RÉSOLU Ordi malade

CHOUMJC · le 27 février 2010

Bon j'ai envoyé le fichier dans la corbeille en mode sans echec et je voulais essayer de l'envoyer sur senduit de là mais en fait je ne sais pas ou se trouve cette fichue corbeille lol Mais au moins l'UC utilisé est désormais normale. Je voulais pas cruncher le fichier pour que tu puisse l'analyser, il semble cependant inactif depuis cet emplacement.

Edition de mon post après un peu de recherche internet : J'ai trouvé l'emplacement de la corbeille C/recycler dans les fichier masqués du systeme mais il semble impossible d'upload depuis ce fichier. Je suis très tentée de supprimer cette saleté de virus immédiatement.....

Modifié le 27 février 2010 par CHOUMJC

Falkra · le 27 février 2010

Ok, vide ta corbeille.

On va finir à la main. Attention avec l'outil suivant, suis bien les instructions, et ne l'interromps pas.

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Branche tes clés USB et autres périphériques amovibles (disques durs externes, etc), laisse les branchés pendant que combofix travaille et après le redémarrage.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.
Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
Le bureau disparaît, c'est normal, et il va revenir.
Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

CHOUMJC · le 28 février 2010

voici le rapport de combofix :

ComboFix 10-02-27.04 - Compaq_Propriétaire 28/02/2010 1:11.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.123 [GMT 1:00]

Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FW: ZoneAlarm Pro Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\install.exe

c:\recycler\S-1-5-21-4288842170-1818846225-1945552359-1003

c:\windows\system32\ps2.bat

c:\windows\system32\Thumbs.db

D:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ASC3550P

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))

.

2010-02-27 16:34 . 2010-02-27 16:35 -------- d-----w- c:\program files\trend micro

2010-02-27 16:34 . 2010-02-27 16:37 -------- dc----w- C:\rsit

2010-02-27 11:50 . 2010-02-27 11:52 -------- d-----w- c:\program files\ANALYSEUR

2010-02-27 07:53 . 2010-02-27 07:53 -------- dc----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2010-02-27 07:53 . 2010-02-27 07:53 -------- dcsh--w- c:\documents and settings\Administrateur\IETldCache

2010-02-26 10:46 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

2010-02-13 10:00 . 2008-03-21 12:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll

2010-02-13 09:59 . 2010-02-13 09:59 -------- d-----w- c:\program files\MP3 Player Utilities 4.21

2010-02-08 18:24 . 2009-07-16 22:12 44544 ----a-w- c:\windows\system32\msxml4a.dll

2010-02-08 18:24 . 2010-02-08 18:27 -------- d-----w- c:\program files\File Recover

2010-02-06 11:27 . 2010-02-06 11:27 -------- d-----w- c:\program files\ICQ6Toolbar

2010-02-06 11:27 . 2010-02-06 11:27 -------- dc----w- c:\documents and settings\All Users\Application Data\ICQ

2010-02-03 07:42 . 2010-02-09 16:27 -------- dc--a-w- c:\documents and settings\All Users\Application Data\TEMP

2010-02-03 07:41 . 2010-02-03 07:43 -------- dc----w- c:\documents and settings\All Users\Application Data\SpeedBit

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-28 00:00 . 2008-11-20 20:02 -------- dc----w- c:\documents and settings\All Users\Application Data\avg8

2010-02-27 23:35 . 2008-12-23 22:06 24824233 -c--a-w- c:\windows\Internet Logs\tvDebug.Zip

2010-02-27 00:55 . 2010-02-27 10:03 1236992 ----a-w- c:\windows\Internet Logs\xDB12A.tmp

2010-02-27 00:55 . 2010-02-27 10:03 3702272 ----a-w- c:\windows\Internet Logs\xDB12B.tmp

2010-02-26 14:12 . 2010-02-26 14:12 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat

2010-02-25 19:42 . 2010-02-25 19:42 87273 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_02_25_20_41_01_small.dmp.zip

2010-02-25 19:42 . 2010-02-25 19:42 152733 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_02_25_20_40_43_small.dmp.zip

2010-02-25 08:52 . 2010-02-25 18:07 2048000 ----a-w- c:\windows\Internet Logs\xDB129.tmp

2010-02-25 07:18 . 2008-11-20 20:09 4212 ---ha-w- c:\windows\system32\zllictbl.dat

2010-02-23 23:16 . 2008-11-20 20:44 -------- d-----w- c:\program files\eMule

2010-02-22 00:11 . 2010-02-22 09:25 334848 ----a-w- c:\windows\Internet Logs\xDB127.tmp

2010-02-22 00:11 . 2010-02-22 09:25 3639808 ----a-w- c:\windows\Internet Logs\xDB128.tmp

2010-02-21 08:17 . 2010-02-21 10:19 243712 ----a-w- c:\windows\Internet Logs\xDB126.tmp

2010-02-20 11:00 . 2010-02-20 11:06 57856 ----a-w- c:\windows\Internet Logs\xDB125.tmp

2010-02-20 05:32 . 2010-02-20 09:35 3637248 ----a-w- c:\windows\Internet Logs\xDB124.tmp

2010-02-20 05:32 . 2010-02-20 09:34 2113024 ----a-w- c:\windows\Internet Logs\xDB123.tmp

2010-02-18 13:04 . 2010-02-18 13:07 3633664 ----a-w- c:\windows\Internet Logs\xDB122.tmp

2010-02-18 13:04 . 2010-02-18 13:07 3088384 ----a-w- c:\windows\Internet Logs\xDB121.tmp

2010-02-16 14:33 . 2010-02-16 22:58 3628544 ----a-w- c:\windows\Internet Logs\xDB120.tmp

2010-02-13 10:00 . 2010-02-13 10:00 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf

2010-02-13 09:37 . 2010-02-13 09:39 3113472 ----a-w- c:\windows\Internet Logs\xDB11F.tmp

2010-02-09 21:04 . 2010-02-10 05:45 871424 ----a-w- c:\windows\Internet Logs\xDB11E.tmp

2010-02-08 23:34 . 2010-02-09 06:04 1170944 ----a-w- c:\windows\Internet Logs\xDB11D.tmp

2010-02-08 19:14 . 2008-11-20 18:57 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-02-08 06:55 . 2010-02-08 06:54 26553790 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_02_08_07_52_15_full.dmp.zip

2010-02-07 20:48 . 2009-01-16 14:42 -------- d-----w- c:\program files\MAGIX

2010-02-07 20:47 . 2009-01-16 14:43 -------- dc----w- c:\documents and settings\All Users\Application Data\MAGIX

2010-02-06 11:18 . 2008-11-24 18:02 -------- d-----w- c:\program files\Google

2010-02-06 10:32 . 2010-02-06 10:37 917504 ----a-w- c:\windows\Internet Logs\xDB11C.tmp

2010-02-03 12:22 . 2010-02-03 16:44 3279872 ----a-w- c:\windows\Internet Logs\xDB11B.tmp

2010-02-02 17:30 . 2010-01-06 22:46 -------- d-----w- c:\program files\Codemasters

2010-01-31 02:40 . 2010-01-31 07:44 3460608 ----a-w- c:\windows\Internet Logs\xDB11A.tmp

2010-01-27 22:58 . 2008-11-20 18:57 -------- dc----w- c:\documents and settings\All Users\Application Data\Apple Computer

2010-01-27 16:38 . 2010-01-27 16:41 2856448 ----a-w- c:\windows\Internet Logs\xDB119.tmp

2010-01-27 12:03 . 2010-01-27 12:03 -------- d-----w- c:\program files\Fichiers communs\Apple

2010-01-27 12:02 . 2010-01-27 12:02 -------- dc----w- c:\documents and settings\All Users\Application Data\Apple

2010-01-25 10:21 . 2010-01-25 10:23 2915328 ----a-w- c:\windows\Internet Logs\xDB118.tmp

2010-01-24 13:05 . 2010-01-24 18:27 1549312 ----a-w- c:\windows\Internet Logs\xDB117.tmp

2010-01-22 23:38 . 2010-01-22 23:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-01-22 23:37 . 2010-01-22 23:37 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-01-22 22:55 . 2010-01-22 22:55 -------- dc----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2010-01-22 21:58 . 2010-01-22 22:01 1399808 ----a-w- c:\windows\Internet Logs\xDB116.tmp

2010-01-22 17:49 . 2010-01-22 17:49 20 ----a-w- c:\windows\system32\config\systemprofile\Application Data\anvkgp.dat

2010-01-22 11:25 . 2010-01-22 11:27 1470976 ----a-w- c:\windows\Internet Logs\xDB115.tmp

2010-01-20 21:52 . 2010-01-21 06:01 2983936 ----a-w- c:\windows\Internet Logs\xDB114.tmp

2010-01-20 21:52 . 2010-01-21 06:01 2765824 ----a-w- c:\windows\Internet Logs\xDB113.tmp

2010-01-17 21:54 . 2010-01-18 05:20 379392 ----a-w- c:\windows\Internet Logs\xDB112.tmp

2010-01-17 12:18 . 2010-01-17 15:44 284672 ----a-w- c:\windows\Internet Logs\xDB111.tmp

2010-01-17 02:35 . 2010-01-17 09:01 1222656 ----a-w- c:\windows\Internet Logs\xDB110.tmp

2010-01-15 21:11 . 2010-01-15 21:14 577536 ----a-w- c:\windows\Internet Logs\xDB10E.tmp

2010-01-15 21:11 . 2010-01-15 21:14 2934784 ----a-w- c:\windows\Internet Logs\xDB10F.tmp

2010-01-15 07:28 . 2010-01-15 08:04 429568 ----a-w- c:\windows\Internet Logs\xDB10D.tmp

2010-01-14 23:18 . 2010-01-15 06:08 546816 ----a-w- c:\windows\Internet Logs\xDB10C.tmp

2010-01-14 08:25 . 2010-01-14 11:52 1125376 ----a-w- c:\windows\Internet Logs\xDB10B.tmp

2010-01-13 01:06 . 2010-01-13 05:52 3068416 ----a-w- c:\windows\Internet Logs\xDB10A.tmp

2010-01-12 10:45 . 2010-01-12 10:49 2899968 ----a-w- c:\windows\Internet Logs\xDB109.tmp

2010-01-11 15:12 . 2010-01-11 15:53 2838528 ----a-w- c:\windows\Internet Logs\xDB108.tmp

2010-01-09 06:01 . 2010-01-09 08:18 3097088 ----a-w- c:\windows\Internet Logs\xDB107.tmp

2010-01-07 15:07 . 2010-01-22 23:38 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-07 15:07 . 2010-01-22 23:37 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-01-06 13:55 . 2010-01-06 15:57 2796544 ----a-w- c:\windows\Internet Logs\xDB106.tmp

2010-01-06 13:55 . 2010-01-06 15:56 1246208 ----a-w- c:\windows\Internet Logs\xDB105.tmp

2010-01-05 20:16 . 2010-01-05 20:16 4608 ----a-w- c:\windows\system32\w95inf32.dll

2010-01-05 20:16 . 2010-01-05 20:16 2272 ----a-w- c:\windows\system32\w95inf16.dll

2010-01-05 20:14 . 2010-01-05 20:14 -------- d-----w- c:\program files\Auralog

2010-01-05 07:33 . 2010-01-05 09:50 584704 ----a-w- c:\windows\Internet Logs\xDB104.tmp

2010-01-05 02:38 . 2010-01-05 06:03 1456640 ----a-w- c:\windows\Internet Logs\xDB103.tmp

2010-01-03 02:33 . 2010-01-03 04:59 1738752 ----a-w- c:\windows\Internet Logs\xDB102.tmp

2010-01-01 21:58 . 2010-01-01 22:00 359936 ----a-w- c:\windows\Internet Logs\xDB101.tmp

2009-12-31 16:50 . 2004-08-05 18:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-31 13:41 . 2010-01-01 11:26 3579904 ----a-w- c:\windows\Internet Logs\xDB100.tmp

2009-12-28 00:27 . 2009-12-28 07:32 318464 ----a-w- c:\windows\Internet Logs\xDBFF.tmp

2009-12-27 14:34 . 2009-12-27 17:17 3006976 ----a-w- c:\windows\Internet Logs\xDBFE.tmp

2009-12-24 14:03 . 2009-12-25 15:57 2716160 ----a-w- c:\windows\Internet Logs\xDBFD.tmp

2009-12-24 14:03 . 2009-12-25 15:57 389632 ----a-w- c:\windows\Internet Logs\xDBFC.tmp

2009-12-23 23:00 . 2009-12-24 05:54 303104 ----a-w- c:\windows\Internet Logs\xDBFB.tmp

2009-12-23 17:32 . 2009-12-23 17:33 371712 ----a-w- c:\windows\Internet Logs\xDBFA.tmp

2009-12-23 05:09 . 2009-12-23 08:30 85504 ----a-w- c:\windows\Internet Logs\xDBF9.tmp

2009-12-22 23:00 . 2009-12-23 04:44 1443328 ----a-w- c:\windows\Internet Logs\xDBF8.tmp

2009-12-22 05:17 . 2009-12-22 09:11 1935360 ----a-w- c:\windows\Internet Logs\xDBF7.tmp

2009-12-21 19:07 . 2004-08-05 18:00 916480 ----a-w- c:\windows\system32\wininet.dll

2009-12-20 23:41 . 2009-12-21 06:35 1242624 ----a-w- c:\windows\Internet Logs\xDBF6.tmp

2009-12-17 21:16 . 2009-12-18 05:36 575488 ----a-w- c:\windows\Internet Logs\xDBF5.tmp

2009-12-17 13:35 . 2009-12-17 14:59 394240 ----a-w- c:\windows\Internet Logs\xDBF4.tmp

2009-12-17 10:37 . 2009-12-17 12:21 2690048 ----a-w- c:\windows\Internet Logs\xDBF3.tmp

2009-12-17 10:37 . 2009-12-17 12:21 3105792 ----a-w- c:\windows\Internet Logs\xDBF2.tmp

2009-12-17 07:41 . 2004-08-05 18:00 347648 ----a-w- c:\windows\system32\mspaint.exe

2009-12-15 07:23 . 2009-12-15 07:25 2675200 ----a-w- c:\windows\Internet Logs\xDBF1.tmp

2009-12-14 22:57 . 2009-12-15 06:08 527872 ----a-w- c:\windows\Internet Logs\xDBEF.tmp

2009-12-14 22:57 . 2009-12-15 06:08 2674688 ----a-w- c:\windows\Internet Logs\xDBF0.tmp

2009-12-14 17:06 . 2009-12-14 17:10 286720 ----a-w- c:\windows\Internet Logs\xDBEE.tmp

2009-12-14 09:33 . 2009-12-14 09:33 147216 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2009_12_14_08_25_23_small.dmp.zip

2009-12-14 07:25 . 2009-12-14 09:33 207872 ----a-w- c:\windows\Internet Logs\xDBED.tmp

2009-12-14 07:09 . 2004-08-05 18:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2009-12-13 23:03 . 2009-12-14 06:08 1008128 ----a-w- c:\windows\Internet Logs\xDBEC.tmp

2009-12-10 22:08 . 2004-11-23 21:26 514630 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-10 22:08 . 2004-11-23 21:26 86274 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-10 22:08 . 2009-12-11 05:22 2650624 ----a-w- c:\windows\Internet Logs\xDBEB.tmp

2009-12-10 22:08 . 2009-12-11 05:22 881664 ----a-w- c:\windows\Internet Logs\xDBEA.tmp

2009-12-10 07:33 . 2009-12-10 08:52 1199104 ----a-w- c:\windows\Internet Logs\xDBE9.tmp

.

------- Sigcheck -------

[-] 2009-01-26 . A29E1209F925A0E9B330E11DA5FC7BAB . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\TCPIP.SYS

[-] 2009-01-26 . A29E1209F925A0E9B330E11DA5FC7BAB . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\TCPIP.SYS

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys

[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\TCPIP.SYS

[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\tcpip.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]

2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-12-14 2043160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-08-31 06:57 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Compaq_Propriétaire^Menu Démarrer^Programmes^Démarrage^winesm32.exe]

path=c:\documents and settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\winesm32.exe

backup=c:\windows\pss\winesm32.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

2004-06-29 17:06 88363 -c--a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2008-06-19 15:20 57344 -c--a-w- c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]

2008-06-19 15:42 2808832 ----a-w- c:\windows\ALCWZRD.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

2004-11-03 20:10 344064 ----a-w- c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

2006-11-16 18:04 139264 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Connexion SFR 9props.exe]

2009-10-15 08:53 959808 ----a-w- c:\program files\Neuf\Kit\9props.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2008-08-08 12:11 490952 -c--a-w- c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]

2005-06-07 10:31 819712 ----a-w- c:\program files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]

2008-12-04 12:24 665424 ------w- c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON SX210 Series]

2008-11-05 23:00 199680 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIFDE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]

2009-04-21 17:30 133104 ----atw- c:\documents and settings\Compaq_Propriétaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]

1998-05-07 16:04 52736 -c--a-w- c:\windows\system\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2004-10-13 15:04 278528 -c--a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]

2003-02-11 19:02 61440 ----a-w- c:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]

2006-10-13 16:01 277296 ----a-w- c:\program files\Microsoft LifeCam\LifeExp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSBWatcher]

2004-10-14 21:54 253952 -c--a-w- c:\hp\drivers\hplsbwatcher\LSBurnWatcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Name of App]

2008-07-07 12:12 675935 ----a-w- c:\program files\SAMSUNG\FW LiveUpdate\FWManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2006-01-12 14:40 155648 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

2005-06-29 14:29 176128 -c--a-w- c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]

2005-06-24 13:08 860160 -c--a-w- c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2]

2003-09-12 19:13 98304 ----a-w- c:\windows\system32\ps2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio]

2004-03-17 15:10 61952 ----a-w- c:\windows\system32\Hdaudpropshortcut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]

2004-04-14 20:43 233472 ----a-w- c:\windows\SMINST\Recguard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

2008-08-19 12:26 77824 ----a-w- c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]

2004-04-23 13:28 77824 ----a-w- c:\program files\Logitech\Profiler\LWEMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

2008-08-29 16:11 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-07-25 03:23 149280 -c--a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX1000]

2006-10-13 16:04 707376 -c--a-w- c:\windows\vVX1000.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]

2008-10-22 11:31 981904 ----a-w- c:\program files\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=

"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Epson Software\\Event Manager\\EEventManager.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [20/11/2008 21:06 717296]

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [20/11/2008 21:02 335240]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [20/11/2008 21:02 108552]

R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [24/11/2008 09:48 908056]

R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [24/11/2008 09:48 297752]

S0 yryfav;yryfav; [x]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [16/01/2009 15:46 1527900]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 16:13 234864]

.

Contenu du dossier 'Tâches planifiées'

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://start.icq.com/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

DPF: {4DD20514-9520-40A7-9CD6-66883643A20B} - hxxp://www.boaki.com/download/uviLaunch.cab

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab

DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxp://secure.gopetslive.com/dev/GoPetsWeb.cab

FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\so34ubyi.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/

FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=

.

- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-16398128 - c:\docume~1\ALLUSE~1\APPLIC~1\16398128\16398128.exe

MSConfigStartUp-CTFMON - c:\windows\Temp\_ex-08.exe

MSConfigStartUp-EPSON Stylus C48 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I091.EXE

MSConfigStartUp-Free Download Manager - c:\program files\Free Download Manager\fdm.exe

MSConfigStartUp-sysgif32 - c:\windows\TEMP\~TM2A8.tmp

AddRemove-HijackThis - C:\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-28 01:26

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys prosync1.sys hal.dll sfsync02.sys atapi.sys spys.sys >>UNKNOWN [0x82D91938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf86f5f28

\Driver\ACPI -> ACPI.sys @ 0xf843fcb8

\Driver\atapi -> prosync1.sys @ 0xf8b896c1

IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x80577c84

SecurityProcedure -> ntkrnlpa.exe @ 0x80579208

\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x80577c84

SecurityProcedure -> ntkrnlpa.exe @ 0x80579208

user & kernel MBR OK

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2884794760-1062048309-3029786029-1007\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(756)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3812)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\eappprxy.dll

c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll

c:\windows\system32\ConnAPI.DLL

c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll

c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_fre.nlr

c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\program files\Microsoft LifeCam\MSCamS32.exe

c:\progra~1\AVG\AVG8\avgrsx.exe

c:\progra~1\AVG\AVG8\avgnsx.exe

c:\program files\AVG\AVG8\avgcsrvx.exe

.

**************************************************************************

.

Heure de fin: 2010-02-28 01:35:20 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-02-28 00:35

Avant-CF: 68 355 043 328 octets libres

Après-CF: 68 217 417 728 octets libres

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=,1,2,3,4

- - End Of File - - DCC6CE7C20DE8CFB8B049CD246EB7B80

CHOUMJC · le 28 février 2010

Je précise qu'il ne m'a pas proposé de telecharger la console de recupération et qu'il a redémarré l'ordi automatiquement sans mon intervention.

Falkra · le 28 février 2010

Je précise qu'il ne m'a pas proposé de telecharger la console de recupération et qu'il a redémarré l'ordi automatiquement sans mon intervention.

C'est normal, et d'après le rapport tout s'est bien passé, tu as bien utilisé l'outil, sans problème.

Ton système est endommagé il va falloir réparer des fichiers.

Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

Télécharge le fichier CFscript.txt depuis ce site :
http://senduit.com/0add5d
Place-le sur le bureau, près de l'icône de combofix.
Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

CHOUMJC · le 28 février 2010

Voici le rapport :

ComboFix 10-02-27.04 - Compaq_Propriétaire 28/02/2010 11:35:17.2.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.125 [GMT 1:00]

Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Compaq_Propriétaire\Bureau\CFscript.txt

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::

"c:\documents and settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\winesm32.exe"

"c:\windows\pss\winesm32.exeStartup"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

--------------- FCopy ---------------

c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys --> c:\windows\system32\drivers\TCPIP.SYS

c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys --> c:\windows\system32\dllcache\TCPIP.SYS

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_yryfav