bthservsdp.dat

2009-09-09 18:45 . 2004-08-19 12:03 212480 ----a-w- c:\windows\system32\drivers\ndis.sys

2009-09-09 18:06 . 2007-01-09 04:41 194760 ----a-w- c:\windows\system32\nvModes.dat

2009-09-06 12:12 . 2008-03-20 12:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-10 01:51 . 2008-12-01 17:13 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Any Video Converter

2009-07-15 17:27 . 2007-01-29 10:01 -------- d-----w- c:\documents and settings\F86SYH\Application Data\ICAClient

2009-06-15 16:50 . 2007-01-30 16:26 50888 ----a-w- c:\documents and settings\F86SYH\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-09-24 13:42 . 2007-02-19 13:47 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

 

------- Sigcheck -------

 

[7] 2004-08-05 11:00 182912 558635D3AF1C7546D26067D5D9B6959E c:\windows\ERDNT\cache\ndis.sys

[-] 2009-09-09 18:45 212480 C1FCC3C9E3548A97C6C84EE960C2D7D2 c:\windows\system32\dllcache\ndis.sys

[-] 2009-09-09 18:45 212480 C1FCC3C9E3548A97C6C84EE960C2D7D2 c:\windows\system32\drivers\ndis.sys

.

((((((((((((((((((((((((((((( SnapShot@2009-09-05_23.07.16 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-09-09 18:09 . 2006-08-23 21:39 22440 c:\windows\system32\ZoneLabs\zlsre_loc040c.dll

+ 2009-09-09 18:09 . 2006-08-23 21:39 18344 c:\windows\system32\ZoneLabs\zlquarantine_loc040c.dll

+ 2009-09-09 18:09 . 2006-08-23 21:38 79872 c:\windows\system32\ZoneLabs\zlquarantine.dll

+ 2009-09-09 18:09 . 2006-08-23 21:39 18344 c:\windows\system32\ZoneLabs\vsvault_loc040c.dll

+ 2009-09-09 18:09 . 2006-08-23 21:39 47016 c:\windows\system32\ZoneLabs\vsmon_loc040c.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 75768 c:\windows\system32\ZoneLabs\vsmon.exe

+ 2009-09-09 18:09 . 2006-08-23 21:39 18344 c:\windows\system32\ZoneLabs\vsdb_loc040c.dll

+ 2009-09-07 20:23 . 2006-08-23 21:38 79864 c:\windows\system32\ZoneLabs\vsdb.dll

+ 2009-09-09 18:09 . 2006-08-23 21:39 75688 c:\windows\system32\ZoneLabs\updClient_loc040c.dll

+ 2009-09-09 18:09 . 2006-08-02 23:53 29680 c:\windows\system32\ZoneLabs\srescan.sys

+ 2009-09-09 18:09 . 2006-08-23 21:39 18344 c:\windows\system32\ZoneLabs\scheduler_loc040c.dll

+ 2009-09-09 18:08 . 2006-08-23 21:40 30744 c:\windows\system32\ZoneLabs\plugins\vsmon_plugin\vsmon_plugin.dll

+ 2009-09-09 18:08 . 2006-08-23 21:40 30720 c:\windows\system32\ZoneLabs\plugins\rpc_server\rpc_server.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 26536 c:\windows\system32\ZoneLabs\lib\zlsvc.zip.dll

+ 2009-09-09 18:09 . 2006-08-23 21:37 38912 c:\windows\system32\ZoneLabs\featuremap.dll

+ 2009-09-09 18:09 . 2006-08-23 21:39 18344 c:\windows\system32\ZoneLabs\camupd_loc040c.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 59384 c:\windows\system32\vswmi.dll

+ 2009-09-09 18:09 . 2006-08-23 21:38 71672 c:\windows\system32\vsregexp.dll

+ 2009-09-07 20:23 . 2006-08-23 21:37 83960 c:\windows\system32\vsdata.dll

+ 2004-08-19 12:03 . 2009-09-12 11:06 71974 c:\windows\system32\perfc009.dat

- 2004-08-19 12:03 . 2009-09-05 23:01 71974 c:\windows\system32\perfc009.dat

+ 2009-09-09 18:09 . 2006-08-23 21:38 124920 c:\windows\system32\ZoneLabs\zlupdate.dll

+ 2009-09-09 18:09 . 2006-08-23 21:38 251896 c:\windows\system32\ZoneLabs\zlsre.dll

+ 2009-09-09 18:09 . 2006-08-23 21:38 178168 c:\windows\system32\ZoneLabs\zlparser.dll

+ 2009-09-09 18:09 . 2006-08-23 21:38 243704 c:\windows\system32\ZoneLabs\vsvault.dll

+ 2009-09-09 18:09 . 2006-08-23 21:39 198568 c:\windows\system32\ZoneLabs\vsruledb_loc040c.dll

+ 2009-09-07 20:23 . 2006-08-23 21:37 104440 c:\windows\system32\ZoneLabs\vsavpro.dll

+ 2009-09-09 18:09 . 2006-08-23 21:38 124920 c:\windows\system32\ZoneLabs\updclient.exe

+ 2009-09-09 18:09 . 2006-07-13 00:42 866288 c:\windows\system32\ZoneLabs\updating.dll

+ 2009-09-09 18:09 . 2006-08-23 21:40 206864 c:\windows\system32\ZoneLabs\streamapi\httpblocker\httpblocker.dll

+ 2009-09-09 18:08 . 2006-08-23 21:37 456696 c:\windows\system32\ZoneLabs\ssleay32.dll

+ 2009-09-09 18:09 . 2006-08-23 21:37 169976 c:\windows\system32\ZoneLabs\scheduler.dll

+ 2009-09-09 18:09 . 2006-08-02 23:53 641008 c:\windows\system32\ZoneLabs\qrsrecl.dll

+ 2009-09-09 18:09 . 2006-08-02 23:53 677872 c:\windows\system32\ZoneLabs\qrbase.dll

+ 2009-09-09 18:09 . 2006-08-23 21:37 129016 c:\windows\system32\ZoneLabs\fbl.dll

+ 2009-09-09 18:09 . 2004-01-30 10:35 813568 c:\windows\system32\ZoneLabs\dbghelp.dll

+ 2009-09-09 18:09 . 2006-08-23 21:37 112632 c:\windows\system32\ZoneLabs\camupd.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 100344 c:\windows\system32\vsxml.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 440312 c:\windows\system32\vsutil.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 268280 c:\windows\system32\vspubapi.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 104440 c:\windows\system32\vsmonapi.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 157688 c:\windows\system32\vsinit.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 392824 c:\windows\system32\vsdatant.sys

+ 2007-07-13 15:39 . 2007-03-09 09:03 761344 c:\windows\system32\spool\drivers\w32x86\3\UNIRES.DLL

+ 2007-07-13 15:39 . 2007-03-09 09:03 740864 c:\windows\system32\spool\drivers\w32x86\3\UNIDRVUI.DLL

+ 2007-07-13 15:39 . 2007-03-09 09:03 372736 c:\windows\system32\spool\drivers\w32x86\3\UNIDRV.DLL

+ 2007-07-13 15:39 . 2006-11-02 04:32 207872 c:\windows\system32\spool\drivers\w32x86\3\pclxl.dll

- 2007-01-25 12:56 . 2006-11-29 15:26 671816 c:\windows\system32\spool\drivers\w32x86\3\hpcdmc32.DLL

+ 2007-01-25 12:56 . 2008-02-04 14:23 671816 c:\windows\system32\spool\drivers\w32x86\3\hpcdmc32.dll

- 2004-08-19 12:03 . 2009-09-05 23:01 440940 c:\windows\system32\perfh009.dat

+ 2004-08-19 12:03 . 2009-09-12 11:06 440940 c:\windows\system32\perfh009.dat

+ 2009-09-09 18:09 . 2006-08-23 21:37 796584 c:\windows\system32\libeay32_0.9.6l.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 1087480 c:\windows\system32\ZoneLabs\zpy.dll

+ 2009-09-09 18:09 . 2006-05-31 13:51 1228606 c:\windows\system32\ZoneLabs\zlasdbup.dat

+ 2009-09-09 18:08 . 2006-08-23 21:38 1316856 c:\windows\system32\ZoneLabs\vsruledb.dll

+ 2009-09-09 18:08 . 2006-08-23 21:38 2013176 c:\windows\system32\ZoneLabs\vsmondll.dll

+ 2009-09-09 18:09 . 2006-08-02 23:53 1308656 c:\windows\system32\ZoneLabs\srescan.dll

+ 2009-09-09 18:09 . 2006-05-31 13:51 1228606 c:\windows\system32\ZoneLabs\spyware.dat

+ 2009-09-09 18:08 . 2006-08-23 21:38 1361832 c:\windows\system32\ZoneLabs\lib\zpy.zip.dll

+ 2007-01-25 12:56 . 2007-05-14 08:05 2920960 c:\windows\system32\spool\drivers\w32x86\3\hpbcfgre.dll

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-08-09 288048]

"sys32_nov"="c:\documents and settings\F86SYH\sys32_nov.exe" [bU]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [bU]

"foomoqu"="c:\documents and settings\F86SYH\Application Data\Microsoft\jeluwydor.exe" [2009-09-07 271360]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"foomoqu"="c:\documents and settings\F86SYH\Application Data\Microsoft\jeluwydor.exe" [2009-09-07 271360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]

"Document Manager"="c:\program files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2006-03-09 98304]

"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]

"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-09-02 77824]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-19 7401472]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-24 29744]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]

"sys32_nov"="c:\windows\system32\sys32_nov.exe" [2009-09-06 29212]

"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]

"foomoqu"="c:\windows\system32\jeluwydor.exe" [2009-09-07 271360]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-05 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-01-19 1519616]

"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2006-01-19 73728]

"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

"foomoqu"="c:\documents and settings\LocalService\Application Data\Microsoft\jeluwydor.exe" [2009-09-07 271360]

 

c:\documents and settings\F86SYH\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2004-8-5 25600]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-7-25 24576]

EMBASSY Trust Suite Secure Update.lnk - c:\program files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe [2005-11-30 192512]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave2"=rddv1046.dll

"midi2"=rddv1046.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 wvauth

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\1]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Maladeta.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Push Config Maladeta Paris.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\1\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HomePlayer\\bin\\HomePlayer.exe"=

"c:\\Documents and Settings\\F86SYH\\Mes documents\\Programmes et Mises à jour\\Freeplayer-Win32-20050905\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"20609:TCP"= 20609:TCP:MediaMicrosoft ExplorerResources

"32809:TCP"= 32809:TCP:MediaMicrosoft winsxsBoot

"18423:UDP"= 18423:UDP:MediaMicrosoft AgentIntel

"27712:UDP"= 27712:UDP:MediaMicrosoft SoftwareZx

 

R3 eDataVideoCap;eDataVideoCap;c:\windows\system32\drivers\eDataVideoCap.sys [13/12/2007 03:20 25600]

R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\windows\system32\drivers\nwdelmdm.sys [08/03/2006 20:53 77952]

R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\windows\system32\drivers\nwdelser.sys [08/03/2006 20:53 77952]

S2 acbedlein6aym;C-DillaSrv;c:\documents and settings\F86SYH\Application Data\Microsoft\vovoowyvy.exe [12/09/2009 13:11 271360]

S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [31/12/2003 12:35 18848]

S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [19/02/2007 15:46 29744]

S3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\rdwm1046.sys [13/03/2007 20:47 163390]

.

Contents of the 'Scheduled Tasks' folder

 

2009-09-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

uInternet Settings,ProxyServer = squid.cegedim.fr:3128

uInternet Settings,ProxyOverride = *.cegedim;*.soltim;*.soltimfm;*.esquif.fr;*.pyrenees.net;131.131.*;172.17.*;172.

18.*;128.1.*;193.252.4.*;192.168.*;*.cegedim-srh.com;133.133.*;*.intranet.proval.fr;10.*;frtlm001;intranet.*;195.6.223.14;*.c

egedim-activ;*.cegedim-portal.com;intranet.cegedim-activ.com;*.production.net;*.ametif.local;*.cimta.local;*.acismt.com;<local>

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {29844E54-7345-4116-9267-C6D009F71889} = 172.17.124.61,172.17.124.62

FF - ProfilePath - c:\documents and settings\F86SYH\Application Data\Mozilla\Firefox\Profiles\lnz3nfzw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cegedim-activ.com

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataConf.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataDiagnostics.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataExporter.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataInstall.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-12 13:15

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'lsass.exe'(980)

c:\windows\system32\wvauth.dll

c:\windows\system32\biolsp.dll

.

Completion time: 2009-09-12 13:18

ComboFix-quarantined-files.txt 2009-09-12 11:17

ComboFix2.txt 2009-09-07 20:19

ComboFix3.txt 2009-09-06 12:26

ComboFix4.txt 2009-09-06 10:44

ComboFix5.txt 2009-09-12 11:13

 

Pre-Run: 1 662 730 240 octets libres

Post-Run: 2 439 585 792 octets libres

 

265

Posté(e)

salut :P

 

aie...ce "reader_s.exe" ne prédit rien de bon...

J'ai peur que ton pc n'ait été infecté entre temps par le malware Virut! Il faut faire un scan pour confirmer car c'est un virus destructeur qui infecte les fichiers à grande vitesse. La seule solution valable dans certains cas est le formatage malheureusement...mais avec précautions! (on en reparlera si c'est le cas).

 

1°) Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

2°) Télécharge ComboFix de nouveau >>

 

Télécharge ComboFix sur le Bureau, mais ne le lance pas maintenant!

 

Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

  • Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau: Ne modifie pas le nom du fichier surtout!
     
    Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
     
  • Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
    img-191142280s3.gif
  • Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  • Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.

 

3°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/c54f3b

Patiente une seconde: le téléchargement va se lancer automatiquement.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de Michael75 : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

4°) Le pc a redémarré: fais le scan suivant >>

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

  • Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
  • Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
    **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
  • Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
  • Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
  • De retour à la fenêtre principale : clique pour activer "Analyse complète";
  • Clique le bouton avec flèche verte sur la droite, et le scan débutera.
  • Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
  • Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés : check.gif
  • Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
  • Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
  • Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
  • Ferme Dr.Web Cureit
  • Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  • Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

Poste les rapports demandés stp.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...