Help.....machine qui rame....rame

pear · le 27 août 2010

Rien de caché.

Pas de rootkit, semble-t-il.

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

yoyo55 · le 28 août 2010

ComboFix 10-08-27.03 - Lionel 28/08/2010 14:56:10.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.153 [GMT 2:00]

Lancé depuis: c:\documents and settings\Lionel\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Lionel\Mes documents\DPE.DUS

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-28 au 2010-08-28 ))))))))))))))))))))))))))))))))))))

.

2010-08-23 14:31 . 2010-08-23 14:39 -------- d-----w- c:\program files\Ad-Remover

2010-08-23 12:36 . 2010-08-23 12:36 -------- d-----w- c:\program files\trend micro

2010-08-23 12:36 . 2010-08-23 12:36 -------- d-----w- C:\rsit

2010-08-02 20:31 . 2010-08-02 20:31 -------- d-----w- c:\program files\HooTech AAC MP3 Converter

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-28 12:42 . 2010-04-06 07:28 0 ----a-w- c:\documents and settings\Lionel\Local Settings\Application Data\prvlcl.dat

2010-08-14 12:21 . 2009-09-01 20:09 664 ----a-w- c:\windows\system32\d3d9caps.dat

2010-08-13 01:13 . 2009-05-11 20:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-08-13 01:11 . 2005-12-07 05:00 87300 ----a-w- c:\windows\system32\perfc00C.dat

2010-08-13 01:11 . 2005-12-07 05:00 517764 ----a-w- c:\windows\system32\perfh00C.dat

2010-08-04 20:46 . 2009-05-13 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Spyware Terminator

2010-08-04 20:43 . 2009-05-13 07:18 -------- d-----w- c:\documents and settings\Lionel\Application Data\Spyware Terminator

2010-08-02 21:17 . 2010-08-02 18:43 -------- d-----w- c:\program files\Free Audio Pack

2010-08-02 20:39 . 2009-05-13 07:18 -------- d-----w- c:\program files\Spyware Terminator

2010-08-02 18:43 . 2010-08-02 18:43 -------- d-----w- c:\documents and settings\Lionel\Application Data\FreeAudioPack

2010-07-29 12:08 . 2010-07-26 08:57 -------- d-----w- c:\program files\Windows Searchqu Toolbar

2010-07-29 12:07 . 2005-12-07 05:15 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-07-26 13:20 . 2010-07-26 13:19 -------- d-----w- c:\documents and settings\Maxime\Application Data\searchqutb

2010-07-26 08:56 . 2010-07-26 08:56 63 ----a-w- c:\documents and settings\Lionel\Local Settings\Application Data\GLF1B2.tmp

2010-07-22 15:30 . 2010-06-20 12:48 -------- d-----w- c:\program files\Fichiers communs\Nero

2010-07-22 15:29 . 2010-06-20 12:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero

2010-07-17 10:49 . 2009-10-27 08:22 -------- d-----w- c:\program files\SFR

2010-07-16 11:03 . 2010-03-29 19:19 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2010-07-16 11:03 . 2010-07-16 11:03 12536 ----a-w- c:\windows\system32\avgrsstx.dll

2010-07-16 10:55 . 2010-03-29 19:19 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2010-07-05 17:29 . 2009-05-22 19:13 -------- d-----w- c:\program files\a-squared Free

2010-07-05 14:31 . 2010-03-05 10:55 15880 ----a-w- c:\windows\system32\lsdelete.exe

2010-07-05 14:30 . 2010-03-05 10:14 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys

2010-06-30 12:32 . 2004-08-05 05:00 149504 ----a-w- c:\windows\system32\schannel.dll

2010-06-24 12:25 . 2005-07-03 02:16 916480 ----a-w- c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2005-03-02 18:07 1852032 ----a-w- c:\windows\system32\win32k.sys

2010-06-23 07:59 . 2010-06-23 07:59 501936 ----a-w- c:\documents and settings\All Users\Application Data\Google\Google Toolbar\Update\gtb29F.tmp.exe

2010-06-21 15:27 . 2005-05-10 00:17 354304 ----a-w- c:\windows\system32\drivers\srv.sys

2010-06-17 14:03 . 2004-08-05 05:00 80384 ----a-w- c:\windows\system32\iccvid.dll

2010-06-14 14:31 . 2004-08-05 05:00 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-14 07:42 . 2004-08-05 05:00 1172480 ----a-w- c:\windows\system32\msxml3.dll

2010-06-03 10:30 . 2010-03-29 19:19 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2010-06-01 17:53 . 2010-06-01 17:53 39936 ----a-w- c:\windows\system32\drivers\CDAC11BA.EXE

2010-06-01 17:53 . 2010-06-01 17:53 30720 ---h--r- c:\windows\CdaC13BA.EXE

2010-06-01 17:53 . 2010-06-01 17:53 112128 ---h--r- c:\windows\CdaC14BA.DLL

2010-06-01 17:53 . 2010-06-01 17:53 8864 ----a-w- c:\windows\system32\drivers\CDAC15BA.SYS

2010-06-01 13:26 . 2009-05-10 19:23 111776 ----a-w- c:\documents and settings\Lionel\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-15 20:52 . 2009-05-15 20:52 455680 ----a-w- c:\program files\ToolsCleaner2.exe

2009-05-15 20:47 . 2009-05-15 20:47 1648664 ----a-w- c:\program files\disk-defrag-setup.exe

2009-05-15 20:37 . 2009-05-15 20:37 401720 ----a-w- c:\program files\HiJackThis.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\progra~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-11 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2010-08-07 126976]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-05 417792]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]

hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2010-07-16 11:03 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QUAD Scheduler

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QUAD Windows service

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG9_TRAY]

2010-07-16 11:04 2065760 ----a-w- c:\progra~1\AVG\AVG9\avgtray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\MyPoi Manager\\MyPoiManager.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=

"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [05/03/2010 12:14 64288]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [29/03/2010 21:19 216400]

R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [29/03/2010 21:19 243024]

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [13/05/2009 09:18 142592]

R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [22/05/2009 21:13 1872320]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/05/2009 21:22 108289]

R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [16/07/2010 13:02 308136]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 16:21 135664]

S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [05/02/2010 11:03 1352832]

.

Contenu du dossier 'Tâches planifiées'

2010-08-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-06-29 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8269805143.job

- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]

2010-08-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 14:21]

2010-08-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 14:21]

.

------- Examen supplémentaire -------

.

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

FF - ProfilePath - c:\documents and settings\Lionel\Application Data\Mozilla\Firefox\Profiles\v4pzm4hd.default\

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=

FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll

FF - plugin: c:\documents and settings\Lionel\Application Data\Mozilla\plugins\np-mswmp.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-28 15:06

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

Heure de fin: 2010-08-28 15:09:44

ComboFix-quarantined-files.txt 2010-08-28 13:09

Avant-CF: 76 164 980 736 octets libres

Après-CF: 77 804 191 744 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 9CEE3F43D9ABB314A79DC1B4522E376B

yoyo55 · le 29 août 2010

PEAR SVP MERCI

pear · le 31 août 2010

Bonjour,

Désolé pour ce retard. :outch:

Ad_Aware ne vaut plus guère et a-squarred est connu pour ses faux positifs.

Vous devriez leur préférer Maleware'sbyrtes, bien supérieur quoique non résident.

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Driver::

gupdate

File::

c:\program files\Windows Searchqu Toolbar

c:\documents and settings\Maxime\Application Data\searchqutb

c:\windows\system32\perfc00C.dat

c:\windows\system32\perfh00C.dat

c:\documents and settings\Lionel\Local Settings\Application Data\GLF1B2.tmp

c:\windows\system32\lsdelete.exe

c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

c:\program files\Google\Update\GoogleUpdate.exe

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

yoyo55 · le 31 août 2010

ComboFix 10-08-31.01 - Lionel 31/08/2010 22:58:52.2.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.222 [GMT 2:00]

Lancé depuis: c:\documents and settings\Lionel\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Lionel\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::

"c:\documents and settings\Lionel\Local Settings\Application Data\GLF1B2.tmp"

"c:\documents and settings\Maxime\Application Data\searchqutb"

"c:\program files\Google\Update\GoogleUpdate.exe"

"c:\program files\Windows Searchqu Toolbar"

"c:\windows\system32\lsdelete.exe"

"c:\windows\system32\perfc00C.dat"

"c:\windows\system32\perfh00C.dat"

"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"

"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Lionel\Local Settings\Application Data\GLF1B2.tmp

c:\program files\Google\Update\GoogleUpdate.exe

c:\windows\system32\lsdelete.exe

c:\windows\system32\perfc00C.dat

c:\windows\system32\perfh00C.dat

c:\windows\system32\scrrnfr.dll

c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_GUPDATE

-------\Service_gupdate

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-28 au 2010-08-31 ))))))))))))))))))))))))))))))))))))

.

2010-08-23 14:31 . 2010-08-23 14:39 -------- d-----w- c:\program files\Ad-Remover

2010-08-23 12:36 . 2010-08-23 12:36 -------- d-----w- c:\program files\trend micro

2010-08-23 12:36 . 2010-08-23 12:36 -------- d-----w- C:\rsit

2010-08-02 20:31 . 2010-08-02 20:31 -------- d-----w- c:\program files\HooTech AAC MP3 Converter

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-31 20:57 . 2010-04-06 07:28 0 ----a-w- c:\documents and settings\Lionel\Local Settings\Application Data\prvlcl.dat