Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC infecté par BAT/Agent.148 et TR/Crypt.XPACK.Gen [résolu]

Duck Psycho Sexy
 Partager

Messages recommandés

Duck Psycho Sexy Member

Duck Psycho Sexy

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

 

Lors de ma dernière session, avira antivir a détecté BAT/Agent.148 et TR/Crypt.XPACK.Gen. Je les ai supprimé.

Ce matin à l'ouverture de la session, le bureau ne s'affiche pas et "security tool" fait son apparition en m'ouvrant plusieurs fenêtre impossibles à fermer.

 

Suite à une infection survenue la semaine dernière par BDS/Papras.CQ' [backdoor] et 'TR/Dldr.Bredolab.AA.54' [trojan] , j'avais opérer rapite nettoyage ATF cleaner + scan Avira + spybot... la paix n'a durer qu'une semaine...

 

Si quelqu'un avait la gentillesse de me venir en aide....

 

Voici le rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:03:58, on 17/03/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Jean-Mouloud\Bureau\HiJackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [30366725] C:\DOCUME~1\ALLUSE~1\APPLIC~1\30366725\30366725.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [EPSON SX100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\WINDOWS\TEMP\E_SE5.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [EPSON SX100 Series (wifi)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\WINDOWS\TEMP\E_SC.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')

O4 - Startup: monnwb32.exe

O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE

O4 - Startup: winesm32.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel® Quick Resume Technology\ELService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 6456 bytes

 

 

 

Par avance, un énorme MERCI!

 

Par ailleurs (je sais pas du tout si cela peut avoir un rapport), il y a deux semaines, une bestiole s'est glissée dans Filezilla afin de modifier quelques lignes des fichiers php de l'un de mes sites wordpress. J'avais alors rechargé les fichiers en question. Par la suite j'ai eu la vague impression que avira détectait les infections suscitées (j'adore utiliser ce mot! Je le trouve classe! :P) peu de temps aprés une visite sur mon site worpress via mon navigateur... (ce n'est peut être qu'une fausse impression, mais au cas où...)

Modifié par Duck Psycho Sexy

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

On va procéder ainsi stp =>

 

  • Fais un clic sur le bouton droit de ta souris ICI
  • Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  • Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> Duck.exe
  • Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  • Assure toi que tous les programmes soient fermés avant de lancer le fix!
  • Fait un double clique sur Duck.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
  • Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

RcAuto1.gif

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu dois voir le message suivant:

whatnext.png

  • Tape sur la touche Y (Yes) pour poursuivre avec la recherche de nuisibles.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.
  • Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt

Duck Psycho Sexy Member

Duck Psycho Sexy

Posté(e)
  • Auteur
Posté(e)

Salut Thanos,

 

Merci beaucoup de t'occuper de mon cas.

 

Entre temps j'ai opéré spybot SD qui a repéré et éliminé certains fichier "security tool"...

 

Voici le rapport combox fix :

 

ComboFix 10-03-16.05 - Jean-Mouloud 17/03/2010 13:34:01.1.2 - x86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.634 [GMT 1:00]

Lancé depuis: c:\documents and settings\Jean-Mouloud\Bureau\duck.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\sysReserve.ini

c:\documents and settings\Jean-Mouloud\Application Data\avdrn.dat

c:\windows\system32\ps2.bat

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-17 au 2010-03-17 ))))))))))))))))))))))))))))))))))))

.

 

2010-03-16 16:36 . 2010-03-16 16:36 -------- d-----r- c:\documents and settings\LocalService\Favoris

2010-03-16 16:36 . 2010-03-16 16:36 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2010-03-16 11:17 . 2010-03-16 11:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink

2010-03-16 11:17 . 2010-03-16 11:17 -------- d-----w- c:\program files\DVD Shrink

2010-03-10 10:46 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe

2010-03-10 10:42 . 2010-03-10 10:42 56120 ----a-w- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-06 23:51 . 2010-03-06 23:52 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\dvdcss

2010-03-05 20:49 . 2010-03-17 12:38 802304 ----a-w- c:\windows\system32\drivers\wlpoiqw.sys

2010-02-17 16:16 . 2010-02-17 16:16 -------- d-sh--w- c:\documents and settings\Jean-Mouloud\IECompatCache

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-16 16:35 . 2010-03-16 16:35 16 ----a-w- c:\documents and settings\Jean-Mouloud\Application Data\zxcdyt.dat

2010-03-16 16:18 . 2009-12-26 17:40 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\vlc

2010-03-16 12:55 . 2010-01-12 16:40 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\gtk-2.0

2010-03-16 08:05 . 2009-12-25 21:36 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-03-15 22:36 . 2010-01-13 15:03 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\FileZilla

2010-03-15 22:29 . 2010-03-15 22:29 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\zeovbl.dat

2010-03-11 16:03 . 2009-12-26 17:09 1 ----a-w- c:\documents and settings\Jean-Mouloud\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-03-07 06:03 . 2010-03-06 11:18 20 ----a-w- c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat

2010-03-05 20:48 . 2010-03-05 20:48 16 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat

2010-02-23 09:18 . 2010-01-13 15:02 -------- d-----w- c:\program files\FileZilla FTP Client

2010-02-13 17:08 . 2010-02-13 17:08 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2

2010-02-13 12:24 . 2010-02-13 12:24 -------- d-----w- c:\program files\Microsoft Silverlight

2010-02-12 11:12 . 2010-02-12 11:12 -------- d-----w- c:\program files\pdfsam

2010-02-12 02:32 . 2010-02-12 02:32 -------- d-----w- c:\program files\laetjr

2010-02-11 22:24 . 2010-02-11 22:24 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\inkscape

2010-02-11 22:19 . 2010-02-11 22:11 -------- d-----w- c:\program files\Inkscape

2010-02-08 14:06 . 2010-02-08 14:06 -------- d-----w- c:\program files\7-Zip

2010-02-03 17:24 . 2010-02-03 17:24 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\Sonic

2010-02-03 17:23 . 2010-02-03 17:23 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\Leadertech

2010-01-02 09:53 . 2010-01-02 09:53 152576 ----a-w- c:\documents and settings\Jean-Mouloud\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2010-01-02 09:53 . 2010-01-02 09:53 79488 ----a-w- c:\documents and settings\Jean-Mouloud\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2009-12-31 16:50 . 2004-08-10 11:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-27 21:17 . 2005-10-10 11:39 85396 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-27 21:17 . 2005-10-10 11:39 511874 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-26 18:56 . 2009-12-26 18:50 12212040 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe

2009-12-26 18:55 . 2009-12-26 18:50 13930312 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe

2009-12-26 18:55 . 2009-12-26 18:50 61440 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMF11Runx86.exe

2009-12-26 18:55 . 2009-12-26 18:50 58880 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMF11Runx64.exe

2009-12-26 18:55 . 2009-12-26 18:50 77824 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\Run_XML6_SP1.exe

2009-12-26 18:55 . 2009-12-26 18:50 50000 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\pcswpc.exe

2009-12-26 18:42 . 2009-12-26 18:49 95992424 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Nokia_Ovi_Suite_webinstaller_ALL.exe

2009-12-25 22:42 . 2009-12-25 22:42 135 ----a-w- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\fusioncache.dat

2009-12-25 20:54 . 2009-12-25 20:54 0 ----a-w- c:\windows\nsreg.dat

2009-12-25 20:08 . 2005-10-10 11:55 92667 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-12-21 19:07 . 2004-08-10 11:00 916480 ----a-w- c:\windows\system32\wininet.dll

2006-07-25 12:56 . 2009-12-26 01:55 32 --sha-w- c:\windows\SMINST\HPCD.SYS

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"Google Update"="c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-01-02 135664]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"ftutil2"="ftutil2.dll" [2004-06-07 106496]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-02-21 143360]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"RTHDCPL"="RTHDCPL.EXE" [2006-01-12 15961088]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]

"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2005-11-10 249856]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

c:\documents and settings\Invit‚\Menu D‚marrer\Programmes\D‚marrage\

Pin.lnk - c:\hp\bin\CLOAKER.EXE [2005-1-1 27136]

 

c:\documents and settings\Jean-Mouloud\Menu D‚marrer\Programmes\D‚marrage\

monnwb32.exe [2008-4-14 16384]

Pin.lnk - c:\hp\bin\CLOAKER.EXE [2005-1-1 27136]

winesm32.exe [2008-4-14 29696]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Google Update"="c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"DMAScheduler"=c:\program files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe

"HP Software Update"=c:\program files\HP\HP Software Update\HPwuSchd2.exe

"HPHUPD08"=c:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Nokia\\Nokia Ovi Suite\\NokiaOviSuite.exe"=

"c:\\Program Files\\Fichiers communs\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

 

R3 WN5301;LIteon Wireless PCI Network Adapter Service;c:\windows\system32\drivers\wn5301.sys [01/01/2005 22:02 468768]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/12/2009 22:12 108289]

S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [01/01/2005 22:02 2815744]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [26/12/2009 19:56 136704]

S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [26/12/2009 19:56 8320]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - wlpoiqw

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-14 c:\windows\Tasks\Connexion facile à Internet.job

- c:\program files\Hewlett-Packard\SDP\HPSdpApp.exe [2005-09-08 18:23]

 

2010-03-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-591020023-2787501004-3010293562-1008Core.job

- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-01-02 19:28]

 

2010-03-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-591020023-2787501004-3010293562-1008UA.job

- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-01-02 19:28]

.

.

------- Examen supplémentaire -------

.

IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html

IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html

IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html

IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html

IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html

FF - ProfilePath - c:\documents and settings\Jean-Mouloud\Application Data\Mozilla\Firefox\Profiles\iaxmsb8y.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.fr/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - prefs.js: keyword.URL - hxxp://www.google.fr/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - plugin: c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\1.2.183.17\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-PCDrProfiler - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-17 13:38

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wlpoiqw]

 

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(668)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2010-03-17 13:40:05

ComboFix-quarantined-files.txt 2010-03-17 12:40

 

Avant-CF: 103 740 428 288 octets libres

Après-CF: 103 706 034 176 octets libres

 

- - End Of File - - 54DA296B001CD41BD595D06457161AF2

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

Ok on va continuer avec ce script pour nettoyer les restes:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .

img-163736um2d1.jpg

Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

Rend toi sur cette page afin de télécharger le fichier CFScript sur le Bureau => http://senduit.com/50bc75

Patiente une seconde: le téléchargement va se lancer automatiquement.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (duck.exe) comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Quand CF finit de s'exécuter, il affiche cette boîte de message:
    autosubmitfrdt7.png
  • Cliquer sur OK va faire débuter l'envoi automatique du fichier archivé (zip).
    cfuploadsuccessfulfrwn3.gif
  • Une fois le scan achevé, le pc va certainement redémarrer: un rapport va s'afficher, poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note1: Le script proposé est adapté au cas de Duck Psycho Sexy : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

Note2: un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse.

Dans le cas où le site de téléchargement se trouve hors ligne, tu verras le message ci-dessous =>

cfuploadfailedfrrf5.gif

Il te suffira seulement de faire un double clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier.

Le rapport de ComboFix ne s'affichera qu'après la fin de la fonction d'envoi.

Duck Psycho Sexy Member

Duck Psycho Sexy

Posté(e)
  • Auteur
Posté(e)

Bon bah du coup j'ai suivi les instruction en mode normal...

Voici le rapport combofix:

 

ComboFix 10-03-16.05 - Jean-Mouloud 17/03/2010 15:34:31.2.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.568 [GMT 1:00]

Lancé depuis: c:\documents and settings\Jean-Mouloud\Bureau\duck.exe

Commutateurs utilisés :: c:\documents and settings\Jean-Mouloud\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

FILE ::

"c:\docume~1\ALLUSE~1\APPLIC~1\30366725\30366725.exe"

 

file zipped: c:\documents and settings\Jean-Mouloud\Application Data\zxcdyt.dat

file zipped: c:\documents and settings\Jean-Mouloud\Menu Démarrer\Programmes\Démarrage\monnwb32.exe

file zipped: c:\documents and settings\Jean-Mouloud\Menu Démarrer\Programmes\Démarrage\winesm32.exe

file zipped: c:\documents and settings\NetworkService\Application Data\rbuwzv.dat

file zipped: c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat

file zipped: c:\windows\system32\config\systemprofile\Application Data\zeovbl.dat

file zipped: c:\windows\system32\drivers\wlpoiqw.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Jean-Mouloud\Application Data\zxcdyt.dat

c:\documents and settings\Jean-Mouloud\Menu Démarrer\Programmes\Démarrage\monnwb32.exe

c:\documents and settings\Jean-Mouloud\Menu Démarrer\Programmes\Démarrage\winesm32.exe

c:\documents and settings\NetworkService\Application Data\rbuwzv.dat

c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat

c:\windows\system32\config\systemprofile\Application Data\zeovbl.dat

c:\windows\system32\drivers\wlpoiqw.sys

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_WLPOIQW

-------\Service_wlpoiqw

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-17 au 2010-03-17 ))))))))))))))))))))))))))))))))))))

.

 

2010-03-17 12:53 . 2010-03-17 12:53 116 ----a-w- c:\windows\system32\fjhdyfhsn.bat

2010-03-17 12:33 . 2010-03-17 12:40 -------- d-----w- C:\duck

2010-03-16 16:36 . 2010-03-16 16:36 -------- d-----r- c:\documents and settings\LocalService\Favoris

2010-03-16 16:36 . 2010-03-16 16:36 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2010-03-16 11:17 . 2010-03-16 11:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink

2010-03-16 11:17 . 2010-03-16 11:17 -------- d-----w- c:\program files\DVD Shrink

2010-03-10 10:46 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe

2010-03-10 10:42 . 2010-03-10 10:42 56120 ----a-w- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-06 23:51 . 2010-03-06 23:52 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\dvdcss

2010-02-17 16:16 . 2010-02-17 16:16 -------- d-sh--w- c:\documents and settings\Jean-Mouloud\IECompatCache

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-17 14:06 . 2009-12-26 17:40 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\vlc

2010-03-17 13:36 . 2009-12-25 21:36 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-03-17 12:53 . 2010-03-17 12:53 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\zxcdyt.dat

2010-03-16 12:55 . 2010-01-12 16:40 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\gtk-2.0

2010-03-15 22:36 . 2010-01-13 15:03 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\FileZilla

2010-03-11 16:03 . 2009-12-26 17:09 1 ----a-w- c:\documents and settings\Jean-Mouloud\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-02-23 09:18 . 2010-01-13 15:02 -------- d-----w- c:\program files\FileZilla FTP Client

2010-02-13 17:08 . 2010-02-13 17:08 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2

2010-02-13 12:24 . 2010-02-13 12:24 -------- d-----w- c:\program files\Microsoft Silverlight

2010-02-12 11:12 . 2010-02-12 11:12 -------- d-----w- c:\program files\pdfsam

2010-02-12 02:32 . 2010-02-12 02:32 -------- d-----w- c:\program files\laetjr

2010-02-11 22:24 . 2010-02-11 22:24 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\inkscape

2010-02-11 22:19 . 2010-02-11 22:11 -------- d-----w- c:\program files\Inkscape

2010-02-08 14:06 . 2010-02-08 14:06 -------- d-----w- c:\program files\7-Zip

2010-02-03 17:24 . 2010-02-03 17:24 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\Sonic

2010-02-03 17:23 . 2010-02-03 17:23 -------- d-----w- c:\documents and settings\Jean-Mouloud\Application Data\Leadertech

2010-01-02 09:53 . 2010-01-02 09:53 152576 ----a-w- c:\documents and settings\Jean-Mouloud\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2010-01-02 09:53 . 2010-01-02 09:53 79488 ----a-w- c:\documents and settings\Jean-Mouloud\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2009-12-31 16:50 . 2004-08-10 11:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-27 21:17 . 2005-10-10 11:39 85396 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-27 21:17 . 2005-10-10 11:39 511874 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-26 18:56 . 2009-12-26 18:50 12212040 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe

2009-12-26 18:55 . 2009-12-26 18:50 13930312 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe

2009-12-26 18:55 . 2009-12-26 18:50 61440 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMF11Runx86.exe

2009-12-26 18:55 . 2009-12-26 18:50 58880 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\WMF11Runx64.exe

2009-12-26 18:55 . 2009-12-26 18:50 77824 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\Run_XML6_SP1.exe

2009-12-26 18:55 . 2009-12-26 18:50 50000 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Installer\CommonCustomActions\pcswpc.exe

2009-12-26 18:42 . 2009-12-26 18:49 95992424 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{B6164ADA-55DA-4FA9-B78B-A7EB741742A1}\Nokia_Ovi_Suite_webinstaller_ALL.exe

2009-12-25 22:42 . 2009-12-25 22:42 135 ----a-w- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\fusioncache.dat

2009-12-25 20:54 . 2009-12-25 20:54 0 ----a-w- c:\windows\nsreg.dat

2009-12-25 20:08 . 2005-10-10 11:55 92667 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-12-21 19:07 . 2004-08-10 11:00 916480 ------w- c:\windows\system32\wininet.dll

2006-07-25 12:56 . 2009-12-26 01:55 32 --sha-w- c:\windows\SMINST\HPCD.SYS

.

 

((((((((((((((((((((((((((((( SnapShot@2010-03-17_12.38.27 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-03-17 14:42 . 2010-03-17 14:42 16384 c:\windows\temp\Perflib_Perfdata_274.dat

+ 2005-10-10 11:34 . 2010-03-17 12:53 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

- 2005-10-10 11:34 . 2010-03-16 16:36 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2005-10-10 13:24 . 2010-03-17 12:53 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2005-10-10 13:24 . 2010-03-16 16:36 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2010-03-17 12:53 . 2010-03-17 12:53 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2005-10-10 13:24 . 2010-03-16 16:36 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Google Update"="c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-01-02 135664]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"ftutil2"="ftutil2.dll" [2004-06-07 106496]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-02-21 143360]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"RTHDCPL"="RTHDCPL.EXE" [2006-01-12 15961088]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]

"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2005-11-10 249856]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

c:\documents and settings\Invit‚\Menu D‚marrer\Programmes\D‚marrage\

Pin.lnk - c:\hp\bin\CLOAKER.EXE [2005-1-1 27136]

 

c:\documents and settings\Jean-Mouloud\Menu D‚marrer\Programmes\D‚marrage\

Pin.lnk - c:\hp\bin\CLOAKER.EXE [2005-1-1 27136]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Google Update"="c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"DMAScheduler"=c:\program files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe

"HP Software Update"=c:\program files\HP\HP Software Update\HPwuSchd2.exe

"HPHUPD08"=c:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Nokia\\Nokia Ovi Suite\\NokiaOviSuite.exe"=

"c:\\Program Files\\Fichiers communs\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/12/2009 22:12 108289]

R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [01/01/2005 22:02 2815744]

R3 WN5301;LIteon Wireless PCI Network Adapter Service;c:\windows\system32\drivers\wn5301.sys [01/01/2005 22:02 468768]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [26/12/2009 19:56 136704]

S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [26/12/2009 19:56 8320]

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-14 c:\windows\Tasks\Connexion facile à Internet.job

- c:\program files\Hewlett-Packard\SDP\HPSdpApp.exe [2005-09-08 18:23]

 

2010-03-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-591020023-2787501004-3010293562-1008Core.job

- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-01-02 19:28]

 

2010-03-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-591020023-2787501004-3010293562-1008UA.job

- c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-01-02 19:28]

.

.

------- Examen supplémentaire -------

.

IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html

IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html

IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html

IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html

IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html

FF - ProfilePath - c:\documents and settings\Jean-Mouloud\Application Data\Mozilla\Firefox\Profiles\iaxmsb8y.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.fr/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - prefs.js: keyword.URL - hxxp://www.google.fr/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - plugin: c:\documents and settings\Jean-Mouloud\Local Settings\Application Data\Google\Update\1.2.183.17\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

 

**************************************************************************

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés:

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(800)

c:\windows\system32\Ati2evxx.dll

 

- - - - - - - > 'explorer.exe'(3696)

c:\program files\Windows Media Player\wmpband.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\windows\eHome\ehRecvr.exe

c:\windows\eHome\ehSched.exe

c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\windows\ehome\mcrdsvc.exe

c:\program files\Intel\IntelDH\Intel® Quick Resume Technology\ELService.exe

c:\windows\system32\dllhost.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\RTHDCPL.EXE

c:\windows\eHome\ehmsas.exe

c:\hp\KBD\KBD.EXE

c:\windows\system\hpsysdrv.exe

c:\program files\Java\jre1.5.0_05\bin\jusched.exe

c:\windows\system32\taskmgr.exe

.

**************************************************************************

.

Heure de fin: 2010-03-17 15:46:47 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-03-17 14:46

ComboFix2.txt 2010-03-17 12:40

 

Avant-CF: 102 516 023 296 octets libres

Après-CF: 102 382 551 040 octets libres

 

- - End Of File - - 8E4399987D07329503A44ECB9B5585BE

 

 

Encore merci de ton aide!

Duck Psycho Sexy Member

Duck Psycho Sexy

Posté(e)
  • Auteur
Posté(e)

Bon c'est certain il y a rapport avec mon site wordpress :

 

1) Je suis allé visité mon site à partir d'un autre ordinateur et avira s'est aussitôt alerté!

2) J'ai trouvé quelqu'un ayant eu exactement le même problème que moi ici

 

Aïe aïe aïe!!!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

Ok le rapport est clean: juste un fichier que tu vas supprimer manuellement => c:\windows\system32\config\systemprofile\Application Data\zxcdyt.dat

 

Un petit scan pour terminer =>

 

Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    20091211135631.png
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complêt"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Duck Psycho Sexy Member

Duck Psycho Sexy

Posté(e)
  • Auteur
Posté(e)

Salut,

 

En fait j'ai trouvé ceci....

 

Par contre du coup je vais surement devoir m'exposer à nouveau au virus en allant sur mon site. Du coup, puis-je me permettre de te renvoyer un rapport combofix une fois que mon (mes) sites sont clean?

 

(encore merci :P )

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...