Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection PC => Antimalware Doctor

tygwen

Par tygwen
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ;)

non j'utilise le même pc

Tu lançais donc le scan ComboFix avec Internet Explorer lancé ?

Oui tu as bien fait de stopper le scan: comme je te le disait, ca ne doit pas durer des heures.

Redémarre ton pc en mode sans échec et refais la manip. Etant donné que tu n'auras pas accès au réseau, les fichiers ne pourront être expédiés au créateur du programme (voir mon mesage plus haut). Du coup, au redémarrage du pc, double-clique sur le fichier CF-Submit.htm pour les envoyer.

Poste le rapport généré stp.

 

Note: si le mode sans échec n'est pas accessible, ne tente pas de passer par l'Utilitaire de Configuration système surtout! le pc redémarrerait en boucle.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

tu as lancé ComboFix en mode sans échec ? le scan a réussi ?

Si oui, un rapport a été créé et tu le trouveras dans le disque C:\, il se nomme ComboFix.txt: poste son contenu.

 

Pour expédier les fichiers infectés au concepteur de sUBs, double-clique sur le fichier nommé CF-Submit.htm qui se trouve lui aussi dans le disque C:\

tygwen Member

tygwen

Posté(e)
  • Auteur
Posté(e)

ComboFix 10-09-09.04 - Jonah 11/09/2010 12:53:42.2.1 - x86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.366 [GMT 2:00]

Lancé depuis: c:\documents and settings\Jonah\Bureau\tygwen.exe

Commutateurs utilisés :: c:\documents and settings\Jonah\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E58E8-FFA4-00C8-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00C8-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}

 

file zipped: c:\documents and settings\All Users\Application Data\packautoapi.exe

file zipped: c:\windows\propaudiomsg.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\packautoapi.exe

c:\documents and settings\Jonah\Application Data\vvlcamwbq

c:\documents and settings\Jonah\Local Settings\Application Data\vvlcamwbq

c:\windows\propaudiomsg.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_MACONFSERVICE

-------\Service_GAGPDrv

-------\Service_maconfservice

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))

.

 

2010-09-30 18:21 . 2010-09-08 05:21 500104 ----a-w- c:\windows\system32\perfh040.dat

2010-09-30 18:21 . 2010-09-08 05:21 80360 ----a-w- c:\windows\system32\perfc040.dat

2010-09-10 21:07 . 2010-09-10 21:29 -------- d-----w- C:\tygwen

2010-09-10 20:13 . 2010-09-09 11:59 1037824 -c--a-w- c:\windows\system32\dllcache\explorer.exe

2010-09-10 20:13 . 2010-09-09 11:59 1037824 ----a-w- c:\windows\explorer.exe

2010-09-09 11:15 . 2010-09-09 11:15 -------- d-----w- c:\program files\trend micro

2010-09-09 11:15 . 2010-09-09 11:15 -------- d-----w- C:\rsit

2010-09-09 05:24 . 2010-09-09 05:24 -------- d-----w- c:\documents and settings\Jonah\Application Data\Malwarebytes

2010-09-09 05:24 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-09 05:24 . 2010-09-09 05:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-09-09 05:24 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-09-01 17:12 . 2010-09-01 17:12 -------- d-----w- c:\program files\Enigma Software Group

2010-09-01 17:11 . 2010-09-09 17:02 -------- d-----w- c:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-01 10:16 . 2010-01-03 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-09-30 20:37 . 2006-12-19 18:11 69984 ----a-w- c:\documents and settings\Jonah\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-09-30 18:14 . 2010-06-27 20:36 -------- d-----w- c:\documents and settings\Jonah\Application Data\uTorrent

2010-09-30 18:14 . 2007-10-29 18:19 -------- d-----w- c:\program files\ConTEXT

2010-09-30 18:14 . 2007-02-03 15:13 -------- d-----w- c:\program files\GoldWave

2010-09-30 18:14 . 2006-12-19 19:12 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-09-30 16:33 . 2006-12-19 20:59 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-09-08 05:21 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat

2010-09-08 05:21 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat

2010-09-05 15:42 . 2009-12-04 21:29 -------- d-----w- c:\documents and settings\Jonah\Application Data\vlc

2010-09-05 03:53 . 2007-02-02 10:54 -------- d-----w- c:\documents and settings\Jonah\Application Data\dvdcss

2010-09-01 17:11 . 2007-12-02 19:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2010-06-25 18:16 . 2010-06-25 18:16 15962 ----a-w- c:\windows\W2BNEUnin.dat

2010-06-25 18:16 . 2010-06-25 18:16 98304 ----a-w- c:\windows\W2BNEUnin.exe

2010-06-25 18:16 . 2010-06-25 18:16 2829 ----a-w- c:\windows\W2BNEUnin.pif

2006-05-03 09:06 . 2007-11-24 14:56 163328 --sh--r- c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2007-11-24 14:56 31232 --sh--r- c:\windows\system32\msfDX.dll

2008-03-16 12:30 . 2008-11-28 10:25 216064 --sh--r- c:\windows\system32\nbDX.dll

.

 

------- Sigcheck -------

 

[-] 2009-12-21 . FE1B72EA7D56047544F71E6561E92D6B . 5942784 . . [8.00.6001.18876] . . c:\windows\system32\mshtml.dll

[-] 2009-12-21 . FE1B72EA7D56047544F71E6561E92D6B . 5942784 . . [8.00.6001.18876] . . c:\windows\system32\dllcache\mshtml.dll

[7] 2009-02-21 . D79AEC545A98057155099FB69BB3C4D3 . 3596800 . . [7.00.6000.21015] . . c:\windows\$hf_mig$\KB963027-IE7\SP3QFE\mshtml.dll

[7] 2009-02-20 . 78068F040272D5EEF5198B3C75DD4D99 . 3595264 . . [7.00.6000.16825] . . c:\windows\ie8\mshtml.dll

[7] 2009-01-16 . 0975BFBBCF2639C8BB5C0790F020DE6C . 3594752 . . [7.00.6000.16809] . . c:\windows\ie7updates\KB963027-IE7\mshtml.dll

[7] 2009-01-16 . F386435C5E0A5D86E9F90B659D4F6075 . 3596288 . . [7.00.6000.20996] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\mshtml.dll

[7] 2008-08-27 . 3CCDB836BBAB800FDED3181AF7EED38F . 3593216 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB961260-IE7\mshtml.dll

[7] 2008-08-26 . 0F345A2FE55C3DC9693AAAF2E983F4AD . 3594752 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\mshtml.dll

[7] 2008-04-14 . C4153F037157C7BE7C54FD88887F027D . 3066880 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\mshtml.dll

[7] 2007-10-30 . EB4E53C96D5FB4A9A3F1EAEB782D8862 . 3593216 . . [7.00.6000.20710] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\mshtml.dll

[7] 2007-10-30 . 89397AFC934A509580FF089035E71DA8 . 3590656 . . [7.00.6000.16587] . . c:\windows\ie7updates\KB956390-IE7\mshtml.dll

[-] 2007-08-22 . 8DCC33B8D7E1C3ECD4DC3F9A9B8493D3 . 3079168 . . [6.00.2900.3199] . . c:\windows\ie7\mshtml.dll

[-] 2007-08-22 . 6B815842B4A9CDED3D7E9846639E69FA . 3085824 . . [6.00.2900.3199] . . c:\windows\$hf_mig$\KB939653\SP2QFE\mshtml.dll

[7] 2007-08-20 . 12357B36CB76D754FB9AE7822A64A03D . 3584512 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\mshtml.dll

[7] 2007-08-20 . 12357B36CB76D754FB9AE7822A64A03D . 3584512 . . [7.00.6000.16544] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2GDR\mshtml.dll

[7] 2007-08-20 . D9481E937D5BE0B2D5DBCD87745E925A . 3592192 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\mshtml.dll

[7] 2007-08-20 . D9481E937D5BE0B2D5DBCD87745E925A . 3592192 . . [7.00.6000.20661] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2QFE\mshtml.dll

[7] 2007-08-13 . C6EC2493346ED8888A549F59210A8ED3 . 3578368 . . [7.00.5730.13] . . c:\windows\ie7updates\KB939653-IE7\mshtml.dll

[-] 2007-06-15 . CA8215FF55022B47D6948C4BB09E8D52 . 3085312 . . [6.00.2900.3157] . . c:\windows\$hf_mig$\KB937143\SP2QFE\mshtml.dll

[-] 2007-05-04 . BE930AD339B283D83030BD7E67D1CCFD . 3085312 . . [6.00.2900.3132] . . c:\windows\$hf_mig$\KB933566\SP2QFE\mshtml.dll

[-] 2007-02-19 . 942AB79C4A9DDEED3FE39C424967B91B . 3084288 . . [6.00.2900.3086] . . c:\windows\$hf_mig$\KB931768\SP2QFE\mshtml.dll

[-] 2007-01-04 . 1703F708C9D604CDD3D8C199861DC2E4 . 3083264 . . [6.00.2900.3059] . . c:\windows\$hf_mig$\KB928090\SP2QFE\mshtml.dll

[-] 2006-10-23 . EE542871960ACFD459F4113B1BCC6C10 . 3082240 . . [6.00.2900.3020] . . c:\windows\$hf_mig$\KB925454\SP2QFE\mshtml.dll

[7] 2004-08-19 . 7CA9E0D2C4DCA6B710FD57F40E597337 . 3003392 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\mshtml.dll

 

[-] 2009-12-21 . A8D4AB4ECD850013612E2B6F96EF2394 . 916480 . . [8.00.6001.18876] . . c:\windows\system32\wininet.dll

[-] 2009-12-21 . A8D4AB4ECD850013612E2B6F96EF2394 . 916480 . . [8.00.6001.18876] . . c:\windows\system32\dllcache\wininet.dll

[7] 2009-03-03 . 39F71B559A97ED722F939A0EA7235323 . 828416 . . [7.00.6000.21020] . . c:\windows\$hf_mig$\KB963027-IE7\SP3QFE\wininet.dll

[7] 2009-03-03 . 68A2567FDD62AE7E31D8A885C5173EF9 . 826368 . . [7.00.6000.16827] . . c:\windows\ie8\wininet.dll

[7] 2008-12-20 . 4E192082A5FCE9EF19198A24CDEA3442 . 827904 . . [7.00.6000.20978] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\wininet.dll

[7] 2008-12-20 . 0551C946E305CEE0A79BA744DC141BFC . 826368 . . [7.00.6000.16791] . . c:\windows\ie7updates\KB963027-IE7\wininet.dll

[7] 2008-08-26 . 4B0E70D44297877A313045BD059770E1 . 827904 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll

[7] 2008-08-26 . E30CACD98479B36A3DBFA3267BF62DD0 . 826368 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB961260-IE7\wininet.dll

[7] 2008-04-14 . 4A6E04EA20F48D750D9BFED8600D516B . 670208 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\wininet.dll

[7] 2007-10-10 . BC5119C53BDD48DABC628D448A3BDCCB . 824832 . . [7.00.6000.16574] . . c:\windows\ie7updates\KB956390-IE7\wininet.dll

[7] 2007-10-10 . 871AE10D6AE8877E9636AE5017953D52 . 825344 . . [7.00.6000.20696] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll

[-] 2007-08-22 . 18048557AA56DE4B1955FDF7A21F9B24 . 663040 . . [6.00.2900.3199] . . c:\windows\ie7\wininet.dll

[-] 2007-08-22 . 4F6A45B54D26708E2C2BF2C43D83EDEA . 669696 . . [6.00.2900.3199] . . c:\windows\$hf_mig$\KB939653\SP2QFE\wininet.dll

[7] 2007-08-20 . F6DFCEED3A7AA4C9EEB966D3F1ADC70A . 824832 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\wininet.dll

[7] 2007-08-20 . F6DFCEED3A7AA4C9EEB966D3F1ADC70A . 824832 . . [7.00.6000.16544] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2GDR\wininet.dll

[7] 2007-08-20 . 2DD1B0F579C80562EDCB8848FF7EA9F6 . 825344 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll

[7] 2007-08-20 . 2DD1B0F579C80562EDCB8848FF7EA9F6 . 825344 . . [7.00.6000.20661] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2QFE\wininet.dll

[7] 2007-08-13 . A4A0FC92358F39538A6494C42EF99FE9 . 818688 . . [7.00.5730.13] . . c:\windows\ie7updates\KB939653-IE7\wininet.dll

[-] 2007-06-26 . 19058FBDC72F7BAE085369C6D0A7D074 . 669696 . . [6.00.2900.3164] . . c:\windows\$hf_mig$\KB937143\SP2QFE\wininet.dll

[-] 2007-04-18 . A3BF56A786B277E881FD9137F55F0B4B . 669696 . . [6.00.2900.3121] . . c:\windows\$hf_mig$\KB933566\SP2QFE\wininet.dll

[-] 2007-02-19 . 1BDE6D5DBA35797ECA8DB8FCB80FC015 . 669696 . . [6.00.2900.3086] . . c:\windows\$hf_mig$\KB931768\SP2QFE\wininet.dll

[-] 2007-01-04 . 114342601AC7EA73B0D2A0ED8505B8B9 . 669184 . . [6.00.2900.3059] . . c:\windows\$hf_mig$\KB928090\SP2QFE\wininet.dll

[-] 2006-10-23 . EFA0C2870CBA1747809A13E09F35BF82 . 668672 . . [6.00.2900.3020] . . c:\windows\$hf_mig$\KB925454\SP2QFE\wininet.dll

[7] 2004-08-19 . 4E958B97EFC3D801F49283D1820F48B7 . 660480 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\wininet.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"*hostfatevts.exe"="c:\documents and settings\Jonah\Menu Démarrer\Programmes\Système\Démarrage\hostfatevts.exe" [2010-09-11 153600]

 

c:\documents and settings\Jonah\Menu D‚marrer\Programmes\SystŠme\D‚marrage\

hostfatevts.exe [2010-9-11 153600]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

WlanUtility.lnk.disabled [2007-10-6 768]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4400 Series]

2007-03-01 06:01 180736 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATICAE.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

2009-03-05 15:07 2260480 --sha-r- e:\spybot - search & destroy\TeaTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier.exe]

2003-04-24 22:03 683520 ----a-w- c:\program files\SuperCopier\SuperCopier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

2009-11-13 11:31 247144 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe"

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" /min

"DiskeeperSystray"="c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

"LogMeIn Hamachi Ui"="E:\hamachi-2-ui.exe" --auto-start

"nForce Tray Options"=sstray.exe /r

"SpybotSnD"="e:\spybot - search & destroy\SpybotSD.exe" /autocheck

"SpyHunter Security Suite"=c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\TYPSoft FTP Server\\ftpserv.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\system32\\sessmgr.exe"=

"e:\\Age of empires\\age2_x1\\_age2_x1.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"e:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\aMSN\\bin\\wish.exe"=

"e:\\Program Files\\Call of Duty\\CoDMP.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Adobe\\Adobe Help Center\\ahc.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\Age of empires\\age2_x1\\age2_x1.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"47624:TCP"= 47624:TCP:aoe2

"13139:UDP"= 13139:UDP:aoe1

 

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\si3112r.sys [19/12/2006 18:32 97408]

R0 SiWinAcc;SiWinAcc;c:\windows\system32\drivers\SiWinAcc.sys [19/12/2006 18:32 10240]

S2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [07/12/2007 16:54 217208]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/05/2009 09:38 108289]

S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;e:\hamachi-2.exe -s --> e:\hamachi-2.exe -s [?]

S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]

S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25/01/2007 19:31 42000]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/12/2006 21:58 639224]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

IE: Download All Files by HiDownload

IE: Download by HiDownload

IE: E&xporter vers Microsoft Excel - e:\micros~1\Office12\EXCEL.EXE/3000

IE: Ouvrir le fichier PDF dans Word (PDF Converter 3.0) - c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /300

FF - ProfilePath - c:\documents and settings\Jonah\Application Data\Mozilla\Firefox\Profiles\2weruy4l.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-09-11 13:02

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2010-09-11 13:05:53 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-09-11 11:05

ComboFix2.txt 2010-09-10 17:59

 

Avant-CF: 960 311 296 octets libres

Après-CF: 860 798 976 octets libres

 

- - End Of File - - 6B928746E5E97CB9598FEDF1479715D4

 

 

 

pour CF-Submit.htm j'arrive pas a mettre la main dessus.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ;)

 

Ok pas grave pour le fichier CF-Submit.htm. L'infection s'accroche: le fichier s'est régénéré et a changé de nom.

On va procéder ainsi stp pour trouver le point d'entrée du malware =>

 

1°) J'aimerai que tu m'expédie un fichier stp >>

  • Fais un clic droit sur le dossier C:\Qoobox
  • Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé
  • Un fichier nommé QooBox.zip doit apparaitre dans le même répertoire (C:\)
  • Rend toi ensuite sur cette page > Free large file hosting. Send big files the easy way!
  • Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\QooBox.zip
  • Clique maintenant sur "ouvrir" en bas de la fenêtre.
  • Coche la case "I have read and agree to the terms of service."
  • Clique enfin sur le bouton Upload File .
  • Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp ;)

 

2°) Scan du pc avec un antirootkit =>

 

- Télécharge GMER Rootkit Scanner du lien suivant :

 

GMER - Rootkit Detector and Remover

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Enregistre la procédure qui suit dans un fichier texte car tu dois fermer ton navigateur avant de lancer le scan.

- Déconnecte ton pc physiquement du réseau

- Désactive Antivir avant de lancer le scan: pour cela, fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Activer Antivir Guard

C'est important car le pc peut planter et seul un redémarrage "sauvage" (avec le bouton On/Off) pourra te permettre de reprendre la main!

- Une fois Antivir désactivé et après avoir fermé tout autre programme ouvert =>

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

gmerNoDialog.png

- Clique sur le bouton btnScan.png

et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton btnSave.png (au bas à droite)

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau

- Copie/colle le contenu de ce rapport dans ta réponse.

tygwen Member

tygwen

Posté(e)
  • Auteur
Posté(e)

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover

Rootkit scan 2010-09-13 09:59:47

Windows 5.1.2600 Service Pack 3

Running: 2isbyyx5.exe; Driver: C:\DOCUME~1\Jonah\LOCALS~1\Temp\ugldqpod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT B05D9D76 ZwCreateKey

SSDT B05D9D6C ZwCreateThread

SSDT B05D9D7B ZwDeleteKey

SSDT B05D9D85 ZwDeleteValueKey

SSDT B05D9D8A ZwLoadKey

SSDT B05D9D58 ZwOpenProcess

SSDT B05D9D5D ZwOpenThread

SSDT B05D9D94 ZwReplaceKey

SSDT B05D9D8F ZwRestoreKey

SSDT B05D9D80 ZwSetValueKey

SSDT B05D9D67 ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF877C49E]

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x00 0xDD 0xBD 0x74 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x8B 0x5A 0x0A 0x4C ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x05 0x92 0x10 0x64 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0x18 0x44 0x5F 0x11 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x00 0xDD 0xBD 0x74 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x8B 0x5A 0x0A 0x4C ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x05 0x92 0x10 0x64 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0x18 0x44 0x5F 0x11 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x62 0x8A 0xDC 0x9C ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x8B 0x5A 0x0A 0x4C ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xE1 0xB2 0xEA 0xA4 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0x18 0x44 0x5F 0x11 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@E:\Macromedia Studio 8\Dreamweaver 8\Configuration\Behaviors\Events\4.0 et ultÃ\x2026Â\xbdrieurs.htm 1

 

---- EOF - GMER 1.0.15 ----

 

je vais pas être présent quelque jours si il y a besoin ont reprendra sa plus tard. sa te dérange pas?

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ;)

je vais pas être présent quelque jours si il y a besoin ont reprendra sa plus tard. sa te dérange pas?

Y a pas de souci :) déconnecte ton pc physiquement le temps de ton absence par précaution (débranche le cable).

Quand tu pourras, fais ceci stp =>

 

1°) Scan de fichier:

 

Rend toi à cette adresse => VirusTotal - Free Online Virus, Malware and URL Scanner

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> c:\windows\explorer.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

2°) Utilisation de TDSSKiller:

 

Télécharger tdsskiller.zip

 

Dézippe de l'archive téléchargée le fichier TDSSKiller.exe et place le sur le Bureau.

Désactive ton antivirus temporairement le temps du scan.

 

Fais un double clic sur TDSSKiller.exe pour le lancer.

 

L'écran de TDSSKiller s'affiche:

3xtrkv2cqk.gif

Clique sur Start scan pour lancer l'analyse.

 

Lorsque l'outil a terminé son travail d'inspection,

 

si des nuisibles TDSSKiller-malicious.png ont été trouvés,

 

vérifie que l'option TDSSKiller-cure.png (Cure) est sélectionnée,

 

puis clique sur le bouton TDSSKiller-continue.png (Continue),

 

puis sur le bouton TDSSKiller-rebootnow.png (Reboot now)

 

Poste en réponse le rapport de TDSSKiller (contenu du fichier C:\\TDSSKiller.Version_Date_Heure_log.txt)

  • 2 semaines après...
tygwen Member

tygwen

Posté(e)
  • Auteur
Posté(e) (modifié)

bonsoir

 

je suis de retour et le pc a encore plus de problème, j'ai galéré pour retourner sur le net

 

2 VT Community user(s) with a total of 489 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name:

explorer.exe

Submission date:

2010-09-23 20:23:30 (UTC)

Current status:

queued queued (#1) analysing finished

Result:

0/ 43 (0.0%)

 

VT Community

 

goodware

Safety score: 100.0%

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2010.09.23.00 2010.09.23 -

AntiVir 7.10.12.23 2010.09.23 -

Antiy-AVL 2.0.3.7 2010.09.23 -

Authentium 5.2.0.5 2010.09.23 -

Avast 4.8.1351.0 2010.09.23 -

Avast5 5.0.594.0 2010.09.23 -

AVG 9.0.0.851 2010.09.23 -

BitDefender 7.2 2010.09.23 -

CAT-QuickHeal 11.00 2010.09.23 -

ClamAV 0.96.2.0-git 2010.09.23 -

Comodo 6178 2010.09.23 -

DrWeb 5.0.2.03300 2010.09.23 -

Emsisoft 5.0.0.37 2010.09.23 -

eSafe 7.0.17.0 2010.09.21 -

eTrust-Vet 36.1.7872 2010.09.23 -

F-Prot 4.6.2.117 2010.09.23 -

F-Secure 9.0.15370.0 2010.09.23 -

Fortinet 4.1.143.0 2010.09.23 -

GData 21 2010.09.23 -

Ikarus T3.1.1.88.0 2010.09.23 -

Jiangmin 13.0.900 2010.09.21 -

K7AntiVirus 9.63.2589 2010.09.23 -

Kaspersky 7.0.0.125 2010.09.23 -

McAfee 5.400.0.1158 2010.09.23 -

McAfee-GW-Edition 2010.1C 2010.09.23 -

Microsoft 1.6201 2010.09.23 -

NOD32 5474 2010.09.23 -

Norman 6.06.06 2010.09.23 -

nProtect 2010-09-23.02 2010.09.23 -

Panda 10.0.2.7 2010.09.23 -

PCTools 7.0.3.5 2010.09.23 -

Prevx 3.0 2010.09.23 -

Rising 22.66.00.07 2010.09.21 -

Sophos 4.58.0 2010.09.23 -

Sunbelt 6918 2010.09.23 -

SUPERAntiSpyware 4.40.0.1006 2010.09.23 -

Symantec 20101.1.1.7 2010.09.23 -

TheHacker 6.7.0.0.029 2010.09.23 -

TrendMicro 9.120.0.1004 2010.09.23 -

TrendMicro-HouseCall 9.120.0.1004 2010.09.23 -

VBA32 3.12.14.1 2010.09.22 -

ViRobot 2010.9.23.4057 2010.09.23 -

VirusBuster 12.65.23.0 2010.09.23 -

Additional information

Show all

MD5 : f2317622d29f9ff0f88aeecd5f60f0dd

SHA1 : d54b0b83de6ee5922dd90db1446872bf32062b25

SHA256: 1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13

 

 

 

TDSSKiller na rien trouver

Modifié par tygwen

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...