Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Aide sur rapport Combofix

Eneris

Par Eneris
dans Analyses et éradication malwares

 Partager

Messages recommandés

Eneris Member

Eneris

Posté(e)
  • Auteur
Posté(e)

Bonsoir Mark et merci pour tout.

 

Ton message n'est pas rassurant, je ne pensait pas que mon PC était infecté à ce point....

J'ai un problème avec le deuxième outil que tu m'as demandé d'installer HAMeb_Check.exe, quand je clique dessus il ne se passe rien juste une fenêtre bleue qui s'ouvre pendant une seconde et plus rien.

J'ai eu le temps de faire un screenshot et dedans il y a écrit :

 

Please wait

C:/Documents and Settings/Sirene

le chemin d'accès spécifié est introuvable

Administrateur ASPNET HelpAssistant

 

 

Que dois-je faire dans ce cas ?

 

Voici le rapport de Combofix (tout c'est bien déroulé de ce côté là) :

 

ComboFix 10-05-07.07 - Sirene & Iris 08/05/2010 22:46:00.2.2 - x86

Microsoft Windows XP …dition familiale 5.1.2600.2.1252.33.1036.18.3326.2847 [GMT 2:00]

LancÈ depuis: c:\documents and settings\Sirene & Iris\Bureau\ComboFix-2.exe

Commutateurs utilisÈs :: c:\documents and settings\Sirene & Iris\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((( Fichiers crÈÈs du 2010-04-08 au 2010-05-08 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-08 17:04 . 2010-05-08 17:24 -------- d-----w- C:\Ad-Remover

2010-05-08 13:03 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-05-08 13:03 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-05-08 13:03 . 2009-02-13 09:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-05-08 13:03 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-05-08 13:03 . 2010-05-08 13:03 -------- d-----w- c:\program files\Avira

2010-05-08 13:03 . 2010-05-08 13:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-05-08 11:15 . 2008-11-09 21:09 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage rÈseau

2010-05-08 11:15 . 2008-11-09 21:09 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage d'impression

2010-05-08 11:15 . 2008-11-09 20:26 -------- d--h--w- c:\documents and settings\HelpAssistant\ModËles

2010-04-16 05:04 . 2010-04-16 05:05 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\U3

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-08 20:37 . 2008-11-23 20:49 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\Skype

2010-05-08 20:37 . 2009-09-05 08:05 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\vlc

2010-05-08 16:19 . 2008-11-23 20:56 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\skypePM

2010-05-08 15:39 . 2008-11-11 10:59 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\dvdcss

2010-05-08 09:46 . 2010-01-23 17:32 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-05-08 09:14 . 2006-03-02 12:00 543734 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-08 09:14 . 2006-03-02 12:00 100954 ----a-w- c:\windows\system32\perfc00C.dat

2010-03-15 16:18 . 2008-11-11 14:57 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet

2010-03-13 14:24 . 2009-02-23 12:03 107888 ----a-w- c:\windows\system32\CmdLineExt.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48}"= "c:\program files\Family Toolbar\tbhelper.dll" [2009-05-07 355840]

 

[HKEY_CLASSES_ROOT\clsid\{1c4ab6a5-595f-4e86-b15f-f93cce2bbd48}]

[HKEY_CLASSES_ROOT\URLSearchHook.MHURLSearchHook.1]

[HKEY_CLASSES_ROOT\TypeLib\{1EA6B471-CAD2-419a-9539-0586EEFE2D09}]

[HKEY_CLASSES_ROOT\URLSearchHook.MHURLSearchHook]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C37B053-FD68-456a-82E1-D788EE342E6F}]

2009-05-07 21:46 2642432 ----a-w- c:\program files\Family Toolbar\tbcore3.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62EC836-BF1E-4CAC-81BE-FB9179835D8E}]

2010-02-18 07:37 221184 ----a-w- c:\program files\Family Toolbar\mhxpcomi.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}"= "c:\program files\Family Toolbar\tbcore3.dll" [2009-05-07 2642432]

 

[HKEY_CLASSES_ROOT\clsid\{fd2fd708-1f6f-4b68-b141-c5778f0c19bb}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar.3]

[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}"= "c:\program files\Family Toolbar\tbcore3.dll" [2009-05-07 2642432]

 

[HKEY_CLASSES_ROOT\clsid\{fd2fd708-1f6f-4b68-b141-c5778f0c19bb}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar.3]

[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-09-02 25623336]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-12 16239616]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2008-11-09 36864]

"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2008-11-09 1970176]

"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2008-06-16 167936]

"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-11 406016]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-04-04 198160]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-04 148888]

"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-23 1983816]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]

2008-08-22 12:13 2363392 ----a-w- c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"=

"c:\\Program Files\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=

"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=

"c:\\Program Files\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\aMSN\\bin\\wish.exe"=

"c:\\Program Files\\Hercules\\Classic Link\\Station2.exe"=

"d:\\Docs Divers\\Jeux\\Age of Mythology\\aomx.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

"8097:TCP"= 8097:TCP:Services

"8098:TCP"= 8098:TCP:Services

"3389:TCP"= 3389:TCP:Remote Desktop

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [08/05/2010 15:03 108289]

R3 BENDER;Pinnacle AV/DV2 Capture;c:\windows\system32\drivers\bender.sys [29/11/2008 22:14 200320]

R3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [21/09/2009 16:28 98432]

S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [02/03/2006 14:00 3584]

S3 Droppix Service;Droppix Service;c:\program files\Fichiers communs\Droppix\DxService.exe [16/06/2009 19:43 221184]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [21/04/2009 15:36 216232]

 

--- Autres Services/Pilotes en mÈmoire ---

 

*NewlyCreated* - SSMDRV

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-08-22 12:11 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe

.

Contenu du dossier 'T‚ches planifiÈes'

 

2010-05-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

.

------- Examen supplÈmentaire -------

.

uInternet Settings,ProxyOverride = <local>

uInternet Settings,ProxyServer = http=127.0.0.1:5555

IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

Handler: mhtb - {669A2A3A-F19C-452D-800D-1240299756C1} - c:\program files\Family Toolbar\mhxpcomi.dll

FF - ProfilePath - c:\documents and settings\Sirene & Iris\Application Data\Mozilla\Firefox\Profiles\ivalpnvy.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - prefs.js: keyword.URL - hxxp://search.myheritage.com/?orig=ds&q=

FF - component: c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\components\adproFfx.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-08 22:49

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachÈs ...

 

Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...

 

Recherche de fichiers cachÈs ...

 

Scan terminÈ avec succËs

Fichiers cachÈs: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]

"Version"=hex:01,a9,80,53,26,fc,7f,1c,b2,7a,b5,76,de,5f,fc,85,25,fd,83,92,b7,

3c,b1,27,d5,d5,3f,11,60,c3,03,71,a1,d8,00,f5,4b,88,6c,2d,70,15,02,e3,c9,6e,\

 

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]

"Version"=hex:01,a9,80,53,26,fc,7f,1c,b2,7a,b5,76,de,5f,fc,85,25,fd,83,92,b7,

3c,b1,27,d5,d5,3f,11,60,c3,03,71,a1,d8,00,f5,4b,88,6c,2d,70,15,02,e3,c9,6e,\

.

Heure de fin: 2010-05-08 22:50:39

ComboFix-quarantined-files.txt 2010-05-08 20:50

 

Avant-CF: 230†090†199†040 octets libres

AprËs-CF: 230†058†717†184 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP êdition familiale" /noexecute=optin /fastdetect

 

- - End Of File - - F111604431934B996A86EF70EAAE6184

 

 

Et voila.

A plus tard.

 

Eneris.

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Merci pour le rapport :P

 

Je crois savoir pourquoi l'outil de noahdfear coince : c'est probablement le nom de ton compte utilisateur, qui contient le symbole "&" avec espaces avant et après. As-tu un autre compte avec droits administrateur sur la machine ? Si oui, refais la manip depuis ce compte-là (l'outil HAMeb_Check). Sinon, je vais te faire afficher le compte "Administrateur" par défaut, à l'écran d'accueil, qui est caché par défaut sur XP. Pour afficher le compte, voici une méthode simple :

 

- Télécharge l'outil TweakUI du lien suivant et sauvegarde-le sur ton Bureau :

http://download.microsoft.com/download/f/c...wertoySetup.exe

 

- Lance le fichier par double-clic et installe l'outil.

- Lorsque l'installation sera complétée, tu pourras lancer l'outil via "Démarrer" > "Tous les programmes" > "Powertoys for Windows XP" > "TweakUI" ;

 

> Dans le volet de gauche, clique une fois sur "Logon" ;

> Dans le volet de droite, coche Show "Administrateur" on Welcome screen ;

> Clique sur "OK" pour valider et fermer le programme.

> Redémarre ta machine et tu verras le compte "Administrateur" dans les choix offerts.

> Va dans ce compte et fais la procédure pour HAMeb_Check

**Edit : tu n'auras pas l'outil sur ton Bureau (c'est un autre compte), alors télécharge-le à nouveau :

http://noahdfear.net/downloads/HAMeb_check.exe

 

> Copie/colle le rapport ici, dans ta réponse.

 

Bon succès :P

 

Mark

Modifié par Mark
Eneris Member

Eneris

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Mark,

 

Encore un souci ! J'ai bien installé comme tu m'as dit TweakUI, je le lance à partir de "tous les programmes etc...", je clique sur "Logon" mais dans le volet droit il n'y a pas la possibilité de cocher Show "Administrateur" on Welcome screen, les seuls choix qui se présentent à moi sont :

 

keep RAS connections after logoff

 

Parse Autoexec.bat at logon coché

 

Show "ASPNET" on Welcome screen

 

Show "HelpAssistance" on welcome screen

 

Show "Sirene & iris" on welcome screen coché

 

 

 

Est-ce que l'un de ces choix équivaut à Administrateur ? Ou bien faut-il que je renomme ma machine ?

 

Merci de tes réponses.

 

Eneris.

Modifié par Eneris
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour Eneris :P

 

Ah là-là, c'est l'infection qui a fait ça... Le compte "Administrateur" n'y est pas, effectivement.

 

Nous avons deux choix : renommer ton compte ou en créer un nouveau. J'aime moins l'option de renommage, alors je te suggère de créer un nouveau compte utilisateur, de type "Administrateur" (et non "Limité"). Assure-toi de le nommer simplement (un nom/mot, sans symboles ni espaces). On pourra le supprimer lorsque tout sera terminé. Le compte "HelpAssistant", quant à lui, sera supprimé lors de la désinfection.

 

Tu devras passer par le Panneau de Config > "Comptes d'utilisateurs" > "Créer un nouveau compte"

 

Si ça ne fonctionne pas, je trouverai un moyen de te faire exécuter les manipulations avec le compte existant.

 

@bientôt,

 

Mark

Eneris Member

Eneris

Posté(e)
  • Auteur
Posté(e)

Bonjour Mark !

 

Ah maudite infection :P !!!!

 

Alors, j'ai fait comme tu m'as dit et j'ai créé un nouveau compte que j'ai simplement nommé "Balzac" (j'suis en prépa lettres, on se r'fait pas hein.... :P) et j'ai fait le check avec HAMeb_check et ça marche !

 

Le voici :

 

C:\Documents and Settings\Balzac\Bureau\HAMeb_check.exe

09/05/2010 at 17:12:32,70

 

Compteˇ: actif Oui

Appartient aux groupes locaux *Administrateurs

 

~~ Checking profile list ~~

 

S-1-5-21-299502267-1801674531-839522115-1000

%SystemDrive%\Documents and Settings\HelpAssistant

 

~~ Checking for HelpAssistant directories ~~

 

HelpAssistant

 

~~ Checking mbr ~~

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS

kernel: MBR read successfully

user & kernel MBR OK

copy of MBR has been found in sector 0x03A380D80

malicious code @ sector 0x03A380D83 !

PE file found in sector at 0x03A380D99 !

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll present!

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters

ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\termsrv.dll

 

~~ Checking firewall ports ~~

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]

"65533:TCP"=65533:TCP:*:Enabled:Services

"52344:TCP"=52344:TCP:*:Enabled:Services

"8097:TCP"=8097:TCP:*:Enabled:Services

"8098:TCP"=8098:TCP:*:Enabled:Services

"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"65533:TCP"=65533:TCP:*:Enabled:Services

"52344:TCP"=52344:TCP:*:Enabled:Services

"8097:TCP"=8097:TCP:*:Enabled:Services

"8098:TCP"=8098:TCP:*:Enabled:Services

"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

 

 

~~ EOF ~~

 

Voila ! Tiens moi au courant de la suite !

 

@+

Eneris.

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bien joué :P

 

On attaque maintenant..

=============

 

Avis aux visiteurs : cette procédure est personnalisée pour la machine d'Eneris

 

*Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus.

 

Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) :

http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe

(pour XP seulement)

 

- Ferme tous les programmes lancés/ouverts.

- Lance l'outil par double-clic et suis les invites.

- Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine.

- Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci :

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

helpasst -mbrt

 

(il y a un espace après "helpasst")

 

- L'outil va tourner, puis produire un rapport ;

- Copie/colle le contenu de ce rapport ici, dans ta réponse.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Cette étape-ci n'est à exécuter que si l'outil n'a pas trouvé d'infection du MBR durant l'étape précédente.

 

**Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine :

 

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

mbr -f

 

(il y a un espace après "mbr")

 

- Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f)

- Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt).

- Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ;

- Patiente 5 minutes, après le démarrage (ne lance rien).

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

helpasst -mbrt

 

(il y a un espace après "helpasst")

 

- L'outil va tourner, puis produire un rapport ;

- Copie/colle le contenu de ce rapport ici, dans ta réponse.

=====

 

*Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé).

 

 

====

====

 

N'hésite pas à poser des questions, si nécessaire :P

 

Bon succès, et à bientôt

 

Mark

Eneris Member

Eneris

Posté(e)
  • Auteur
Posté(e) (modifié)

C'est reparti ! Alors moi je n'ai pas eu d'infection du MBR déclarée j'ai donc suivi la procédure numéro 2 et voici le rapport :

 

 

C:\Documents and Settings\Balzac\Bureau\HelpAsst_mebroot_fix.exe

09/05/2010 at 17:38:52,28

 

HelpAssistant account is Active ~ attempting to de-activate

 

Compteˇ: actif Oui

Appartient aux groupes locaux *Administrateurs

 

HelpAssistant successfully set Inactive

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll present! ~ attempting to remove

termsrv32.dll successfully removed

 

~~ Checking firewall ports ~~

 

backing up DomainProfile\GloballyOpenPorts\List registry key

closing rogue ports

 

HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\globallyopenports\list

"65533:TCP"=-

"52344:TCP"=-

"8097:TCP"=-

"8098:TCP"=-

"3389:TCP"=-

 

backing up StandardProfile\GloballyOpenPorts\List registry key

closing rogue ports

 

HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\globallyopenports\list

"65533:TCP"=-

"52344:TCP"=-

"8097:TCP"=-

"8098:TCP"=-

"3389:TCP"=-

 

~~ Checking profile list ~~

 

HelpAssistant profile found in registry ~ backing up and removing S-1-5-21-299502267-1801674531-839522115-1000

HelpAssistant profile directory exists at C:\Documents and Settings\HelpAssistant ~ attempting to remove

~ All C:\Documents and Settings\HelpAssistant files successfully removed ~

 

~~ Checking mbr ~~

 

user & kernel MBR OK

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Status check on 09/05/2010 at 18:04:06,68

 

Compteˇ: actif Non

Appartient aux groupes locaux

 

~~ Checking mbr ~~

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys

kernel: MBR read successfully

user & kernel MBR OK

copy of MBR has been found in sector 0x03A380D80

malicious code @ sector 0x03A380D83 !

PE file found in sector at 0x03A380D99 !

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll not found

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters

ServiceDll REG_EXPAND_SZ %systemroot%\System32\termsrv.dll

 

~~ Checking profile list ~~

 

No HelpAssistant profile in registry

 

~~ Checking for HelpAssistant directories ~~

 

none found

 

~~ Checking firewall ports ~~

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

 

 

~~ EOF ~~

 

J'attends la suite des instructions !

Merci pour tout.

 

Eneris.

Modifié par Eneris
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Exécuté à la perfection :P

 

C'est du bon travail : l'infection a été éradiquée :P

 

Je vais devoir quitter le clavier pour plusieurs heures. Il nous reste un peu de boulot, mais le pire est derrière nous. Tu peux utiliser la machine jusqu'à mon retour, sans soucis, mais surfe prudemment surtout. Conserve les outils et je te prescris la suite dès que possible. Tu peux utiliser ton compte habituel.

 

@bientôt (demain matin, probablement).

 

Mark

Eneris Member

Eneris

Posté(e)
  • Auteur
Posté(e)

Oua.... En tout cas un immense merci à toi Mark (et aussi à Appollo qui m'a répondu si rapidement)

Ce que vous faites c'est juste super ! Merci encore et chapeau !

 

A plus tard pour les dernières instructions et encore : BRAVO ET MERCI BEAUCOUP !!!!! :P:P

 

Eneris.

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour Eneris ;

 

Y pas de quoi :P

 

On va tout d'abord terminer le petit ménage ; des restes, essentiellement, et un piratage d'Internet Explorer par proxy. Ensuite, il restera quelques mises à jour importantes à faire et du ménage dans les outils, mais pas tout de suite.

 

J'aimerais que tu regardes dans le panneau de config > Ajouts/Suppressions de programmes : s'il reste quelque chose pour l'antivirus Nod32 (ESET), désinstalle-le. Tant qu'à y être, désinstalle la "Family Toolbar", à moins que tu veuilles vraiment la conserver ; ce n'est pas un grand risque que cette toolbar, mais ça installe des trucs inutiles qui chargent le système et qui pourraient, à la limite, retourner des informations sur tes habitudes de surf - à ton insu.

 

On poursuit avec le petit nettoyage. Depuis ta session habituelle :

======

 

**Le script prescrit ci-bas a été préparé pour la machine d' Eneris seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

 

Driver::
NOD32FiXTemDono

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

DDS::
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5555

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

===

===

 

Par curiosité : lance TweakUI, clique sur "Logon" et dis-moi si le compte "HelpAssistant" a disparu. Regarde également pour le compte "Administrateur", s'il y est de retour.

 

Je termine avec une petite question : as-tu déjà songé à installer Internet Explorer 8 ? Et le Service Pack 3 pour XP ? Tu sais, sans IE8 et le SP3, ta machine est d'autant plus vulnérable à toutes sortes d'attaques et infections... On peut en discuter, si tu veux :P

 

@+

 

Mark

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...