Sujet de LadyHunter

Apollo · le 20 février 2011

LadyHunter,

Le rapport Kaspersky était trop lourd, ce qui a fait planter le sujet.

Je te prie de bien vouloir l'héberger sur un des ces sites et de me fournir le lien obtenu (pour sendspace, c'est le premier qu'il faut copier/coller dans ta réponse).

Cijoint.fr - Service gratuit de dépôt de fichiers ) ou Free large file hosting. Send big files the easy way! (1er lien fourni à copier/coller).

@++

LadyHunter · le 20 février 2011

Voila : http://cjoint.com/data/0cubNMOVf4w.htm

Modifié le 20 février 2011 par LadyHunter

Apollo · le 20 février 2011

Kaspersky a fait un sacré bon boulot; le pc a-t-il été redémarré pour supprimer ce qui n'a pu l'être lors de l'analyse?

On fera d'autres examens si ton ordi ne va pas mieux mais il y a un gros paquet de crasses qui a été viré.

Lorsque le pc sera clean, il faudra faire des mises à jour très importantes, mais on n'en est pas encore là: on n'installe jamais de packs sur un pc infecté (n'en déplaise à certains...)

@++

Modifié le 20 février 2011 par Apollo

LadyHunter · le 20 février 2011

Un probleme n'est pas regle. Ce fichier qui se regenere a chaque demarrage : rdphiapq.exe... Comment le virer ?!Et il genere aussi le processus opera.exe en plus de l'originel. Le virus est toujours present.

Modifié le 20 février 2011 par LadyHunter

Apollo · le 20 février 2011

Peux-tu me donner le chemin complet de cet exécutable stp?

Supprime-le avec FileAssassin, cet outil se trouve dans "autres outils" de MalwareBytes antimalwares.

Tu peux également le trouver ici: FileASSASSIN: Malwarebytes

On utilise le clic droit pour supprimer les fichiers récalcitrants.

Ça ne sent pas bon du tout car s'il se régénère, c'est qu'il y a un dropper quelque-part :-(

Utilises-tu des cracks ou des keygens?

On utilisera Combofix renommé si besoin.

@++

LadyHunter · le 20 février 2011

Le chemin est : C:\Programmes\jwxuxaga et ca ne sert a rien de le supprimer puisqu'il se regenere a chaque fois... Et oui, j'utilise des cracks et des keygen mais mon infection en est independante.

J'attends tes instructions pour combofix. Ca sert a trouver la source de l'auto-regeneration de ce fichier executable rdphiapq ?

D'apres Avira, pour se generer, le fichier fait une modification dans le registre du fichier userinit, j'avais essaye de le remettre comme il etait a l'origine, mais ca n'a rien change. Je suppose que ce fichier de base windows doit avoir une liaison avec d'autres, mais comme je ne connais pas assez ce genre de fichiers en details et leurs codes, je ne sais comment faire. Je pense qu'il faudrait un logiciel qui identifie les chemins du registre modifies par le virus et qui les remet par defaut.

Modifié le 20 février 2011 par LadyHunter

Apollo · le 20 février 2011

On va voir, il est possible que des fichiers système soient patchés par l'infection, d'où la procédure avec ComboFix.

Il est TRES important d'installer la console de récupération au cas où l'outil devrait chercher un fichier sain pour remplacer le fichier légitime si infecté.

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

Connecter les supports amovibles (clé usb et autres) avant de procéder.

TUTO Officiel

Fais un clic droit ICI

Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop

exemple:
On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
Clique enfin sur le bouton Enregistrer en bas de page à droite.
Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur plop.
Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
Clique sur Oui au message de Limitation de Garantie qui s'affiche.
Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

@++

LadyHunter · le 20 février 2011

Voila le rapport :

ComboFix 11-02-19.02 - AnneGel 20/02/2011 18:02:30.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1392 [GMT 1:00]

Lancé depuis: c:\docs and sets\AnneGel\Bureau\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

AV: G Data AntiVirus 2011 *Enabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}

FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docs and sets\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\docs and sets\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\programmes\Internet Explorer\dmlconf.dat

c:\programmes\K-Lite Codec Pack\Tools\StatsReader.exe

----- BITS: Il y a peut-être des sites infectés -----

hxxp://82.98.231.95

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_RKHIT

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-20 au 2011-02-20 ))))))))))))))))))))))))))))))))))))

.

2011-02-19 19:47 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\71140782.sys

2011-02-19 19:47 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7114078.sys

2011-02-19 19:47 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\71140781.sys

2011-02-19 19:34 . 2011-02-19 23:12 -------- d-----w- c:\programmes\jwxuxaga

2011-02-18 14:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\88026492.sys

2011-02-18 14:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\8802649.sys

2011-02-18 14:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\88026491.sys

2011-02-16 14:37 . 2011-02-16 14:53 -------- d-----w- c:\docs and sets\All Users\Application Data\Alwil Software

2011-02-15 17:23 . 2011-02-15 17:23 51784 ----a-w- c:\windows\system32\drivers\GDTdiIcpt.sys

2011-02-15 17:23 . 2011-02-15 17:23 38600 ----a-w- c:\windows\system32\drivers\HookCentre.sys

2011-02-15 17:23 . 2011-02-15 17:23 61512 ----a-w- c:\windows\system32\drivers\MiniIcpt.sys

2011-02-15 17:23 . 2011-02-15 17:23 33480 ----a-w- c:\windows\system32\drivers\GDBehave.sys

2011-02-15 17:22 . 2011-02-15 17:23 -------- d-----w- c:\docs and sets\All Users\Application Data\G DATA

2011-02-15 17:22 . 2011-02-15 17:22 -------- d-----w- c:\programmes\Fichiers communs\G Data

2011-02-15 16:40 . 2011-02-15 16:40 -------- d-----w- c:\docs and sets\AnneGel\Local Settings\Application Data\Downloaded Installations

2011-02-14 14:21 . 2011-02-14 14:21 -------- d-----w- c:\docs and sets\AnneGel\DoctorWeb

2011-02-13 01:52 . 2011-02-13 01:52 -------- d-----w- c:\docs and sets\AnneGel\Application Data\Avira

2011-02-13 01:47 . 2011-02-17 13:43 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-02-13 01:47 . 2011-02-15 23:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-02-13 01:47 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-02-13 01:47 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-02-13 01:47 . 2011-02-13 01:47 -------- d-----w- c:\programmes\Avira

2011-02-12 20:13 . 2011-02-12 20:18 -------- d-----w- c:\docs and sets\All Users\Application Data\moosoft

2011-02-12 16:20 . 2011-02-12 16:20 -------- d-----w- c:\docs and sets\AnneGel\Application Data\thecleaner

2011-02-11 22:01 . 2011-02-14 19:47 -------- d-----w- c:\docs and sets\AnneGel\Application Data\QuickScan

2011-02-11 17:35 . 2011-02-11 17:35 -------- d--h--w- c:\windows\PIF

2011-01-31 15:43 . 2011-01-31 15:43 -------- d-----w- c:\docs and sets\AnneGel\Application Data\gtk-2.0

2011-01-31 15:43 . 2011-01-31 15:43 -------- d-----w- c:\docs and sets\AnneGel\.thumbnails

2011-01-31 13:18 . 2011-01-31 15:51 -------- d-----w- c:\docs and sets\AnneGel\.gimp-2.6

2011-01-29 03:43 . 2011-01-29 03:43 1409 ----a-w- c:\windows\QTFont.for

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-14 18:21 . 2009-04-16 11:57 2672 -csha-w- c:\docs and sets\All Users\Application Data\KGyGaAvL.sys

2010-12-20 17:09 . 2009-03-07 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2009-03-07 23:41 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys

.

------- Sigcheck -------

[-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-08-23 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe

[-] 2008-04-23 . 2FA055D9A0AB73CC91912646FDF9C5EB . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[7] 2007-08-13 . DE49B348A18369B4626FBA1D49B07FB4 . 622080 . . [7.00.5730.13] . . c:\windows\system32\dllcache\iexplore.exe

[7] 2004-08-04 . 833E2B3F0E2484C0F2B804AE871B4381 . 93184 . . [6.00.2900.2180] . . c:\windows\ie7\iexplore.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartupFaster"="d:\progs\Startup Faster\startuploader.exe" [2009-10-25 1455376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2007-08-13 123904]

c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\

rdphiapq.exe [2011-2-20 99840]

c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\StartupFaster

setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208]

StartupFaster.ini [2011-2-20 353]

c:\docs and sets\All Users\Menu D‚marrer\Programmes\D‚marrage\StartupFaster

Bluetooth Manager.lnk - c:\programmes\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [N/A]

StartupFaster.ini [2011-2-20 296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"StartMenuLogoff"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\programmes\jwxuxaga\rdphiapq.exe,"

"Taskman"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\Outpost\wl_hook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]

2006-07-20 23:15 1848218 ----a-w- d:\progs\Acronis True Image\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agentantidote.exe]

2010-06-29 18:22 806080 ------w- d:\progs\Antidote\Programmes32\agentantidote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon]

2010-11-05 22:54 283160 -c--a-w- c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler]

2009-06-22 23:29 83232 -c--a-w- d:\progs\Word Perfect\WordPerfect Office X4\Programs\QFSCHD140.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2011-02-19 21:54 201051 -c----w- d:\progs\Le Visuel\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-02-18 09:43 248040 -c--a-w- c:\programmes\Fichiers communs\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]

2006-07-20 23:12 1106531 ----a-w- d:\progs\Acronis True Image\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ultralingua 7 Hotkey]

2009-11-04 12:07 1483264 ----a-w- d:\progs\Ultralingua\ULHotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"AcrSch2Svc"=2 (0x2)

"AVKWCtl"=2 (0x2)

"AVKService"=2 (0x2)

"AVKProxy"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:2\\Vmware\\vmware-authd.exe"=

"d:\\Progs\\Vlc\\vlc.exe"=

"d:\\Progs\\Emule\\emule.exe"=

"d:\\Progs\\Opera\\opera.exe"=

"d:\\Progs\\µTorrent\\µTorrent.exe"=

"c:\\Programmes\\NetMeeting\\conf.exe"=

R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392]

R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392]

R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [15/02/2011 18:23 33480]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/03/2009 12:37 717296]

R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016]

R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016]

R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [11/11/2010 12:50 704384]

R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408]

R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programmes\Avira\AntiVir Desktop\sched.exe [13/02/2011 02:47 135336]

R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [15/02/2011 18:23 51784]

R2 MBAMService;MBAMService;c:\programmes\Malwarebytes\mbamservice.exe [08/03/2009 00:41 363344]

R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26/03/2009 22:05 54960]

R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [11/11/2010 12:49 31128]

R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [11/11/2010 12:50 257432]

R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [07/03/2009 23:31 5632]

R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [07/03/2009 23:31 4864]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/03/2009 00:41 20952]

R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [26/01/2010 23:31 17792]

S1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [15/02/2011 18:23 61512]

S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [04/11/2010 18:19 13336]

S2 OS Selector;Acronis OS Selector activator;d:\progs\Acronis Disk Director\OSS\reinstall_svc.exe [25/05/2010 18:53 2139400]

S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [13/03/2009 14:03 6016]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [07/03/2009 23:20 1684736]

S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [15/02/2011 18:23 38600]

S3 I97DRIVER;I97DRIVER;\??\d:\progs\Fix-It\dgs.sys --> d:\progs\Fix-It\dgs.sys [?]

S3 PORTMON;PORTMON;\??\d:\progs\Sysinternals Suite\PORTMSYS.SYS --> d:\progs\Sysinternals Suite\PORTMSYS.SYS [?]

S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26/11/2009 00:06 34384]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\progs\Tune Up Utilities\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064]

S4 AVKProxy;AVKProxy;c:\programmes\Fichiers communs\G Data\AVKProxy\AVKProxy.exe [12/04/2010 16:31 1069640]

S4 AVKService;G Data Scheduler;c:\programmes\GData\AVK\AVKService.exe --> c:\programmes\GData\AVK\AVKService.exe [?]

S4 AVKWCtl;G Data Gardien;c:\programmes\GData\AVK\AVKWCtl.exe --> c:\programmes\GData\AVK\AVKWCtl.exe [?]

S4 GDScan;G Data Scanner;c:\programmes\Fichiers communs\G Data\GDScan\GDScan.exe [22/04/2010 13:59 339016]

S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\progs\Tune Up Utilities\TuneUpUtilitiesService32.exe [30/09/2010 16:15 1051968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

2011-02-15 c:\windows\Tasks\SyncBack Synchro Bureau 2.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

2011-02-09 c:\windows\Tasks\SyncBack Synchro Bureau.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

2011-01-31 c:\windows\Tasks\SyncBack Synchro config.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

2011-01-31 c:\windows\Tasks\SyncBack Synchro docs.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Add to &Evernote - d:\progs\Evernote\enbar.dll/2000

IE: Ouvrir dans WordPerfect - d:\progs\Word Perfect\WordPerfect Office X4\Programs\WPLauncher.hta

FF - ProfilePath - c:\docs and sets\AnneGel\Application Data\Mozilla\Firefox\Profiles\5jf06vqf.default\

FF - prefs.js: browser.startup.homepage - www.google.fr

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\progs\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmes\Java\lib\deploy\jqs\ff

.

- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-Acronis Scheduler2 Service - c:\programmes\Fichiers communs\Acronis\Schedule2\schedhlp.exe

MSConfigStartUp-OutpostFeedBack - c:\programmes\Outpost\feedback.exe

AddRemove-uTorrent - d:\progs\µTorrent\uTorrent.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-20 18:08

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(332)

c:\windows\system32\l3codeca.acm

- - - - - - - > 'explorer.exe'(3328)

c:\windows\system32\msi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\programmes\Internet Explorer\iexplore.exe

c:\programmes\Avira\AntiVir Desktop\avgnt.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\system32\igfxpers.exe

c:\programmes\Avira\AntiVir Desktop\avguard.exe

c:\windows\system32\hkcmd.exe

c:\programmes\Synaptics\SynTP\SynTPEnh.exe

c:\progra~1\Outpost\op_mon.exe

c:\programmes\Fichiers communs\Protexis\License Service\PsiService_2.exe

c:\programmes\Avira\AntiVir Desktop\avshadow.exe

d:\progs\Alcohol\StarWind\StarWindServiceAE.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2011-02-20 18:10:21 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-02-20 17:10

Avant-CF: 766 992 384 octets libres

Après-CF: 789 655 552 octets libres

- - End Of File - - E4D67811D89ED56B6F25C4A136137FFA

PS : IL M'A AFFICHE UN MESSAGE D'ERREUR DISANT QU'IL N'A PAS PU TELECHARGER LES FICHIERS DE LA CONSOLE POUR UNE RAISON QUE J'IGNORE.

Modifié le 20 février 2011 par LadyHunter

Apollo · le 20 février 2011

Tssss, j'avais pourtant insisté sur l'installation de la console de récupération.

Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau: Ne modifie pas le nom du fichier surtout!

>>Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.

Note : à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

*** ComboFix proposera sûrement de poursuivre la recherche de nuisibles après l'installation de la console: accepter.

@++

LadyHunter · le 20 février 2011

Oui, mais il etait indique que Combofix allait s'en charger, alors j'ai suivi les intructions de ce dernier mais ca n'a pas fonctionne. A part ca, comme il est stipule dans le rapport, Outpost etait toujours actif :/, je l'avais pourtant quitter mais le processus et reste actif, peut-etre est-ce pour cela que Combofix n'a pas pu recuperer la console de recup'. J'ai aussi un autre petit soucis, y'a quelques jours, j'avais tente d'installer G Data Antivirus 2011, mais l'installation s'est mal passe sans doute a cause du virus. Toujours est-il qu'au lancement de combo fix, il m'indique que le scanner de ce dernier est actif... Pourtant, je l'ai vire de partout, j'ai meme fait une recherche dans le registre avec RegSeeker pour effacer toutes traces, pourtant, il reste les traces de ses services, mais que j'ai desactive entierement. Comment le virer totalement ? Ou est-ce que je fais abstraction et je suis ta derniere intruction ?

Modifié le 20 février 2011 par LadyHunter

Connexion

Pas encore inscrit ?

Sujet de LadyHunter

Messages recommandés

Apollo

LadyHunter

Apollo

LadyHunter

Apollo

LadyHunter

Apollo

LadyHunter

Apollo

LadyHunter

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer