Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour,

 

Je connais le meme problème que celui exposé précédemment http://forum.zebulon.fr/pc-infecte-par-le-...sc-t167616.html

à la différence que je n'arrive pas à utiliser MBAM (je peux le télécharger, il se lance mais s'arrete aussitot)

antivir ne se met plus à jour également

j'ai aussi un problème avec les accents circonflexes, voyez plut^^ot

après plusieurs recherches sur google, je n'arrive pas à trouver la réponse. Je ne suis pas franchement familier de l'utilisation de Mabam, hijackthis et autres

sur mon ordi j'ai donc antivir, cccleaner et spybot installés

je vous remercie pour votre aide

Modifié par picouchov

Posté(e)

Bonjour,

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen rapide"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Posté(e)

merci

j'ai téléchargé et lancé rkill (aucune fenêtre "très rapide" ne s'est ouverte m'indiquant que tout s'est bien déroulé)

j'ai suivi ensuite les autres consignes, désinstallation de mbam puis réinstallation avec le lien donné

suppression de tea timer (c'était déjà fait)

j'ai réinstallé mbam mais comme avant il s'ouvre très rapidement et se referme presque automatiquement sans finir la recherche ni sortir quelconque rapport

suite à des recherches, certains indiquaient qu'il fallait renommer le mbam.exe, j'ai essayé ça ne fonctionne toujours pas

donc pas de rapport mbam

merci

Posté(e)

Ok,

 

Alors:

Recherche de rootkit

Téléchargez RootRepeal

Désactiver les modules résidents:l'antivirus,antispyware ,Parefeu

 

Vous devez avoir les droits Administrateur

 

Installez RootRepeal , cliquez sur *Settings->Options*

Onglet "Général Cochez->Only suspicious ..

. [Driver scan] ... [Files scan] ... [Processes scan] ... [sSDT scan] (v. 1.1.0)

aucune raison de changer les paramètres standards.

 

Dans le [ File Scan ] l'option [X] [ Check for file size differences ] est celle qui permet la détection des fichiers dont la taille a été modifiée comme le fait par exemple le rootkit "Rustock.C". Il est donc fortement conseillé de ne pas la désactiver.

 

Dans le [ SSDT scan ], l'option [X] [ Check for hooked SYSENTER/INT 2E ] permet le scan des appels au système par SYSENTER ou INT 2E.

 

Choix des scans (boutons de sélection en bas, à gauche).

 

Chaque option comporte deux boutons [ Scan ] pour lancer l'analyse et [ Save Report ]qui permet d'enregistrer le rapport au format « .txt » dans le répertoire choisi (éventuellement dans le répertoire de démarrage de RootRepeal).

 

[ Report ]permet d'enchaîner plusieurs ou toutes les fonctions précédentes.

Cliquez [select scan]

Dans la fenêtre qui s'ouvre, sélectionner les options à exécuter(Cochez tout).

Un choix des partitions du disque est possible dans la fenêtre [select drives].

Cliquez sur Save Report

Lancez le scan,

Si RootRepeal ne trouve rien , il affichera ceci:

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/08/04 18:47

Program Version: Version 1.3.2.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEB27E000 Size: 49152 File Visible: No Signed: -

Status: -

==EOF==

 

Dans tous les cas

Postez le rapport

Réactivez vos protections

Posté(e)

merci, voilà le rapport de rootrepeal

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/11/14 18:39

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP2

==================================================

 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xEE6AB000 Size: 98304 File Visible: No Signed: -

Status: -

 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7D87000 Size: 8192 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEC09F000 Size: 49152 File Visible: No Signed: -

Status: -

 

SSDT

-------------------

#: 041 Function Name: NtCreateKey

Status: Hooked by "<unknown>" at address 0xf7eac7ce

 

#: 053 Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0xf7eac7c4

 

#: 063 Function Name: NtDeleteKey

Status: Hooked by "<unknown>" at address 0xf7eac7d3

 

#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "<unknown>" at address 0xf7eac7dd

 

#: 098 Function Name: NtLoadKey

Status: Hooked by "<unknown>" at address 0xf7eac7e2

 

#: 122 Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0xf7eac7b0

 

#: 128 Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0xf7eac7b5

 

#: 193 Function Name: NtReplaceKey

Status: Hooked by "<unknown>" at address 0xf7eac7ec

 

#: 204 Function Name: NtRestoreKey

Status: Hooked by "<unknown>" at address 0xf7eac7e7

 

#: 247 Function Name: NtSetValueKey

Status: Hooked by "<unknown>" at address 0xf7eac7d8

 

#: 257 Function Name: NtTerminateProcess

Status: Hooked by "<unknown>" at address 0xf7eac7bf

 

==EOF==

Posté(e)
y a t'il besoin d'afficher aussi le rapport d'antivir lorsque le virus a été trouvé

 

C'est toujours utile !

 

Vous allez télécharger Combofix.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour renommer:

Clic droit sur Télécharger combofix.exe de sUBs

Choisir "Enregistrer la cible du lien..sous....bitruc.com

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir ->bitruc.com

Cliquez enfin sur -> Enregistrer

Lancez bitruc.com et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

animation2ko5.gif

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

Désactivez le contrôle des comptes utilisateurs :

 

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Vous avez téléchargé Combofix.

*Double cliquer sur bitruc.com pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Posté(e)
Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

je l'ai glissé déposé sur le fichier renommé bitruc.com

Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

là petit souci je n'ai qu'un compte administrateur et un comte invité qui n'était pas activé, je n'ai pas pu désactiver le compte administrateur

j'ai ensuite suivi le déroulé, Combo fix s'est lancé il m'a demandé de redémarrer l'ordi suite au repérage d'un virus infecté qu'il m'a demandé de noter sur papier pour besoin si nécessaire, voilà son nom

C:\Windows\system32\sdra64.exe

 

et voilà le rapport combo fix. Petite question, je ne sais pas lire les rapports, il n'y a pas de données personnelles ? je vois quelques noms affichés mais à part ça, y a t'il des données confidentielles ?

merci

 

ComboFix 09-11-15.01 - pierric 15/11/2009 10:55..2 - FAT32x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.697 [GMT 1:00]

Lancé depuis: c:\documents and settings\pierric\Bureau\bitruc.com

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\pierric\Application Data\wiaserva.log

c:\windows\system32\lowsec

c:\windows\system32\lowsec\local.ds

c:\windows\system32\lowsec\user.ds

c:\windows\system32\sdra64.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-10-15 au 2009-11-15 ))))))))))))))))))))))))))))))))))))

.

 

2009-11-14 15:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-14 15:18 . 2009-11-14 15:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-11-14 15:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-11-14 13:49 . 2009-11-14 15:11 -------- d-----w- c:\program files\zal

2009-11-11 09:34 . 2009-11-11 09:34 -------- d-----w- c:\documents and settings\pierric\Application Data\Malwarebytes

2009-11-11 09:34 . 2009-11-11 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-11-07 20:07 . 2009-11-07 20:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Sports Interactive

2009-11-07 19:13 . 2008-07-30 05:20 68616 ----a-w- c:\windows\system32\XAPOFX1_1.dll

2009-11-07 19:08 . 2009-11-07 19:12 -------- d--h--w- c:\program files\Zero G Registry

2009-11-07 19:08 . 2009-11-07 19:08 -------- d-----w- c:\program files\Sports Interactive

2009-11-07 19:07 . 2009-11-07 19:07 -------- d--h--w- c:\documents and settings\pierric\InstallAnywhere

2009-11-02 12:14 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll

2009-11-02 12:14 . 2009-11-02 12:14 -------- d-----w- c:\windows\system32\fr-FR

2009-11-02 12:13 . 2009-11-07 22:14 229856 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-11-02 12:12 . 2009-11-02 12:14 -------- d-----w- c:\windows\system32\XPSViewer

2009-11-02 12:12 . 2009-11-02 12:12 -------- d-----w- c:\program files\MSBuild

2009-11-02 12:12 . 2009-11-02 12:12 -------- d-----w- c:\program files\Reference Assemblies

2009-11-02 12:11 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-11-02 12:11 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-11-02 12:11 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-11-02 12:11 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-11-02 12:11 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-11-02 12:11 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2009-11-02 12:11 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-15 09:58 . 2004-08-05 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat

2009-11-15 09:58 . 2004-08-05 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat

2009-11-15 09:07 . 2007-02-08 04:58 -------- d-----w- c:\program files\Mozilla Thunderbird

2009-11-14 21:33 . 2009-07-11 14:41 -------- d-----w- c:\documents and settings\pierric\Application Data\vlc

2009-11-14 19:39 . 2007-02-10 21:30 -------- d-----w- c:\documents and settings\pierric\Application Data\dvdcss

2009-11-14 15:16 . 2007-03-22 17:35 -------- d-----w- c:\documents and settings\pierric\Application Data\U3

2009-11-14 11:29 . 2009-03-19 13:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-11-11 00:55 . 2007-09-12 17:51 -------- d-----w- c:\documents and settings\pierric\Application Data\Skype

2009-11-10 23:00 . 2009-10-03 20:00 -------- d-----w- c:\documents and settings\pierric\Application Data\skypePM

2009-11-07 20:07 . 2007-02-08 04:16 42168 ----a-w- c:\documents and settings\pierric\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-11-07 17:19 . 2007-02-08 04:03 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-11-01 18:27 . 2007-03-01 21:57 -------- d-----w- c:\program files\eMule

2009-10-21 17:33 . 2009-08-29 07:26 -------- d-----w- c:\documents and settings\pierric\Application Data\PoivY

2009-10-10 09:49 . 2007-07-23 20:02 -------- d-----w- c:\documents and settings\pierric\Application Data\Apple Computer

2009-10-10 09:49 . 2009-10-10 09:18 -------- d-----w- c:\program files\iTunes

2009-10-10 09:19 . 2009-10-10 09:18 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-10-10 09:18 . 2009-10-10 09:18 -------- d-----w- c:\program files\iPod

2009-10-10 09:18 . 2009-10-10 09:15 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-10-10 09:17 . 2007-02-08 04:25 -------- d-----w- c:\program files\Utilitaires

2009-10-10 09:17 . 2007-07-23 19:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer

2009-10-10 09:16 . 2009-10-10 09:16 -------- d-----w- c:\program files\Apple Software Update

2009-10-10 09:15 . 2009-10-10 09:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple

2009-10-03 20:00 . 2009-10-03 20:00 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-10-03 20:00 . 2007-09-12 17:51 -------- d-----r- c:\program files\Skype

2009-10-03 20:00 . 2009-10-03 20:00 -------- d-----w- c:\program files\Fichiers communs\Skype

2009-10-03 20:00 . 2007-09-12 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-09-21 15:09 . 2009-09-21 15:09 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.1.8\SetupAdmin.exe

2009-08-28 17:42 . 2009-10-10 09:16 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-08-28 17:42 . 2009-10-10 09:16 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll

2009-08-18 16:54 . 2009-05-01 10:08 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"DT ACR"="c:\program files\Acer Display\eDisplay Management\DTHtml.exe" [2007-09-20 305664]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2004-10-27 61952]

"DeltTray"="DeltTray.exe" - c:\windows\system32\delttray.exe [2004-08-26 56320]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"LoadAppInit_DLLs"=1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"Midi1"=hxdll.dll

"midi3"=hxdll.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Docteur Club Internet.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Docteur Club Internet.lnk

backup=c:\windows\pss\Docteur Club Internet.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^pierric^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]

path=c:\documents and settings\pierric\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^pierric^Menu Démarrer^Programmes^Démarrage^Club Internet.lnk]

path=c:\documents and settings\pierric\Menu Démarrer\Programmes\Démarrage\Club Internet.lnk

backup=c:\windows\pss\Club Internet.lnkStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program Files\\PoivY.com\\PoivY\\PoivY.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Sports Interactive\\Football Manager 2010\\fm.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"990:TCP"= 990:TCP:Active

 

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [08/02/2007 05:47 11264]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/05/2009 11:08 108289]

S3 USBMIDI;UF USB MIDI Driver;c:\windows\system32\drivers\mdusb.sys [30/06/2007 16:26 31306]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - MBR

*Deregistered* - mbr

*Deregistered* - PROCEXP113

.

Contenu du dossier 'Tâches planifiées'

 

2009-11-14 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job

- c:\program files\Utilitaires\Spybot - Search & Destroy\SpybotSD.exe [2009-03-19 14:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Settings,ProxyOverride = 127.0.0.1

IE: E&xporter vers Microsoft Excel - c:\progra~1\BUREAU~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\pierric\Application Data\Mozilla\Firefox\Profiles\g7f5y3s0.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava11.dll

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava12.dll

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava13.dll

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava14.dll

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava32.dll

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJPI150_11.dll

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPOJI610.dll

FF - plugin: c:\program files\Utilitaires\Plugins\npqtplugin.dll

FF - plugin: c:\program files\Utilitaires\Plugins\npqtplugin2.dll

FF - plugin: c:\program files\Utilitaires\Plugins\npqtplugin3.dll

FF - plugin: c:\program files\Utilitaires\Plugins\npqtplugin4.dll

FF - plugin: c:\program files\Utilitaires\Plugins\npqtplugin5.dll

FF - plugin: c:\program files\Utilitaires\Plugins\npqtplugin6.dll

FF - plugin: c:\program files\Utilitaires\Plugins\npqtplugin7.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-15 10:59

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1417001333-963894560-725345543-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]

"Name"="ActiveSync"

"DisplayName"="Microsoft ActiveSync"

"Param1"="ActiveSync"

"Type"="wellknown"

"Order"=dword:00000001

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1417001333-963894560-725345543-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]

"Name"="IESettings"

"Type"="IESettings"

"Order"=dword:00000004

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1417001333-963894560-725345543-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]

"Name"="MediaFiles"

"Type"="MediaFiles"

"Order"=dword:00000003

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1417001333-963894560-725345543-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]

"Name"="NPW"

"Param1"="NPW"

"Type"="wellknown"

"Order"=dword:00000002

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1417001333-963894560-725345543-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]

"Name"="Outlook"

"DisplayName"="Microsoft Outlook"

"Param1"="Outlook"

"Type"="wellknown"

"Order"=dword:00000000

"State"=dword:00000002

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]

"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\ACPI\PNP0F03\4&2c575acb&0\LogConf]

@DACL=(02 0000)

"BasicConfigVector"=hex(a):48,00,00,00,0f,00,00,00,00,00,00,00,00,00,00,00,00,

00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,01,00,00,00,00,02,\

"BootConfig"=hex(:P:01,00,00,00,0f,00,00,00,00,00,00,00,01,00,01,00,01,00,00,

00,02,01,01,00,0c,00,00,00,0c,00,00,00,ff,ff,ff,ff

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(648)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\COMRes.dll

.

Heure de fin: 2009-11-15 11:02

ComboFix-quarantined-files.txt 2009-11-15 10:02

 

Avant-CF: 11 842 908 160 octets libres

Après-CF: 11 825 037 312 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - 485FC25F6323CAADB16F376292C95DA7

Posté(e)

au fait, voilà aussi le rapport qui avait été fait par Antivir lorsqu'il a détecté le trojan Kates

 

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 11 novembre 2009 10:57

 

La recherche porte sur 1878353 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : (j'ai supprimé le nom de l'ordi)

 

Informations de version :

BUILD.DAT : 9.0.0.70 18071 Bytes 25/09/2009 12:03:00

AVSCAN.EXE : 9.0.3.7 466689 Bytes 18/08/2009 16:54:17

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 16:42:29

ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28/10/2009 00:18:43

ANTIVIR3.VDF : 7.1.6.210 427520 Bytes 09/11/2009 08:49:02

Version du moteur : 8.2.1.61

AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 17:39:39

AESCRIPT.DLL : 8.1.2.44 586107 Bytes 07/11/2009 09:06:11

AESCN.DLL : 8.1.2.5 127346 Bytes 06/09/2009 17:52:50

AERDL.DLL : 8.1.3.2 479604 Bytes 03/10/2009 18:05:06

AEPACK.DLL : 8.2.0.3 422261 Bytes 06/11/2009 09:09:03

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 18:15:49

AEHEUR.DLL : 8.1.0.180 2093432 Bytes 07/11/2009 09:06:00

AEHELP.DLL : 8.1.7.0 237940 Bytes 06/09/2009 17:52:50

AEGEN.DLL : 8.1.1.71 364916 Bytes 06/11/2009 09:08:14

AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 18:04:29

AECORE.DLL : 8.1.8.2 184694 Bytes 06/11/2009 09:08:08

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 17:38:27

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 20:08:50

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, E:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : mercredi 11 novembre 2009 10:57

 

La recherche d'objets cachés commence.

'30139' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HookManager.exe' - '1' module(s) sont contrôlés

Processus de recherche 'PoivY.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dthtml.exe' - '1' module(s) sont contrôlés

Processus de recherche 'delttray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'DTSRVC.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'brss01a.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'brsvc01a.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'31' processus ont été contrôlés avec '31' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '49' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <SYSTEME>

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Documents and Settings\pierric\Local Settings\Temporary Internet Files\Content.IE5\P3PYY9WS\Tj0[1].dat

[RESULTAT] Contient le cheval de Troie TR/PSW.Kates.Q.2

Recherche débutant dans 'E:\' <DONNEE>

 

Début de la désinfection :

C:\Documents and Settings\pierric\Local Settings\Temporary Internet Files\Content.IE5\P3PYY9WS\Tj0[1].dat

[RESULTAT] Contient le cheval de Troie TR/PSW.Kates.Q.2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b2a908a.qua' !

 

 

Fin de la recherche : mercredi 11 novembre 2009 11:21

Temps nécessaire: 22:18 Minute(s)

 

La recherche a été effectuée intégralement

 

9126 Les répertoires ont été contrôlés

246067 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

246065 Fichiers non infectés

1415 Les archives ont été contrôlées

1 Avertissements

2 Consignes

30139 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

Posté(e)

Bonsoir,

 

Combofix ne dévoile aucune donnée perso.

Il examine le système et c'est tout.

 

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

 

Rendez vous à cette addresse:

 

Cliquez sur parcourir pour trouver ces fichiers en gras:

c:\windows\system32\drivers\spmsg2.dll

 

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

 

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...