Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Sujet de LadyHunter

Apollo

Par Apollo
dans Analyses et éradication malwares

 Partager

Messages recommandés

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

Pour VRT, y'a pas de soucis, il est desactive car ne me sert strictement a rien qu'il se lance a mon demarrage, en plus, ca n'aurait fait que prolonger mon acces. Par contre, il y a ses deux pilotes d'installer. J'assume si il y a eventuellemnt des interferences. Mais j'en doute, le virus ne s'est pas attaque a mes fichiers systemes, et aux pilotes non plus car je n'ai pas eu de dysfonctionnement de ce cote-la. Il n'a eu d'impact que sur mes logiciels et mes fichiers .htm/.html

 

Je ne fais jamais de maj microsoft, j'ai desactive le service, j'utilise des logiciels de bidouilles pour ma securite.

 

Concernant VMWare, il est sur un disque externe, et je m'en sers seulement a l'occasion.

 

Et tu ne parles pas tout seul pusique je reponds le plus exactement possible a tes questions, ce qui est normal.

 

Ok, pour la nouvelle manip', je t'attends. Merci.

 

 

@ plus tard.

Modifié par LadyHunter

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour LH :)

 

Supprime ta copie de ComboFix, prends la version à jour du lien suivant et mets-là sur le Bureau :

Bleeping Computer Downloads: ComboFix Download

 

Ne le lance pas tout de suite. Désactive AntiVir et Outpost temporairement.

Je cible les fichiers infectieux qui sont visibles dans le dernier rapport, mais il pourrait y en avoir de nouveaux depuis alors on verra.

*Note : essaie de permettre l'installation de la Console de Récupération lorsqu'elle te sera proposée.

 

**Le script prescrit ci-bas a été préparé pour la machine de LadyHunter seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Citation" ci-dessous (sans le mot "Citation" ):

 

KillAll::

 

File::

C:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe

C:\Windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe

c:\programmes\Internet Explorer\iexploremgrmgr.exe

c:\windows\system32\svchostmgrmgr.exe

c:\windows\system32\svchostmgr.exe

c:\windows\system32\servicesmgrmgrmgrmgrmgrmgr.exe

c:\windows\system32\servicesmgrmgrmgrmgrmgr.exe

c:\windows\system32\servicesmgrmgrmgrmgr.exe

c:\windows\system32\servicesmgrmgrmgr.exe

c:\windows\system32\servicesmgrmgr.exe

c:\windows\system32\servicesmgr.exe

c:\windows\system32\lsassmgrmgrmgrmgrmgrmgr.exe

c:\windows\system32\lsassmgrmgrmgrmgrmgr.exe

c:\windows\system32\lsassmgrmgrmgrmgr.exe

c:\windows\system32\lsassmgrmgrmgr.exe

c:\windows\system32\lsassmgrmgr.exe

c:\windows\system32\lsassmgr.exe

 

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

===

 

Suite à ça, mets Malwarebytes' Anti-Malware à jour (onglet "Mise à jour") puis fais un examen rapide avec ce dernier. Laisse-le réparer tout ce qu'il trouve, si détections. Copie/colle le rapport généré ici, dans une nouvelle réponse.

 

 

Good luck ;)

 

Mark

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

Salut,

 

ComboFix 11-03-04.06 - AnneGel 05/03/2011 20:18:03.6.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1618 [GMT 1:00]

Lancé depuis: c:\docs and sets\AnneGel\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\docs and sets\AnneGel\Bureau\CFScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

AV: G Data AntiVirus 2011 *Enabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}

FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

.

FILE ::

"c:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe"

"c:\programmes\Internet Explorer\iexploremgrmgr.exe"

"c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe"

"c:\windows\system32\lsassmgr.exe"

"c:\windows\system32\lsassmgrmgr.exe"

"c:\windows\system32\lsassmgrmgrmgr.exe"

"c:\windows\system32\lsassmgrmgrmgrmgr.exe"

"c:\windows\system32\lsassmgrmgrmgrmgrmgr.exe"

"c:\windows\system32\lsassmgrmgrmgrmgrmgrmgr.exe"

"c:\windows\system32\servicesmgr.exe"

"c:\windows\system32\servicesmgrmgr.exe"

"c:\windows\system32\servicesmgrmgrmgr.exe"

"c:\windows\system32\servicesmgrmgrmgrmgr.exe"

"c:\windows\system32\servicesmgrmgrmgrmgrmgr.exe"

"c:\windows\system32\servicesmgrmgrmgrmgrmgrmgr.exe"

"c:\windows\system32\svchostmgr.exe"

"c:\windows\system32\svchostmgrmgr.exe"

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe

c:\programmes\Internet Explorer\dmlconf.dat

c:\programmes\Internet Explorer\iexploremgrmgr.exe

c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe

c:\windows\system32\lsassmgr.exe

c:\windows\system32\lsassmgrmgr.exe

c:\windows\system32\lsassmgrmgrmgr.exe

c:\windows\system32\lsassmgrmgrmgrmgr.exe

c:\windows\system32\lsassmgrmgrmgrmgrmgr.exe

c:\windows\system32\lsassmgrmgrmgrmgrmgrmgr.exe

c:\windows\system32\servicesmgr.exe

c:\windows\system32\servicesmgrmgr.exe

c:\windows\system32\servicesmgrmgrmgr.exe

c:\windows\system32\servicesmgrmgrmgrmgr.exe

c:\windows\system32\servicesmgrmgrmgrmgrmgr.exe

c:\windows\system32\servicesmgrmgrmgrmgrmgrmgr.exe

c:\windows\system32\svchostmgr.exe

c:\windows\system32\svchostmgrmgr.exe

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-02-05 au 2011-03-05 ))))))))))))))))))))))))))))))))))))

.

.

2011-03-03 15:36 . 2011-03-03 15:36 -------- d-----w- c:\programmes\jwxuxaga

2011-02-19 19:47 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\71140782.sys

2011-02-19 19:47 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7114078.sys

2011-02-19 19:47 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\71140781.sys

2011-02-18 14:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\88026492.sys

2011-02-18 14:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\8802649.sys

2011-02-18 14:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\88026491.sys

2011-02-16 14:37 . 2011-02-16 14:53 -------- d-----w- c:\docs and sets\All Users\Application Data\Alwil Software

2011-02-15 17:23 . 2011-02-15 17:23 38600 ----a-w- c:\windows\system32\drivers\HookCentre.sys

2011-02-15 17:22 . 2011-02-20 18:00 -------- d-----w- c:\docs and sets\All Users\Application Data\G DATA

2011-02-15 16:40 . 2011-02-15 16:40 -------- d-----w- c:\docs and sets\AnneGel\Local Settings\Application Data\Downloaded Installations

2011-02-14 14:21 . 2011-02-14 14:21 -------- d-----w- c:\docs and sets\AnneGel\DoctorWeb

2011-02-13 01:52 . 2011-02-13 01:52 -------- d-----w- c:\docs and sets\AnneGel\Application Data\Avira

2011-02-13 01:47 . 2011-02-17 13:43 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-02-13 01:47 . 2011-02-15 23:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-02-13 01:47 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-02-13 01:47 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-02-13 01:47 . 2011-02-13 01:47 -------- d-----w- c:\programmes\Avira

2011-02-12 20:13 . 2011-02-12 20:18 -------- d-----w- c:\docs and sets\All Users\Application Data\moosoft

2011-02-12 16:20 . 2011-02-12 16:20 -------- d-----w- c:\docs and sets\AnneGel\Application Data\thecleaner

2011-02-11 22:01 . 2011-02-14 19:47 -------- d-----w- c:\docs and sets\AnneGel\Application Data\QuickScan

2011-02-11 17:35 . 2011-02-11 17:35 -------- d--h--w- c:\windows\PIF

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-04 19:11 . 2009-04-16 11:57 2672 -csha-w- c:\docs and sets\All Users\Application Data\KGyGaAvL.sys

2011-01-29 03:43 . 2011-01-29 03:43 1409 ----a-w- c:\windows\QTFont.for

2010-12-20 17:09 . 2009-03-07 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2009-03-07 23:41 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys

.

.

------- Sigcheck -------

.

[-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

.

[-] 2004-08-23 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe

.

[-] 2008-04-23 . 2FA055D9A0AB73CC91912646FDF9C5EB . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((( SnapShot@2011-02-20_17.07.49 )))))))))))))))))))))))))))))))))))))))))

.

- 2001-08-24 16:00 . 2010-11-11 11:38 82156 c:\windows\system32\perfc00C.dat

+ 2001-08-24 16:00 . 2011-03-03 16:28 82156 c:\windows\system32\perfc00C.dat

- 2001-08-24 16:00 . 2010-11-11 11:38 68856 c:\windows\system32\perfc009.dat

+ 2001-08-24 16:00 . 2011-03-03 16:28 68856 c:\windows\system32\perfc009.dat

+ 2011-03-05 19:24 . 2011-03-05 19:24 99840 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\rdphiapq.exe

+ 2001-08-24 16:00 . 2011-03-03 16:28 503822 c:\windows\system32\perfh00C.dat

- 2001-08-24 16:00 . 2010-11-11 11:38 503822 c:\windows\system32\perfh00C.dat

- 2001-08-24 16:00 . 2010-11-11 11:38 435374 c:\windows\system32\perfh009.dat

+ 2001-08-24 16:00 . 2011-03-03 16:28 435374 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartupFaster"="d:\progs\Startup Faster\startuploader.exe" [2009-10-25 1455376]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2007-08-13 123904]

.

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

rdphiapq.exe [2011-3-5 99840]

.

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

rdphiapq.exe [2011-3-5 99840]

.

c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\StartupFaster

setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208]

StartupFaster.ini [2011-3-4 353]

.

c:\docs and sets\All Users\Menu D‚marrer\Programmes\D‚marrage\StartupFaster

Bluetooth Manager.lnk - c:\programmes\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [N/A]

StartupFaster.ini [2011-3-4 296]

.

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

rdphiapq.exe [2011-3-5 99840]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"StartMenuLogoff"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\programmes\jwxuxaga\rdphiapq.exe,"

"Taskman"=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]

2006-07-20 23:15 1848218 ------w- d:\progs\Acronis True Image\TimounterMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agentantidote.exe]

2010-06-29 18:22 806080 ------w- d:\progs\Antidote\Programmes32\agentantidote.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon]

2010-11-05 22:54 283160 -c----w- c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler]

2009-06-22 23:29 83232 -c----w- d:\progs\Word Perfect\WordPerfect Office X4\Programs\QFSCHD140.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2011-02-19 21:54 201051 -c----w- d:\progs\Le Visuel\qttask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-02-18 09:43 248040 -c----w- c:\programmes\Fichiers communs\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]

2006-07-20 23:12 1106531 ------w- d:\progs\Acronis True Image\TrueImageMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ultralingua 7 Hotkey]

2009-11-04 12:07 1483264 ----a-w- d:\progs\Ultralingua\ULHotkey.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"AcrSch2Svc"=2 (0x2)

"AVKWCtl"=2 (0x2)

"AVKService"=2 (0x2)

"AVKProxy"=2 (0x2)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:2\\Vmware\\vmware-authd.exe"=

"d:\\Progs\\Vlc\\vlc.exe"=

"d:\\Progs\\Emule\\emule.exe"=

"d:\\Progs\\Opera\\opera.exe"=

"d:\\Progs\\µTorrent\\µTorrent.exe"=

"c:\\Programmes\\NetMeeting\\conf.exe"=

.

R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392]

R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/03/2009 12:37 717296]

R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016]

R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016]

R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [11/11/2010 12:50 704384]

R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408]

R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programmes\Avira\AntiVir Desktop\sched.exe [13/02/2011 02:47 135336]

R2 MBAMService;MBAMService;c:\programmes\Malwarebytes\mbamservice.exe [08/03/2009 00:41 363344]

R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26/03/2009 22:05 54960]

R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [11/11/2010 12:49 31128]

R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [11/11/2010 12:50 257432]

R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [07/03/2009 23:31 5632]

R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [07/03/2009 23:31 4864]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/03/2009 00:41 20952]

R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [26/01/2010 23:31 17792]

S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys --> c:\windows\system32\drivers\GDBehave.sys [?]

S1 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys --> c:\windows\system32\drivers\MiniIcpt.sys [?]

S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [04/11/2010 18:19 13336]

S2 OS Selector;Acronis OS Selector activator;d:\progs\Acronis Disk Director\OSS\reinstall_svc.exe [25/05/2010 18:53 2139400]

S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [13/03/2009 14:03 6016]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [07/03/2009 23:20 1684736]

S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [15/02/2011 18:23 38600]

S3 I97DRIVER;I97DRIVER;\??\d:\progs\Fix-It\dgs.sys --> d:\progs\Fix-It\dgs.sys [?]

S3 PORTMON;PORTMON;\??\d:\progs\Sysinternals Suite\PORTMSYS.SYS --> d:\progs\Sysinternals Suite\PORTMSYS.SYS [?]

S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26/11/2009 00:06 34384]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\progs\Tune Up Utilities\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064]

S4 AVKService;G Data Scheduler;c:\programmes\GData\AVK\AVKService.exe --> c:\programmes\GData\AVK\AVKService.exe [?]

S4 AVKWCtl;G Data Gardien;c:\programmes\GData\AVK\AVKWCtl.exe --> c:\programmes\GData\AVK\AVKWCtl.exe [?]

S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\progs\Tune Up Utilities\TuneUpUtilitiesService32.exe [30/09/2010 16:15 1051968]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

.

2011-02-15 c:\windows\Tasks\SyncBack Synchro Bureau 2.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

2011-02-09 c:\windows\Tasks\SyncBack Synchro Bureau.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

2011-01-31 c:\windows\Tasks\SyncBack Synchro config.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

2011-01-31 c:\windows\Tasks\SyncBack Synchro docs.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Add to &Evernote - d:\progs\Evernote\enbar.dll/2000

IE: Ouvrir dans WordPerfect - d:\progs\Word Perfect\WordPerfect Office X4\Programs\WPLauncher.hta

FF - ProfilePath - c:\docs and sets\AnneGel\Application Data\Mozilla\Firefox\Profiles\5jf06vqf.default\

FF - prefs.js: browser.startup.homepage - www.google.fr

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\progs\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmes\Java\lib\deploy\jqs\ff

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-03-05 20:25

Windows 5.1.2600 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'explorer.exe'(2144)

c:\windows\system32\msi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\programmes\Avira\AntiVir Desktop\avgnt.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\system32\igfxpers.exe

c:\programmes\Avira\AntiVir Desktop\avguard.exe

c:\programmes\Internet Explorer\iexplore.exe

c:\programmes\Fichiers communs\Protexis\License Service\PsiService_2.exe

c:\windows\system32\hkcmd.exe

c:\programmes\Synaptics\SynTP\SynTPEnh.exe

c:\progra~1\Outpost\op_mon.exe

d:\progs\Alcohol\StarWind\StarWindServiceAE.exe

c:\programmes\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2011-03-05 20:27:02 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-03-05 19:26

ComboFix2.txt 2011-03-03 15:31

ComboFix3.txt 2011-02-20 18:16

ComboFix4.txt 2011-02-20 17:10

.

Avant-CF: 638 951 424 octets libres

Après-CF: 579 571 712 octets libres

.

- - End Of File - - 67B049F26F6E121C23202BE0C2C07E37

 

 

PS : Mbam n'a rien trouve.

 

PS2 : J'ai cette fois-ci arrete le processus d'Outpost, mais il l'indique quand meme actif... (a cause de son service ?) ?

Modifié par LadyHunter
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci ;)

 

Ça s'est regénéré. Cette fois-ci, on frappe vite (espérant que tu sois là et dispo) et on verra. Si ça revient, je ne pourrai plus rien faire vu la présence active de VRT.

Tu as tenté l'installation de la Console avec ComboFix ? Je demande car la Console pourrait permettre de mieux désinfecter la machine. Pas de Console = ComboFix ne peut pas exploiter tout son potentiel :)

 

Ok on fonce :

 

**Le script prescrit ci-bas a été préparé pour la machine de LadyHunter seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Citation" ci-dessous (sans le mot "Citation" ):

 

KillAll::

 

File::

C:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe

C:\Windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe

 

Folder::

c:\programmes\jwxuxaga

 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"=-

"Taskman"=-

"Userinit"="c:\windows\system32\userinit.exe,"

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

@++

 

Mark

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

Depuis la derniere manip', je n'ai ni redemarre ni arrete ma becane. Le log...

 

ComboFix 11-03-04.06 - AnneGel 05/03/2011 22:32:58.7.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1586 [GMT 1:00]

Lancé depuis: c:\docs and sets\AnneGel\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\docs and sets\AnneGel\Bureau\CFScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

AV: G Data AntiVirus 2011 *Enabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}

FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

.

FILE ::

"c:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe"

"c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe"

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programmes\Internet Explorer\dmlconf.dat

c:\programmes\jwxuxaga

c:\programmes\jwxuxaga\rdphiapq.exe

c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-02-05 au 2011-03-05 ))))))))))))))))))))))))))))))))))))

.

.

2011-02-19 19:47 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\71140782.sys

2011-02-19 19:47 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7114078.sys

2011-02-19 19:47 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\71140781.sys

2011-02-18 14:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\88026492.sys

2011-02-18 14:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\8802649.sys

2011-02-18 14:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\88026491.sys

2011-02-16 14:37 . 2011-02-16 14:53 -------- d-----w- c:\docs and sets\All Users\Application Data\Alwil Software

2011-02-15 17:23 . 2011-02-15 17:23 38600 ----a-w- c:\windows\system32\drivers\HookCentre.sys

2011-02-15 17:22 . 2011-02-20 18:00 -------- d-----w- c:\docs and sets\All Users\Application Data\G DATA

2011-02-15 16:40 . 2011-02-15 16:40 -------- d-----w- c:\docs and sets\AnneGel\Local Settings\Application Data\Downloaded Installations

2011-02-14 14:21 . 2011-02-14 14:21 -------- d-----w- c:\docs and sets\AnneGel\DoctorWeb

2011-02-13 01:52 . 2011-02-13 01:52 -------- d-----w- c:\docs and sets\AnneGel\Application Data\Avira

2011-02-13 01:47 . 2011-02-17 13:43 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-02-13 01:47 . 2011-02-15 23:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-02-13 01:47 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-02-13 01:47 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-02-13 01:47 . 2011-02-13 01:47 -------- d-----w- c:\programmes\Avira

2011-02-12 20:13 . 2011-02-12 20:18 -------- d-----w- c:\docs and sets\All Users\Application Data\moosoft

2011-02-12 16:20 . 2011-02-12 16:20 -------- d-----w- c:\docs and sets\AnneGel\Application Data\thecleaner

2011-02-11 22:01 . 2011-02-14 19:47 -------- d-----w- c:\docs and sets\AnneGel\Application Data\QuickScan

2011-02-11 17:35 . 2011-02-11 17:35 -------- d--h--w- c:\windows\PIF

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-04 19:11 . 2009-04-16 11:57 2672 -csha-w- c:\docs and sets\All Users\Application Data\KGyGaAvL.sys

2011-01-29 03:43 . 2011-01-29 03:43 1409 ----a-w- c:\windows\QTFont.for

2010-12-20 17:09 . 2009-03-07 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2009-03-07 23:41 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys

.

.

------- Sigcheck -------

.

[-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

.

[-] 2004-08-23 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe

.

[-] 2008-04-23 . 2FA055D9A0AB73CC91912646FDF9C5EB . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((( SnapShot@2011-02-20_17.07.49 )))))))))))))))))))))))))))))))))))))))))

.

- 2001-08-24 16:00 . 2010-11-11 11:38 82156 c:\windows\system32\perfc00C.dat

+ 2001-08-24 16:00 . 2011-03-03 16:28 82156 c:\windows\system32\perfc00C.dat

- 2001-08-24 16:00 . 2010-11-11 11:38 68856 c:\windows\system32\perfc009.dat

+ 2001-08-24 16:00 . 2011-03-03 16:28 68856 c:\windows\system32\perfc009.dat

+ 2011-03-05 21:39 . 2011-03-05 21:39 99840 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\rdphiapq.exe

+ 2001-08-24 16:00 . 2011-03-03 16:28 503822 c:\windows\system32\perfh00C.dat

- 2001-08-24 16:00 . 2010-11-11 11:38 503822 c:\windows\system32\perfh00C.dat

- 2001-08-24 16:00 . 2010-11-11 11:38 435374 c:\windows\system32\perfh009.dat

+ 2001-08-24 16:00 . 2011-03-03 16:28 435374 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartupFaster"="d:\progs\Startup Faster\startuploader.exe" [2009-10-25 1455376]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2007-08-13 123904]

.

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

rdphiapq.exe [2011-3-5 99840]

.

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

rdphiapq.exe [2011-3-5 99840]

.

c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\StartupFaster

setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208]

StartupFaster.ini [2011-3-4 353]

.

c:\docs and sets\All Users\Menu D‚marrer\Programmes\D‚marrage\StartupFaster

Bluetooth Manager.lnk - c:\programmes\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [N/A]

StartupFaster.ini [2011-3-4 296]

.

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

rdphiapq.exe [2011-3-5 99840]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"StartMenuLogoff"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\programmes\jwxuxaga\rdphiapq.exe,"

"Taskman"=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]

2006-07-20 23:15 1848218 ------w- d:\progs\Acronis True Image\TimounterMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agentantidote.exe]

2010-06-29 18:22 806080 ------w- d:\progs\Antidote\Programmes32\agentantidote.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon]

2010-11-05 22:54 283160 -c----w- c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler]

2009-06-22 23:29 83232 -c----w- d:\progs\Word Perfect\WordPerfect Office X4\Programs\QFSCHD140.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2011-02-19 21:54 201051 -c----w- d:\progs\Le Visuel\qttask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-02-18 09:43 248040 -c----w- c:\programmes\Fichiers communs\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]

2006-07-20 23:12 1106531 ------w- d:\progs\Acronis True Image\TrueImageMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ultralingua 7 Hotkey]

2009-11-04 12:07 1483264 ----a-w- d:\progs\Ultralingua\ULHotkey.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"AcrSch2Svc"=2 (0x2)

"AVKWCtl"=2 (0x2)

"AVKService"=2 (0x2)

"AVKProxy"=2 (0x2)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:2\\Vmware\\vmware-authd.exe"=

"d:\\Progs\\Vlc\\vlc.exe"=

"d:\\Progs\\Emule\\emule.exe"=

"d:\\Progs\\Opera\\opera.exe"=

"d:\\Progs\\µTorrent\\µTorrent.exe"=

"c:\\Programmes\\NetMeeting\\conf.exe"=

.

R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392]

R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/03/2009 12:37 717296]

R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016]

R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016]

R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [11/11/2010 12:50 704384]

R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408]

R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programmes\Avira\AntiVir Desktop\sched.exe [13/02/2011 02:47 135336]

R2 MBAMService;MBAMService;c:\programmes\Malwarebytes\mbamservice.exe [08/03/2009 00:41 363344]

R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26/03/2009 22:05 54960]

R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [11/11/2010 12:49 31128]

R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [11/11/2010 12:50 257432]

R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [07/03/2009 23:31 5632]

R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [07/03/2009 23:31 4864]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/03/2009 00:41 20952]

R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [26/01/2010 23:31 17792]

S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys --> c:\windows\system32\drivers\GDBehave.sys [?]

S1 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys --> c:\windows\system32\drivers\MiniIcpt.sys [?]

S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [04/11/2010 18:19 13336]

S2 OS Selector;Acronis OS Selector activator;d:\progs\Acronis Disk Director\OSS\reinstall_svc.exe [25/05/2010 18:53 2139400]

S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [13/03/2009 14:03 6016]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [07/03/2009 23:20 1684736]

S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [15/02/2011 18:23 38600]

S3 I97DRIVER;I97DRIVER;\??\d:\progs\Fix-It\dgs.sys --> d:\progs\Fix-It\dgs.sys [?]

S3 PORTMON;PORTMON;\??\d:\progs\Sysinternals Suite\PORTMSYS.SYS --> d:\progs\Sysinternals Suite\PORTMSYS.SYS [?]

S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26/11/2009 00:06 34384]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\progs\Tune Up Utilities\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064]

S4 AVKService;G Data Scheduler;c:\programmes\GData\AVK\AVKService.exe --> c:\programmes\GData\AVK\AVKService.exe [?]

S4 AVKWCtl;G Data Gardien;c:\programmes\GData\AVK\AVKWCtl.exe --> c:\programmes\GData\AVK\AVKWCtl.exe [?]

S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\progs\Tune Up Utilities\TuneUpUtilitiesService32.exe [30/09/2010 16:15 1051968]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

.

2011-02-15 c:\windows\Tasks\SyncBack Synchro Bureau 2.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

2011-02-09 c:\windows\Tasks\SyncBack Synchro Bureau.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

2011-01-31 c:\windows\Tasks\SyncBack Synchro config.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

2011-01-31 c:\windows\Tasks\SyncBack Synchro docs.job

- d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Add to &Evernote - d:\progs\Evernote\enbar.dll/2000

IE: Ouvrir dans WordPerfect - d:\progs\Word Perfect\WordPerfect Office X4\Programs\WPLauncher.hta

FF - ProfilePath - c:\docs and sets\AnneGel\Application Data\Mozilla\Firefox\Profiles\5jf06vqf.default\

FF - prefs.js: browser.startup.homepage - www.google.fr

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\progs\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmes\Java\lib\deploy\jqs\ff

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-03-05 22:39

Windows 5.1.2600 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'explorer.exe'(2144)

c:\windows\system32\msi.dll

d:\progs\Unlocker\UnlockerCOM.dll

c:\programmes\Avira\AntiVir Desktop\shlext.dll

c:\programmes\Malwarebytes\mbamext.dll

c:\windows\system32\browselc.dll

c:\windows\system32\ZiepodOneClicker.dll

c:\windows\system32\shdoclc.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\programmes\Avira\AntiVir Desktop\avgnt.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\system32\igfxpers.exe

c:\programmes\Avira\AntiVir Desktop\avguard.exe

c:\programmes\Internet Explorer\iexplore.exe

c:\windows\system32\hkcmd.exe

c:\programmes\Synaptics\SynTP\SynTPEnh.exe

c:\progra~1\Outpost\op_mon.exe

c:\programmes\Fichiers communs\Protexis\License Service\PsiService_2.exe

c:\programmes\Avira\AntiVir Desktop\avshadow.exe

d:\progs\Alcohol\StarWind\StarWindServiceAE.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2011-03-05 22:41:47 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-03-05 21:41

ComboFix2.txt 2011-03-05 19:27

ComboFix3.txt 2011-03-03 15:31

ComboFix4.txt 2011-02-20 18:16

ComboFix5.txt 2011-03-05 21:32

.

Avant-CF: 1 304 322 048 octets libres

Après-CF: 1 141 452 800 octets libres

.

- - End Of File - - 3175A1FE80F8B2CEECC8A074AB98824D

 

 

PS : J'avais deja la console de recuperation d'installer mais ComboFix me dit sans arret qu'elle ne s'y trouve pas... Quant aux deux derniere manip que tu m'as fait faire, il est normal que le virus se regenere encore puisqu'on est toujours pas remonte a la source de sa regeneration... Pour VRT : merde.

 

PS2 : Tu n'as pas tenu compte de l'affiliation du virus avec le processus iexplorer.exe que je t'avais signale...

Modifié par LadyHunter
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut LH :)

 

Pour VRT : je ne comprends pas ta réaction. Tu peux m'expliquer pourquoi il t'est si important en ce moment ? J'aimerais réellement savoir...

 

Pour iexplore.exe : tu sais qu'il s'agit de l'exécutable d'Internet Explorer. Ce que tu ne peux pas savoir c'est que plusieurs infections l'utilisent, alors oui, il est sûrement impliqué dans ton cas. Mais il est acteur d'arrière-plan. Il subit, si tu veux.

 

La Console : ComboFix ne voit pas clair, vu l'état de ton XP et de ses fichiers modifiés.

 

La source ? Elle est masquée ou protégée. Sur un système modifié, ça devient pénible à diagnostiquer, mais ça... tu préfères détourner le regard et blâmer je ne sais trop qui ou quoi. Et que dire des modules incrustés de VRT.

 

J'ai pas dis mon dernier mot. Suis attentivement les instructions ci-bas :

 

Télécharge TDSSKiller.zip (par Kaspersky) du lien suivant et sauvegarde-le sur ton Bureau :

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Extrait le contenu du fichier .zip sur ton Bureau.

 

Ensuite, ouvre le dossier TDSSKiller et double-clique sur TDSSKiller.exe

Clique maintenant sur "Start Scan"

 

 

> Si un fichier infecté est détecté, l'action par défaut suggérée sera "Cure" ; clique sur "Continue"

 

> Si un fichier douteux ("Suspicious") est détecté, l'action par défaut suggérée sera "Skip" ; clique sur "Continue"

** Il faut absolument laisser l'action "Skip" si un fichier douteux (et non infecté) est détecté **

 

> Un redémarrage sera demandé si nécessaire, alors clique sur "Reboot now"

 

> Si le redémarrage n'est pas effectué, clique sur "Report" et le rapport s'affichera à l'écran ; copie/colle son contenu ici, s'il te plait.

> S'il y a redémarrage, le rapport sera alors sauvegardé à la racine de ton lecteur système (souvent le C:\) et il aura un nom sous la forme suivante :

"TDSSKiller.[Version]_[Date]_[Heure]_log.txt"

> Copie/colle le contenu de ce fichier ici, dans ta réponse.

 

Ah oui et dis-moi : quels signes et/ou symptômes d'infection observes-tu sur la bécane ?

 

@+

 

Mark

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

C'est justement mon propos de dire qu'IE est contamine par une infection... Ce n'est pas normal que son processus se lance a chaque demarrage alors qu'en plus, je ne l'utilise meme pas comme navigateur.

 

tu préfères détourner le regard et blâmer je ne sais trop qui ou quoi.

 

J'aimerais bien savoir ou on trouve ca dans mes propos...

 

TDSSKiller.exe... ton collegue Apollo me l'a deja fait utiliser, ce qui etait depourvu de pertinence puisque l'infection dont s'occupe ce logiciel n'est pas celle qui m'a contamine.

 

On stagne encore et encore... De plus, tu te preoccupes toujours des consequences sans te soucier de la cause ! On tourne en circuit ferme. Et par dessus le marche, tu n'as meme pas ete lire ce qu'on a fait avec ton collegue. Du grand art...

 

PS : Vous suivez tous des procedures standards sans vous poser de questions lorsque vous etes face a quelqu'un qui a une infection. Mais il existe plusieurs types de virus dont chaque routine est differente. Au lieu de faire du cas par cas en tentant de comprendre la logique du virus pour trouver la bonne marche a suivre, vous utilisez des pre-procedures standards, ce qui est totalement stupide. Et la preuve en est... au final, l'utilisateur finit dans la majorite des cas par formater. Et dans mon propre cas, on tourne dans le vide.

 

PS2 : Sans oublier qu'on ne m'a pose strictement aucunes questions quelles qu'elles soient afin de tenter de cibler le probleme cause, pourtant il me semble que pour etablir un diagnostic, la toute premiere etape est d'en identifier les symptomes pour savoir dans quelle direction aller... Et la, c'est tout azimut... Il n'y a acuune methologie structuree dans vos demarches. Pas de questions sur mon systeme, pas de questions sur mon utilisation de celui-ci, absences d'explications pour certaines demarches qu'on m'a fait faire, et absence aussi d'explications d'actions des logiciels qu'on m'a fait installer comme la console de recuperation, par exemple. Pour cette derniere, il m'a juste ete dit, comme son nom l'indique, que ca allait m'installer un module de redemarrage en cas de privation d'acces a mon systeme. Ouais, d'accord, et l'imposition du centre de securite dont j'avais desactive le service qui se reactive a chaque demarrage malgre ma desactivation ?!... Merci pour l'information complete, j'ai l'impression de regarder le JT.

Modifié par LadyHunter
Mark Godlike Member

Mark

Posté(e)
Posté(e)

:mdr:

 

Là je comprends mieux. Je croyais que tu étais têtue et mal informée, mais c'est tout autre chose hein.

 

C'était sans issue depuis le début et moi j'ai marché. Bah remarque que j'étais consentant et curieux, surtout, alors pas de regrets de mon côté.

 

Je vais tout de même faire mon petit speech de fermeture, pour la forme ;) :

 

- On t'a accordé le privilège de tenter le nettoyage sur un système illégal. Une seule fois. Voilà qui est fait.

- L'utilisation de cracks n'est pas supportée ici et c'est ce qui a pourri ton système, selon les... apparences.

- Ce sujet est maintenant fermé.

 

=====

 

J'ai l'impression qu'on s'est déjà croisé quelque part...

 

Ah oui, je vais te proposer une toute dernière manip que tu pourras exécuter toute seule, comme une grande : passe un 'tit coup de VRT. Il te virera peut-être le ver que tu crois avoir vu ramper l'autre jour ;)

 

Bonne route !.. et surtout, bon surf avec ton nouveau système.

 

@+ (ou non)

 

Mark

  • Upvote 1
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...