Infections diverses (Antivirus software alert...), plus de pare-feu, d

Nad_33 · le 25 mai 2010

Bon ben j'attendais le rapport (il était en cours) quand soudain... l'ordi s'est éteint! je pense qu'il n'a surchauffé! arghh!

Je vais devoir refaire toute la manip en le rallumant ?

Apollo · le 25 mai 2010

Si c'est une tour, enlève un panneau latéral, car si c'est un problème de chaleur, cela pourra aider mais il faudra penser à faire un dépoussiérage.

Perso, je le fais deux fois par an et c'est nécessaire, crois-moi.

Tour PC:

http://nubster.free.fr/uptoopc/bidouilles/...ssiere_ordi.php

Portable: http://tuxthepenguin.free.fr/index.php?con...item&id=235

Nad_33 · le 26 mai 2010

Salut,

Euh, pour le nettoyage c'est pas gagné, sur mon portable il n'y a pas de trappe d'accès rapide au ventilateur... Mais je m'y attaquerai quand même plus tard

Pour en revenir à Combofix, j'ai redémarré l'ordinateur sans problème (apparemment) suite à la coupure d'hier soir. Que dois-je faire? faire le cliquer-déposer du package sur CF puis relancer CF?

Apollo · le 26 mai 2010

Bonsoir,

Alors: il vaut mieux télécharger une nouvelle copie de ComboFix. (pas le package pour la console hein).

CF est mis à jour plusieurs fois chaque jour donc il faut reprendre une nouvelle version.

Mets l'icône "panpan" à la corbeille et re-télécharge-le de nouveau de la même façon sur le bureau, c'est à dire en le renommant comme expliqué plus haut.

On verra pour la console après.

Relis les instructions plus haut pour l'install de ComboFix stp et suis les.

Poste le rapport dès que tu l'as et puis on s'occupera de la console de récup.

@++

Nad_33 · le 26 mai 2010

Et ben, ce fut rapide cette fois!

voici le rapport :

ComboFix 10-05-26.01 - Nadège 26/05/2010 20:48:15.2.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.547 [GMT 2:00]

Lancé depuis: c:\documents and settings\Nadège\Bureau\panpan.exe

AV: Norton AntiVirus *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Exécution préalable -------

.

c:\docume~1\NADGE~1\LOCALS~1\Temp\install_flash_player.exe

c:\windows\system32\cooper.mine

c:\windows\system32\h7t.wt

c:\windows\system32\hgtd.ruy

c:\windows\system32\nmklo.dll

c:\windows\system32\wbem\grpconv.exe

c:\windows\system32\zh9qide.log

-- Exécution préalable --

c:\windows\system32\grpconv.exe . . . manque!!

--------

c:\windows\system32\grpconv.exe . . . manque!!

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-26 au 2010-05-26 ))))))))))))))))))))))))))))))))))))

.

2010-05-24 12:21 . 2010-05-24 12:21 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2010-05-24 12:09 . 2010-05-24 12:09 -------- d--h--w- c:\windows\msdownld.tmp

2010-05-24 12:04 . 2010-05-24 12:09 -------- dc-h--w- c:\windows\ie8

2010-05-24 12:01 . 2010-05-24 12:04 -------- d-----w- c:\windows\system32\MpEngineStore

2010-05-22 19:15 . 2010-05-22 19:16 -------- d-----w- c:\windows\61D3AAE1D5214CD7939B37813DE8F955.TMP

2010-05-22 16:43 . 2010-05-22 16:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-05-22 16:43 . 2010-05-23 08:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-21 19:30 . 2010-05-23 10:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-05-21 19:27 . 2010-05-23 09:56 -------- d-----w- c:\windows\system32\config\systemprofile\Tracing

2010-05-20 19:06 . 2010-05-20 19:06 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2010-05-19 16:30 . 2004-08-03 20:59 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys

2010-05-19 16:30 . 2004-08-03 20:59 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys

2010-05-19 16:30 . 2004-08-03 21:00 8192 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys

2010-05-19 16:30 . 2004-08-03 21:00 8192 ----a-w- c:\windows\system32\drivers\i2omgmt.sys

2010-05-19 16:30 . 2010-05-19 16:30 211072 -c--a-w- c:\windows\system32\dllcache\ndis.sys

2010-05-19 16:30 . 2004-08-03 21:00 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys

2010-05-19 16:30 . 2004-08-03 21:00 8192 ----a-w- c:\windows\system32\drivers\changer.sys

2010-05-08 14:39 . 2010-05-08 14:39 37192 ---ha-w- c:\windows\system32\mlfcache.dat

2010-05-08 14:35 . 2010-05-08 14:36 -------- d-----w- c:\program files\Safari

2010-05-05 15:54 . 2010-05-05 15:54 -------- d-----w- c:\program files\Namtuk

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-26 17:59 . 2009-03-08 10:35 12914 ----a-w- c:\windows\system32\tablet.dat

2010-05-25 19:01 . 2001-08-23 17:15 3328 ----a-w- c:\windows\system32\drivers\pciide.sys

2010-05-23 08:37 . 2006-09-22 11:49 -------- d-----w- c:\program files\Fichiers communs\Adobe

2010-05-08 14:35 . 2007-11-15 18:50 -------- d-----w- c:\program files\Fichiers communs\Apple

2010-05-02 18:43 . 2009-07-03 18:45 -------- d-----w- c:\program files\Replay Music 3

2010-05-02 18:26 . 2009-07-03 18:45 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL

2010-03-29 15:38 . 2006-09-15 12:24 75704 ----a-w- c:\windows\system32\perfc00C.dat

2010-03-29 15:38 . 2006-09-15 12:24 468728 ----a-w- c:\windows\system32\perfh00C.dat

2010-03-10 20:33 . 2010-03-10 20:33 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll

2010-03-10 20:33 . 2010-03-10 20:33 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll

2010-03-10 20:33 . 2010-03-10 20:33 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll

2010-03-10 20:33 . 2010-03-10 20:33 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll

2010-03-10 20:33 . 2010-03-10 20:33 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll

2010-03-10 20:33 . 2010-03-10 20:33 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll

2010-03-10 20:33 . 2010-03-10 20:33 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll

2010-03-10 20:32 . 2010-03-10 20:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

2010-03-04 02:00 . 2010-03-04 02:00 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\Safari 5.31.22.7\SetupAdmin.exe

.

------- Sigcheck -------

[-] 2010-05-19 16:30 . 93B984ECAFF503D80C61E76A9959CEEA . 211072 . . [------] . . c:\windows\system32\dllcache\ndis.sys

c:\windows\System32\drivers\ndis.sys ... manque !!

.

((((((((((((((((((((((((((((( SnapShot@2010-05-25_21.15.21 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-05-26 17:59 . 2010-05-26 17:59 16384 c:\windows\Temp\Perflib_Perfdata_60c.dat

+ 2010-05-26 17:58 . 2010-05-26 17:58 16384 c:\windows\Temp\Perflib_Perfdata_590.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-01 7557120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

c:\documents and settings\NadŠge\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2005-3-17 59080]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-908\dslmon.exe [2008-3-24 962663]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]

TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2009-3-8 114688]

Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2006-3-26 257752]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

@="FSFilter Activity Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Documents and Settings\\Nadège\\Mes documents\\Downloads\\utorrent.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1008000.029\SymEFA.sys [04/02/2010 18:12 310320]

R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NAV\1008000.029\BHDrvx86.sys [04/02/2010 18:12 259632]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1008000.029\cchpx86.sys [04/02/2010 18:12 482432]

R2 Norton AntiVirus;Norton AntiVirus;c:\program files\Norton AntiVirus\Engine\16.8.0.41\ccSvcHst.exe [04/02/2010 18:12 117640]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [27/08/2009 10:00 102448]

R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [22/09/2006 13:56 7040]

S1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100513.002\IDSXpx86.sys [18/05/2010 17:50 329592]

S1 nayqfzfg;nayqfzfg;\??\c:\windows\system32\drivers\nayqfzfg.sys --> c:\windows\system32\drivers\nayqfzfg.sys [?]

S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\drivers\adiusbae.sys [24/03/2008 15:20 117673]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [15/09/2009 20:12 21344]

S3 WsAudioDevice_383;WsAudioDevice_383;c:\windows\system32\drivers\wsaudiodevice_383.sys [26/06/2009 20:51 16640]

.

Contenu du dossier 'Tâches planifiées'

2010-04-29 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-05-26 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2054951153-2501660682-707765859-1005.job

- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-05-19 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2054951153-2501660682-707765859-1005.job

- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: &MSN Search - c:\program files\MSN Toolbar Suite\msntb.dll/search.htm

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

.

- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-HijackThis - E:\HijackThis.exe

AddRemove-Streamripper - c:\program files\Streamripper\Uninstall.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-26 20:54

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton AntiVirus]

"ImagePath"="\"c:\program files\Norton AntiVirus\Engine\16.8.0.41\ccSvcHst.exe\" /s \"Norton AntiVirus\" /m \"c:\program files\Norton AntiVirus\Engine\16.8.0.41\diMaster.dll\" /prefetch:1"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(304)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2320)

c:\progra~1\WINDOW~3\wmpband.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Heure de fin: 2010-05-26 20:58:01

ComboFix-quarantined-files.txt 2010-05-26 18:57

Avant-CF: 82 566 098 944 octets libres

Après-CF: 82 517 245 952 octets libres

- - End Of File - - BDF26099CC1FAA0C8F68C74E394D476E

Apollo · le 26 mai 2010

Ok,

Il manque des fichiers; voilà pourquoi la console de récupération est absolument indispensable.

Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.

Note : à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

Si CFix propose de continuer la recherche de nuisibles, accepte.

Sinon, on le relancera après.

@ ++

Modifié le 26 mai 2010 par Apollo

Nad_33 · le 26 mai 2010

J'ai fait la manip mais je n'ai pas eu de rapport nommé CF_RC.txt

Par contre j'ai eu un rapport Combofix.txt

ComboFix 10-05-26.01 - Nadège 26/05/2010 21:23:02.3.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.506 [GMT 2:00]

Lancé depuis: c:\documents and settings\Nadège\Bureau\panpan.exe

Commutateurs utilisés :: c:\documents and settings\Nadège\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

AV: Norton AntiVirus *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\Fichiers communs\Real\Update_OB\lang\rpsearch_fr.dll

c:\program files\Real\RealPlayer\converter\rnuninst_fr.dll

c:\program files\Real\RealPlayer\lang\cdplay_fr.dll

c:\program files\Real\RealPlayer\lang\dbcomp_fr.dll

c:\program files\Real\RealPlayer\lang\embed_fr.dll

c:\program files\Real\RealPlayer\lang\gemctl_fr.dll

c:\program files\Real\RealPlayer\lang\mydevices_fr.dll

c:\program files\Real\RealPlayer\lang\pngui_fr.dll

c:\program files\Real\RealPlayer\lang\rjctl_fr.dll

c:\program files\Real\RealPlayer\lang\rjdlg_fr.dll

c:\program files\Real\RealPlayer\lang\rjeq_fr.dll

c:\program files\Real\RealPlayer\lang\rjfade_fr.dll

c:\program files\Real\RealPlayer\lang\rjmisc_fr.dll

c:\program files\Real\RealPlayer\lang\rjprog_fr.dll

c:\program files\Real\RealPlayer\lang\rjres_fr.dll

c:\program files\Real\RealPlayer\lang\rjskin_fr.dll

c:\program files\Real\RealPlayer\lang\rjviz_fr.dll

c:\program files\Real\RealPlayer\lang\rjwma_fr.dll

c:\program files\Real\RealPlayer\lang\rnuninst_fr.dll

c:\program files\Real\RealPlayer\lang\rpapp_fr.dll

c:\program files\Real\RealPlayer\lang\rpbgr_fr.dll

c:\program files\Real\RealPlayer\lang\rpbrp_fr.dll

c:\program files\Real\RealPlayer\lang\rpclsvc_fr.dll

c:\program files\Real\RealPlayer\lang\rpclutil_fr.dll

c:\program files\Real\RealPlayer\lang\rpdemand_fr.dll

c:\program files\Real\RealPlayer\lang\rpdsplyr_fr.dll

c:\program files\Real\RealPlayer\lang\rpext_fr.dll

c:\program files\Real\RealPlayer\lang\rpgutil_fr.dll

c:\program files\Real\RealPlayer\lang\rpmnpane_fr.dll

c:\program files\Real\RealPlayer\lang\rpplylst_fr.dll

c:\program files\Real\RealPlayer\lang\rpsearch_fr.dll

c:\program files\Real\RealPlayer\lang\rpwebctl_fr.dll

c:\program files\Real\RealPlayer\lang\systray_fr.dll

c:\program files\Real\RealPlayer\lang\tcdinfo_fr.dll

c:\program files\Real\RealPlayer\lang\tclsvc_fr.dll

c:\program files\Real\RealPlayer\lang\tdwnmgr_fr.dll

c:\program files\Real\RealPlayer\lang\tearm_fr.dll

c:\program files\Real\RealPlayer\lang\teasdk_fr.dll

c:\program files\Real\RealPlayer\lang\tmdedit_fr.dll

c:\program files\Real\RealPlayer\lang\tmp3_fr.dll

c:\program files\Real\RealPlayer\lang\twave_fr.dll

c:\program files\Real\RealPlayer\lang\upgrdhlp_fr.dll

c:\program files\Real\RealPlayer\lang\upgrdlib_fr.dll