Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection Security Tool

vincent21

Par vincent21
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Re,

 

Ce rapport ne montre même pas l'action que tu as peu faire et n'indique rien du tout.

Tu l'as recommencé ou quoi?

 

redémarre en mode normal et fais ceci. (si cela ne marche pas, fais l'analyse en mode sans échec)

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

  • Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  • Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci panpan
     
    exemple: comborenomm2.jpg
     
  • On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
     
  • Clique enfin sur le bouton Enregistrer en bas de page à droite.
  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur panpan.
  • Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  • Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

sshot-1-9.jpg

 

@++

Modifié par Apollo

vincent21 Junior Member

vincent21

Posté(e)
  • Auteur
Posté(e)

Voici le rapport de combo fix realisé en mode sans échec car impossible en mode normal :

 

ComboFix 10-08-16.04 - Administrateur 17/08/2010 16:13:50.1.2 - x86 NETWORK

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.693 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\papan.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

c:\documents and settings\Etienne Delorieux\Application Data\.#

c:\documents and settings\Etienne Delorieux\Local Settings\Application Data\644243.exe

c:\documents and settings\Etienne Delorieux\Local Settings\Application Data\Windows Server

c:\documents and settings\Etienne Delorieux\Local Settings\Application Data\Windows Server\flags.ini

c:\documents and settings\Etienne Delorieux\Local Settings\Application Data\Windows Server\server.dat

c:\documents and settings\Etienne Delorieux\Local Settings\Application Data\Windows Server\uses32.dat

c:\windows\system32\Thumbs.db

D:\autorun.inf

 

c:\windows\system32\winlogon.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))

.

 

2010-08-17 08:26 . 2010-08-17 13:11 -------- d-----w- c:\program files\trend micro

2010-08-17 08:26 . 2010-08-17 08:26 -------- d-----w- C:\rsit

2010-08-16 15:12 . 2010-08-16 15:12 -------- d-----w- c:\documents and settings\Etienne Delorieux\Application Data\Malwarebytes

2010-08-16 13:51 . 2010-08-16 13:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2010-08-16 13:51 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-16 13:51 . 2010-08-16 13:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-08-16 13:51 . 2010-08-16 13:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-08-16 13:51 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-08-16 11:22 . 2010-08-16 11:22 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-17 12:21 . 2009-06-08 21:50 82172 ----a-w- c:\windows\system32\perfc00C.dat

2010-08-17 12:21 . 2009-06-08 21:50 504226 ----a-w- c:\windows\system32\perfh00C.dat

2010-08-14 17:20 . 2009-10-06 19:57 -------- d-----w- c:\documents and settings\Etienne Delorieux\Application Data\vlc

2010-07-17 15:37 . 2009-09-28 16:18 -------- d-----w- c:\program files\Google

2010-07-11 00:33 . 2009-09-28 06:08 1 ----a-w- c:\documents and settings\Etienne Delorieux\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-07-09 17:03 . 2010-07-09 17:00 -------- d-----w- c:\documents and settings\Etienne Delorieux\Application Data\Skype

2010-07-01 17:21 . 2010-07-01 17:21 -------- d-----w- c:\program files\Avira

2010-07-01 17:21 . 2010-07-01 17:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-06-30 12:32 . 2009-06-08 21:50 149504 ----a-w- c:\windows\system32\schannel.dll

2010-06-24 12:17 . 2009-06-08 21:50 832512 ----a-w- c:\windows\system32\wininet.dll

2010-06-24 12:17 . 2009-06-08 21:50 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-06-24 12:17 . 2009-06-08 21:50 17408 ----a-w- c:\windows\system32\corpol.dll

2010-06-24 09:02 . 2009-06-08 21:50 1852032 ----a-w- c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2009-06-08 21:50 354304 ----a-w- c:\windows\system32\drivers\srv.sys

2010-06-17 14:03 . 2009-06-08 21:50 80384 ----a-w- c:\windows\system32\iccvid.dll

2010-06-14 14:31 . 2009-06-08 20:06 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-14 07:42 . 2009-06-08 21:50 1172480 ----a-w- c:\windows\system32\msxml3.dll

2010-06-03 02:41 . 2010-06-03 02:41 3600384 ----a-w- c:\windows\system32\GPhotos.scr

.

 

------- Sigcheck -------

 

[-] 2008-04-14 . 2A05A1099F00C4A985B0FB9B13EACF06 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

 

[-] 2008-04-14 . 41A3E6E55C39598C0CB15B811988B72D . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]

@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"

[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]

2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]

@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"

[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]

2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SRS Premium Sound"="c:\program files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" [2009-05-19 3417336]

"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-06-16 397312]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe" [2009-07-18 257440]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2009-05-11 17881600]

"EasyMode"="c:\program files\\ASUS\\Easy Mode\\Easy Mode.exe" [2009-03-18 1249280]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-07-06 137752]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-07-06 354840]

"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-07-06 96792]

"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2009-06-18 696320]

"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2009-05-08 98304]

"EeeStorageBackup"="c:\program files\ASUS\Eee Storage\BackupService.exe" [2009-06-08 935184]

"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-07-15 3054136]

"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-03-06 79144]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-9 376832]

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-12-5 604776]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\ASUS\\EzMessenger\\Clotho.exe"=

"c:\\Program Files\\ASUS\\EzMessenger\\EzMessenger.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

 

R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [29/04/2009 11:10 38912]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/07/2010 19:21 108289]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/04/2010 18:27 135664]

S2 SRS_VolSync_Service;SRS Volume Sync Service;c:\program files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe [19/05/2009 18:29 107744]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [08/06/2009 23:16 1684736]

S3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [15/07/2009 09:54 5097632]

S3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\SRS_PremiumSound_i386.sys [09/06/2009 16:17 233512]

S3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [21/04/2009 13:25 39040]

.

Contenu du dossier 'Tâches planifiées'

 

2010-08-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 16:27]

 

2010-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 16:27]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://eeepc.asus.com/global

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4zqt7w55.default\

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SafeBoot-klmdb.sys

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-17 16:20

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2010-08-17 16:23:09

ComboFix-quarantined-files.txt 2010-08-17 14:23

 

Avant-CF: 71 889 489 920 octets libres

Après-CF: 73 322 422 272 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

- - End Of File - - B92702403B048C02D252169E67F80FC7

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re,

 

 

Télécharge le dossier repar.zip ici: http://www.sendspace.com/file/nft7gq

 

Enregistre-le sur le bureau puis décompresse-le.

 

Dans le dossier décompressé, il y a 2 fichiers système à réparer et un fichier repair.bat. (roue dentée)

Double clique sur le fichier repar.bat : il doit t'afficher deux copies de fichiers, et ensuite demander d'appuyer sur une touche. Ca doit marquer deux fois "2 fichier(s) copié(s)"

 

Si Windows discute, genre "insérez le cd Windows" etc. --> ignore sans redémarrer et passe à la suite. S'il t'est dit que ça existe déjà, écrase-les.

 

Relance alors ComboFix.

Poste son rapport stp.

 

@++

vincent21 Junior Member

vincent21

Posté(e)
  • Auteur
Posté(e)

J'ai fais la manip toujours en mode sans échec, je ne sais pas si j'ai bien fais ?

J'ai l'impression que les deux fichiers n'ont pas été réparés ?

 

ComboFix 10-08-16.04 - Administrateur 17/08/2010 17:26:48.2.2 - x86 NETWORK

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.708 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\papan.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\winlogon.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))

.

 

2010-08-17 14:10 . 2010-08-17 14:23 -------- d-----w- C:\papan

2010-08-17 08:26 . 2010-08-17 13:11 -------- d-----w- c:\program files\trend micro

2010-08-17 08:26 . 2010-08-17 08:26 -------- d-----w- C:\rsit

2010-08-16 15:12 . 2010-08-16 15:12 -------- d-----w- c:\documents and settings\Etienne Delorieux\Application Data\Malwarebytes

2010-08-16 13:51 . 2010-08-16 13:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2010-08-16 13:51 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-16 13:51 . 2010-08-16 13:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-08-16 13:51 . 2010-08-16 13:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-08-16 13:51 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-08-16 11:22 . 2010-08-16 11:22 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-17 12:21 . 2009-06-08 21:50 82172 ----a-w- c:\windows\system32\perfc00C.dat

2010-08-17 12:21 . 2009-06-08 21:50 504226 ----a-w- c:\windows\system32\perfh00C.dat

2010-08-14 17:20 . 2009-10-06 19:57 -------- d-----w- c:\documents and settings\Etienne Delorieux\Application Data\vlc

2010-07-17 15:37 . 2009-09-28 16:18 -------- d-----w- c:\program files\Google

2010-07-11 00:33 . 2009-09-28 06:08 1 ----a-w- c:\documents and settings\Etienne Delorieux\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-07-09 17:03 . 2010-07-09 17:00 -------- d-----w- c:\documents and settings\Etienne Delorieux\Application Data\Skype

2010-07-01 17:21 . 2010-07-01 17:21 -------- d-----w- c:\program files\Avira

2010-07-01 17:21 . 2010-07-01 17:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-06-30 12:32 . 2009-06-08 21:50 149504 ----a-w- c:\windows\system32\schannel.dll

2010-06-24 12:17 . 2009-06-08 21:50 832512 ----a-w- c:\windows\system32\wininet.dll

2010-06-24 12:17 . 2009-06-08 21:50 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-06-24 12:17 . 2009-06-08 21:50 17408 ----a-w- c:\windows\system32\corpol.dll

2010-06-24 09:02 . 2009-06-08 21:50 1852032 ----a-w- c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2009-06-08 21:50 354304 ----a-w- c:\windows\system32\drivers\srv.sys

2010-06-17 14:03 . 2009-06-08 21:50 80384 ----a-w- c:\windows\system32\iccvid.dll

2010-06-14 14:31 . 2009-06-08 20:06 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-14 07:42 . 2009-06-08 21:50 1172480 ----a-w- c:\windows\system32\msxml3.dll

2010-06-03 02:41 . 2010-06-03 02:41 3600384 ----a-w- c:\windows\system32\GPhotos.scr

.

 

------- Sigcheck -------

 

[-] 2008-04-14 . 2A05A1099F00C4A985B0FB9B13EACF06 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

 

[-] 2008-04-14 . 41A3E6E55C39598C0CB15B811988B72D . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]

@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"

[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]

2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]

@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"

[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]

2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SRS Premium Sound"="c:\program files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" [2009-05-19 3417336]

"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-06-16 397312]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe" [2009-07-18 257440]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2009-05-11 17881600]

"EasyMode"="c:\program files\\ASUS\\Easy Mode\\Easy Mode.exe" [2009-03-18 1249280]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-07-06 137752]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-07-06 354840]

"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-07-06 96792]

"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2009-06-18 696320]

"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2009-05-08 98304]

"EeeStorageBackup"="c:\program files\ASUS\Eee Storage\BackupService.exe" [2009-06-08 935184]

"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-07-15 3054136]

"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-03-06 79144]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-9 376832]

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-12-5 604776]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2007-05-11 01:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\ASUS\\EzMessenger\\Clotho.exe"=

"c:\\Program Files\\ASUS\\EzMessenger\\EzMessenger.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

 

R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [29/04/2009 11:10 38912]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/07/2010 19:21 108289]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/04/2010 18:27 135664]

S2 SRS_VolSync_Service;SRS Volume Sync Service;c:\program files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe [19/05/2009 18:29 107744]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [08/06/2009 23:16 1684736]

S3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [15/07/2009 09:54 5097632]

S3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\SRS_PremiumSound_i386.sys [09/06/2009 16:17 233512]

S3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [21/04/2009 13:25 39040]

.

Contenu du dossier 'Tâches planifiées'

 

2010-08-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 16:27]

 

2010-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 16:27]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://eeepc.asus.com/global

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4zqt7w55.default\

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-17 17:31

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2010-08-17 17:34:09

ComboFix-quarantined-files.txt 2010-08-17 15:34

ComboFix2.txt 2010-08-17 14:23

 

Avant-CF: 73 334 415 360 octets libres

Après-CF: 73 327 181 824 octets libres

 

- - End Of File - - 34F4B4006BF1718CEA3C5999E770A03F

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

En effet.

 

Je vais te demander d'attendre un peu car j'ai un doute sur une commande à faire avec ComboFix et je ne veux pas planter ton pc.

 

Je ne comprends pas bien pourquoi ComboFix n'utilise pas la console de récupération pour les bouffer et récupérer une copie saine depuis le service packfiles.

 

Je me renseigne et reviens dès que j'ai obtenu le renseignement dont j'ai besoin.

 

@++

Modifié par Apollo
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re,

 

Désolé de te faire attendre mais je n'ai toujours pas eu de retour.

 

Peux-tu vérifier si tu trouves l'un de ces dossiers stp.

 

c:\windows\ServicePackFiles\i386

 

C:\windows\$NtservicePackUninstall$

 

Si oui, regarde si tu trouves winlogon.exe et explorer.exe à l'intérieur.

 

Dis-moi dans lequel des deux dossiers tu les vois.

 

Pour cela tu dois découvrir les dossiers/fichiers cachés: Afficher les dossiers/fichiers cachés sous XP

 

sshot-2-1f614d8.jpg

 

NB: recache tes dossiers par après pour ne pas risquer de virer un fichier important du système!

 

@++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Re,

 

Tu as le SP3 d'origine sur le CD de XP?

 

Ceci peut expliquer cela... Je demandais cela bien que j'aie lu dans le rapport de ComboFix que le "Sigcheck" ne montre pas ces dossiers, donc il aurait beau utiliser le console de récupération, il ne trouverait pas de copies de ces fichiers infectés, sinon il les éliminerait et les remplacerait automatiquement.

 

D'où l'extrême importance de la console.

 

Je suis très embêté car je n'ai aucune autre info pour l'instant; je n'arrête pas de chercher depuis tout à l'heure et le tuto de CF ne m'avance guère pour l'instant.

 

Une chose à tenter bien que cela m'étonnerait que cela soit aussi simple:

 

Insère ton cd XP dans le lecteur en maintenant la touche majuscule enfoncée pendant plusieurs secondes pour ne pas que le cd démarre. (sinon ferme la fenêtre).

 

Va dans le menu démarrer/exécuter ou utilise la combinaison des touches Windows et R.

 

Tape ceci: sfc /scannow (il y a un espace entre le sfc et le / ) puis valide.

 

Laisse l'examen se dérouler jusqu'au bout.

 

Dis-moi ce qu'il en est.

 

@++

Modifié par Apollo
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Oui, cela devient de plus en plus fréquent avec les vendeurs et c'est bien embêtant quand on en a besoin.

 

Perso, je refuse un ordinateur si je n'obtiens pas le cd original mais bon.

 

Je suis désolé d'être bloqué dans mes procédures mais ce n'est pas fini; reste à l'affût au cas où j'aurais des nouvelles, je ne manquerai pas de te le dire. Je ne te laisserai pas tomber, ce n'est pas mon genre ;)

 

Donc, tu me confirmes que le SP3 était déjà installé avec la machine? Ce serait la raison pour laquelle tu ne trouves pas les dossiers mentionnés plus haut qui ne se créent que lorsqu'on installe soi-même un service Pack. (ou par les mises à jour de Windows).

 

En cette période il y a malheureusement des amis que je ne peux contacter pour cause de vacances...

 

Tu peux tenter ceci pour désinfecter, c'est long mais souvent efficace à condition d'avoir un lecteur cd sur cette machine. Attention, ces fichiers doivent être réparés, pas flanqués en quarantaine ni supprimés sinon il y aura des problèmes sérieux de fonctionnement.

 

Créer un RescueDisk de Kaspersky.

 

Téléchargement de l'image ISO v10.

 

Pour graver l'iso: 3Nity - Gratuit.

 

Utilise Image de disque pour graver le fichier iso et grave à une vitesse lente. (4x)

 

Apollo Et Compagnie 3Nity logiciel gratuit de gravure.

 

Effacer un CD-RW: Active@ DVD Eraser (Freeware)

Active@ DVD Eraser. CD DVD erasing freeware. CD DVD CD-RW CDR DVD-RW DVD-R DVD+R DVD+RW CD-R .

 

Si tu as Nero, utiliser "Graver une image sur disque"

 

graver-iso-1f17b20.gif

 

Redémarrer le pc avec le cd inséré dans le lecteur pour que le pc boote dessus.

Suivre les instructions pour désinfecter le plus gros afin de pouvoir poursuivre avec des méthodes plus habituelles sur les forums.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...