Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Win32:Alureon-FZ

arno.

Par arno.
dans Analyses et éradication malwares

 Partager

Messages recommandés

arno. Junior Member

arno.

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

 

Nouvellement inscrit, j'aurais besoin de votre aide pour venir à bout d'un malware qui semble avoir la peau dure : Win32:Alureon-FZ.

 

Résumé des épisodes précédents :

0. Je suis sous windows vista, j'utilise Spybot-SD, le firewall looknstop.

1. J'ai changé d'antivirus, je suis passé de Kaspersky à Avast. Kaspersky me ralentissait l'affichage des pages web, je n'ai jamais trouvé comment changer ça :(

2. En lançant mon premier scan de disque sous Avast, ce dernier détecte une menace (Win32:Alureon-FZ) dans un fichier système (mountmgr.sys, situé dans C:\Windows\winsxs\x86_microsoft-windows-mountpointmanager_31bf3856ad364e35_6.0.6001.18000_none_f29824c60705c394).

3. Avast n'est pas en mesure de "réparer" le fichier, et évidemment hors de question de le mettre en quarantaine puisqu'il s'agit d'un fichier système...

4. Je "balance" le fichier pour un scan en ligne via VirusTotal et Jotti. Seuls GData et Avast "découvrent" l'infection, ce qui est peu, mais déjà pas mal.

5. Dans le doute je maile l'équipe d'Avast pour vérifier que mon fichier est bien un vrai positif et pas un faux posistif. Verdict : c'est un bien un vrai positif :

Hello,
thank you for sending sample, it is not false positive
(at the end of file is digital signature, but the file was patched/infected by Alureon
and the signtaure is not valid).

6. Je commence à écumer les forums et lance MBAM. Qui ne détecte pas la menace...

7. Je commence à envisager d'installer GData (qui lui détecte une menace dans le fichier, cf. étape 4) mais bon ça m'ennuie fortement de changer d'AV tous les 3 jours.

8. Je remaile le monsieur d'avast qui me dit d'éventuellement remplacer le fichier infecté par une copie propre (que je n'ai pas, je viens de vérifier).

9. Je me dis que quand même, ça serait étonnant que ce soit si simple.

10. Et donc me voilà à vous demander de l'aide !

 

Pouvez-vous m'aider à me débarrasser de cette vermine ?

A noter que je n'ai pas noté de comportement "bizarre" de mon ordinateur, malgré la présence du bidule. Mais je préférerai le dégager de mon ordinateur...

Merci !

 

Arnaud.

Modifié par arno.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

arno. Junior Member

arno.

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci pour la réponse.

Je suis en mode sans échec, dans les services je vois qu'Avast est arrêté, de même que bien d'autres services...mais j'ai une pop-up de combofix me disant qu'Avast est actif, et que le lancement de Combofix est alors à mes risques et périls...

Je ne vois rien dans les processus montrant qu'avast est actif. C'est très étrange...

Que faire ?

Merci.

 

Arnaud.

Modifié par arno.
arno. Junior Member

arno.

Posté(e)
  • Auteur
Posté(e)

Lancer Combofix.

 

Merci pour la réponse.

A noter que lors du lancement de combofix, il était écrit dans la fenêtre bleue : "suppression de dossiers : C:\Images"...Le dossier a effectivement été supprimé, mais je ne sais pas du tout ce qu'il y avait dedans...Sur quels critères se base combofix pour supprimer des dossiers ?

 

La log :

 

ComboFix 11-08-02.02 - Arnaud 05/08/2011 18:27:44.2.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1030 [GMT 2:00]

Lancé depuis: d:\túlúchargement\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

FW: Look 'n' Stop Firewall *Disabled* {E26CE775-4C82-5170-9BEE-E4E4E35B4E07}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\Images

c:\windows\TEMP\logishrd\LVPrcInj02.dll

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-07-05 au 2011-08-05 ))))))))))))))))))))))))))))))))))))

.

.

2011-08-05 16:47 . 2011-08-05 16:47 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-08-05 10:07 . 2011-08-05 10:07 -------- d-----w- c:\users\Arnaud\AppData\Local\Programs

2011-08-04 15:37 . 2011-08-04 15:37 388096 ----a-r- c:\users\Arnaud\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-08-04 15:37 . 2011-08-04 15:37 -------- d-----w- c:\program files\Trend Micro

2011-08-02 10:34 . 2011-08-02 10:34 -------- d-----w- c:\program files\Ad-Remover

2011-08-01 16:47 . 2011-08-01 16:47 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Malwarebytes

2011-08-01 16:47 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-08-01 16:47 . 2011-08-01 16:47 -------- d-----w- c:\programdata\Malwarebytes

2011-08-01 16:47 . 2011-08-01 16:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-08-01 16:47 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-08-01 13:35 . 2011-08-01 13:35 82176 ----a-w- c:\windows\system32\drivers\lnsfw1.sys

2011-08-01 13:35 . 2011-08-01 13:35 59488 ----a-w- c:\windows\system32\drivers\lnsfw.sys

2011-08-01 13:35 . 2011-08-01 13:35 36352 ----a-w- c:\windows\system32\fwapi.dll

2011-08-01 13:12 . 2011-05-10 12:03 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-08-01 13:12 . 2011-05-10 11:59 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2011-08-01 13:12 . 2011-05-10 11:59 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-08-01 13:12 . 2011-05-10 12:02 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-08-01 13:12 . 2011-05-10 12:03 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2011-08-01 13:12 . 2011-05-10 11:59 53592 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2011-08-01 13:11 . 2011-05-10 12:10 40112 ----a-w- c:\windows\avastSS.scr

2011-08-01 13:11 . 2011-05-10 12:10 199304 ----a-w- c:\windows\system32\aswBoot.exe

2011-08-01 13:10 . 2011-08-01 13:10 -------- d-----w- c:\programdata\AVAST Software

2011-08-01 13:10 . 2011-08-01 13:10 -------- d-----w- c:\program files\AVAST Software

2011-07-31 11:47 . 2009-08-19 22:50 22872 ----a-r- c:\windows\system32\AdobePDFUI.dll

2011-07-31 11:46 . 2010-09-22 17:47 112056 ----a-w- c:\windows\system32\acaptuser32.dll

2011-07-31 11:44 . 2011-06-07 10:35 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll

2011-07-28 11:47 . 2011-07-28 11:47 -------- d-----w- c:\program files\iPod

2011-07-28 10:55 . 2011-07-28 10:55 -------- d-----w- c:\program files\Apple Software Update

2011-07-24 11:53 . 2008-01-30 15:36 90112 ----a-w- c:\windows\unvise32.exe

2011-07-24 11:46 . 2011-07-24 11:49 -------- d-----w- c:\program files\Pixie

2011-07-24 11:45 . 2011-07-24 11:53 -------- d---a-w- c:\program files\Furnish Pro

2011-07-18 20:19 . 2011-04-20 15:50 49152 ----a-w- c:\windows\system32\csrsrv.dll

2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe

2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll

2011-07-10 14:19 . 2011-07-10 14:19 -------- d-----w- c:\programdata\tmp

2011-07-10 14:19 . 2011-07-10 14:19 -------- d-----w- c:\programdata\hps

2011-07-10 13:54 . 2011-07-10 13:54 -------- d-----w- c:\program files\Fnac

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-07-11 18:15 . 2011-05-24 19:37 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-06-02 13:34 . 2011-07-18 20:19 2043392 ----a-w- c:\windows\system32\win32k.sys

2011-05-23 18:25 . 2011-05-23 18:25 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe

2011-05-23 18:25 . 2011-05-23 18:25 161792 ----a-w- c:\windows\system32\msls31.dll

2011-05-23 18:25 . 2011-05-23 18:25 1126912 ----a-w- c:\windows\system32\wininet.dll

2011-05-23 18:25 . 2011-05-23 18:25 86528 ----a-w- c:\windows\system32\iesysprep.dll

2011-05-23 18:25 . 2011-05-23 18:25 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe

2011-05-23 18:25 . 2011-05-23 18:25 63488 ----a-w- c:\windows\system32\tdc.ocx

2011-05-23 18:25 . 2011-05-23 18:25 48640 ----a-w- c:\windows\system32\mshtmler.dll

2011-05-23 18:25 . 2011-05-23 18:25 367104 ----a-w- c:\windows\system32\html.iec

2011-05-23 18:25 . 2011-05-23 18:25 74752 ----a-w- c:\windows\system32\iesetup.dll

2011-05-23 18:25 . 2011-05-23 18:25 420864 ----a-w- c:\windows\system32\vbscript.dll

2011-05-23 18:25 . 2011-05-23 18:25 23552 ----a-w- c:\windows\system32\licmgr10.dll

2011-05-23 18:25 . 2011-05-23 18:25 152064 ----a-w- c:\windows\system32\wextract.exe

2011-05-23 18:25 . 2011-05-23 18:25 150528 ----a-w- c:\windows\system32\iexpress.exe

2011-05-23 18:25 . 2011-05-23 18:25 1427456 ----a-w- c:\windows\system32\inetcpl.cpl

2011-05-23 18:25 . 2011-05-23 18:25 35840 ----a-w- c:\windows\system32\imgutil.dll

2011-05-23 18:25 . 2011-05-23 18:25 142848 ----a-w- c:\windows\system32\ieUnatt.exe

2011-05-23 18:25 . 2011-05-23 18:25 11776 ----a-w- c:\windows\system32\mshta.exe

2011-05-23 18:25 . 2011-05-23 18:25 110592 ----a-w- c:\windows\system32\IEAdvpack.dll

2011-05-23 18:25 . 2011-05-23 18:25 101888 ----a-w- c:\windows\system32\admparse.dll

2008-06-19 09:16 . 2008-06-19 09:16 118784 ----a-w- c:\program files\mozilla firefox\plugins\MyCamera.dll

2010-08-22 09:04 . 2009-10-04 01:41 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-05-10 12:10 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-12-21 1483264]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2007-02-07 4374528]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]

"Look 'n' Stop"="c:\program files\Look'n Stop\\looknstop.exe" [2011-08-01 593128]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Elements 5.0\apdproxy.exe" [2006-12-22 67752]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"WD Drive Manager"="c:\program files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-07-24 450560]

"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2011-06-07 40376]

"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2010-09-22 640440]

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]

"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]

"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-22 30192]

"ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-24 135920]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

.

c:\users\Arnaud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

LooknStop.lnk - c:\program files\Look'n Stop\looknstop.exe [2011-8-1 593128]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-11-14 66864]

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-6-2 692224]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"DisableStartupSound"= 1 (0x1)

"DisableStatusMessages"= 1 (0x1)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-545074492-2122667057-105061718-1000]

"EnableNotificationsRef"=dword:00000001

.

R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [x]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [x]

R3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i-MCE;c:\windows\system32\DRIVERS\3xHybrid.sys [2006-11-22 1121536]

R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-08-22 30192]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712]

R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-12-20 217600]

R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2008-07-10 11520]

R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

R4 lnssvcVista;Look 'n' Stop Service;c:\program files\Look'n Stop\LnsSvcVista.exe [2011-08-01 26168]

R4 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2007-11-10 685816]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S1 lnsfw1;lnsfw1;c:\windows\system32\drivers\lnsfw1.sys [2011-08-01 82176]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-05-10 53592]

S2 G6FTPServer;Gene6 FTP Server;c:\program files\Gene6 FTP Server\G6FTPSERVER.EXE [2007-10-22 470016]

S2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\program files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [2008-07-24 102400]

S3 Ph3xIB32;Philips 713x Inbox PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB32.sys [2007-04-03 1131136]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

.

Contenu du dossier 'Tâches planifiées'

.

2011-08-05 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-12-26 21:47]

.

2011-08-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-545074492-2122667057-105061718-1000Core.job

- c:\users\Arnaud\AppData\Local\Google\Update\GoogleUpdate.exe [2008-09-06 18:23]

.

2011-08-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-545074492-2122667057-105061718-1000UA.job

- c:\users\Arnaud\AppData\Local\Google\Update\GoogleUpdate.exe [2008-09-06 18:23]

.

.

------- Examen supplémentaire -------

.

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

LSP: c:\windows\system32\wpclsp.dll

TCP: DhcpNameServer = 192.168.1.1

TCP: Interfaces\{48AF3141-5799-4D87-920F-77EE844DDC97}: NameServer = 82.226.18.147

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20091120180921

DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab

FF - ProfilePath - c:\users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\7pu4fdn1.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: British English Dictionary: en-GB@dictionaries.addons.mozilla.org - %profile%\extensions\en-GB@dictionaries.addons.mozilla.org

FF - Ext: Dictionnaire français «Classique»: fr-FR@dictionaries.addons.mozilla.org - %profile%\extensions\fr-FR@dictionaries.addons.mozilla.org

FF - Ext: Gmail Manager: {582195F5-92E7-40a0-A127-DB71295901D7} - %profile%\extensions\{582195F5-92E7-40a0-A127-DB71295901D7}

FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}

FF - Ext: DownThemAll!: {DDC359D1-844A-42a7-9AA1-88A850A938A8} - %profile%\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}

FF - Ext: FoxClocks: {d37dc5d0-431d-44e5-8c91-49419370caa1} - %profile%\extensions\{d37dc5d0-431d-44e5-8c91-49419370caa1}

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-08-05 18:50

Windows 6.0.6002 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

.

c:\users\Arnaud\AppData\Local\Temp\catchme.dll 53248 bytes executable

.

Scan terminé avec succès

Fichiers cachés: 1

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-545074492-2122667057-105061718-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{430C2DE8-69A0-D4D2-3906-7D6F9F111FC0}*]

"oaollppooehppebchgjeeahhlafaia"=hex:64,61,64,63,6a,70,6c,67,00,f2

"oakoaeedgkafdlpfacbcpkghmhomla"=hex:6b,61,6f,62,68,65,66,68,70,66,62,67,63,64,

6f,6f,63,62,65,6b,6d,6e,00,00

"naeocachbhcfejlmknlejolnhcdi"=hex:6b,61,6f,62,68,65,66,68,70,66,62,67,63,64,

6f,6f,63,62,65,6b,6d,6e,00,00

.

[HKEY_USERS\S-1-5-21-545074492-2122667057-105061718-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{63C79612-069E-8118-957B-9FBEB4090F02}*]

"nandigennccppnehpnbaenlocoik"=hex:69,61,65,6f,61,69,66,68,65,6a,6c,6b,65,6b,

69,64,65,6c,00,00

"oahdcadfgpcpfgcnoapnioglpnlmad"=hex:69,61,67,6f,6b,67,64,6b,62,6c,66,62,62,65,

62,64,61,63,00,00

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'Explorer.exe'(11952)

c:\program files\Logitech\SetPoint\lgscroll.dll

c:\windows\TEMP\logishrd\LVPrcInj01.dll

c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll

c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL

c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_eng.nlr

c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\conime.exe

c:\windows\RtHDVCpl.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program files\Orange\Connexion Internet Orange\Launcher\Launcher.exe

c:\program files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\AVAST Software\Avast\AvastSvc.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

c:\program files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\program files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

c:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

c:\windows\system32\WUDFHost.exe

c:\windows\ehome\ehmsas.exe

c:\windows\ehome\ehsched.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\program files\Windows Media Player\wmplayer.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

c:\program files\Common Files\Logishrd\LQCVFX\COCIManager.exe

c:\windows\ehome\ehRecvr.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

c:\program files\Orange\Connexion Internet Orange\systray\systrayapp.exe

c:\program files\Orange\Connexion Internet Orange\connectivity\connectivitymanager.exe

c:\progra~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

c:\program files\Orange\Connexion Internet Orange\connectivity\CoreCom\CoreCom.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\Orange\Connexion Internet Orange\connectivity\CoreCom\OraConfigRecover.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

.

**************************************************************************

.

Heure de fin: 2011-08-05 19:03:44 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-08-05 17:03

ComboFix2.txt 2011-08-02 10:01

.

Avant-CF: 9 398 697 984 octets libres

Après-CF: 10 825 375 744 octets libres

.

Current=1 Default=1 Failed=0 LastKnownGood=26 Sets=1,2,3,26

- - End Of File - - 87FE149D257BF6531A9C721B7C2123ED

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Il faut savoir que Spybot utilise une technologie dépassée.

Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....

Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.

 

 

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

 

Vaccination Spybot

Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"

cliquez sur "Vaccination" dans la colonne sur la gauche :

Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

 

 

 

 

Désinstaller Spybot

 

 

Télécharger aswMBR.exe sur le bureau

Double clic sur l'icôneaswmbr10.png

110503103344820764.jpg

Puis Scan

aswMBR2.png

 

Le scan fini, cliquer sur "SAVE LOG" et sauvegarder le fichier sur le Bureau,

Copier/Coller le contenu dans la réponse.

 

Un fichier "MBR.dat" apparait sur le Bureau.

Faites clic droit -> Envoyer vers- > "Dossier compressé".

Conserver ce fichier MBR.zip sur clé Usb

 

 

Nettoyage

Relancer aswMBR.exe

Click [scan]

A l'issue du scan

aswMBR3.png

Clic sur [ Fix ] pour TDL4 (MBRoot)

 

aswMBR4.png

Clic sur [FixMBR] pour Whistler

pear Devil Member !

pear

Posté(e)
Posté(e)

Par contre est-on certain que ComboFix ne m'a pas supprimé un dossier "c:\Images" contenant des fichiers persos ?

 

C'est supprimé, et probablement pas sans raisons.

Qu'en pensez-vous ,

arno. Junior Member

arno.

Posté(e)
  • Auteur
Posté(e)

Par contre est-on certain que ComboFix ne m'a pas supprimé un dossier "c:\Images" contenant des fichiers persos ?

 

C'est supprimé, et probablement pas sans raisons.

Qu'en pensez-vous ,

 

Je n'arrive pas à me souvenir ce qu'il y avait dedans...Ce qui est étrange c'est que cette suppression n'apparaît pas dans la log...

pear Devil Member !

pear

Posté(e)
Posté(e)

Mais si0

 

voyez:

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\Images

c:\windows\TEMP\logishrd\LVPrcInj02.dll

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...