Gomeo et compagnie

[Apollo]

Bonjour,

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

 

@++

[Nadya]

Bonjour,

 

Merci pour ton aide , voici le rapport de Combofix

 

ComboFix 11-09-08.03 - nadia 08/09/2011 23:53:24.1.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2039.1649 [GMT 0:00]

Lancé depuis: c:\documents and settings\nadia\Bureau\plop.exe

* Un nouveau point de restauration a été créé

.

Les fichiers ci-dessous ont été désactivés pendant l'exécution:

c:\documents and settings\tazebama.dll

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings.\hook.dl_

c:\documents and settings.\tazebama.dl_

c:\documents and settings.\tazebama.dll

c:\documents and settings\hook.dl_

c:\documents and settings\MyDocuments\Readme.doc .exe

c:\documents and settings\nadia\Application Data\tazebama

c:\documents and settings\nadia\Application Data\tazebama\tazebama.log

c:\documents and settings\nadia\Application Data\tazebama\zPharaoh.dat

c:\documents and settings\tazebama.dl_

c:\documents and settings\tazebama.dll

c:\documents and settings\tazebama.dll.vir

c:\program files\Mozilla Firefox\components\npclntax.xpt

c:\windows\$NtUninstallKB52467$

c:\windows\$NtUninstallKB52467$\3394566488\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

c:\windows\$NtUninstallKB52467$\3394566488\click.tlb

c:\windows\$NtUninstallKB52467$\3394566488\L\jioagjia

c:\windows\$NtUninstallKB52467$\3394566488\loader.tlb

c:\windows\$NtUninstallKB52467$\3394566488\U\$00000001

c:\windows\$NtUninstallKB52467$\3394566488\U\$000000c0

c:\windows\$NtUninstallKB52467$\3394566488\U\$000000cb

c:\windows\$NtUninstallKB52467$\3394566488\U\$000000cf

c:\windows\$NtUninstallKB52467$\3394566488\U\$80000000

c:\windows\$NtUninstallKB52467$\3394566488\U\$800000c0

c:\windows\$NtUninstallKB52467$\3394566488\U\@00000001

c:\windows\$NtUninstallKB52467$\3394566488\U\@000000c0

c:\windows\$NtUninstallKB52467$\3394566488\U\@000000cb

c:\windows\$NtUninstallKB52467$\3394566488\U\@000000cf

c:\windows\$NtUninstallKB52467$\3394566488\U\@80000000

c:\windows\$NtUninstallKB52467$\3394566488\U\@800000c0

c:\windows\$NtUninstallKB52467$\3394566488\U\@800000cb

c:\windows\$NtUninstallKB52467$\3394566488\U\@800000cf

c:\windows\$NtUninstallKB52467$\751576506

c:\windows\btc_client_iplist.txt

c:\windows\ehome\medctrro.exe

c:\windows\front_ip_list.txt

c:\windows\geoiplist

c:\windows\geoiplist.rar

c:\windows\iecheck_iplist.txt

c:\windows\info1

c:\windows\iplist.txt

c:\windows\l1rezerv.exe

c:\windows\loader2.exe_ok

c:\windows\ndl.dl

c:\windows\phoenix

c:\windows\phoenix.rar

c:\windows\phoenix\kernels\phatk\__init__.py

c:\windows\phoenix\kernels\phatk\__init__.pyc

c:\windows\phoenix\kernels\phatk\BFIPatcher.py

c:\windows\phoenix\kernels\phatk\kernel.cl

c:\windows\phoenix\kernels\poclbm\__init__.py

c:\windows\phoenix\kernels\poclbm\__init__.pyc

c:\windows\phoenix\kernels\poclbm\BFIPatcher.py

c:\windows\phoenix\kernels\poclbm\kernel.cl

c:\windows\phoenix\phoenix.exe

c:\windows\proc_list1.log

c:\windows\rpcminer

c:\windows\rpcminer.rar

c:\windows\rpcminer\bitcoinminercuda_10.cubin

c:\windows\rpcminer\bitcoinminercuda_11.cubin

c:\windows\rpcminer\bitcoinminercuda_20.cubin

c:\windows\rpcminer\bitcoinmineropencl.cl

c:\windows\rpcminer\cudart32_32_16.dll

c:\windows\rpcminer\curllib.dll

c:\windows\rpcminer\libeay32.dll

c:\windows\rpcminer\libsasl.dll

c:\windows\rpcminer\openldap.dll

c:\windows\rpcminer\rpcminer-4way.exe

c:\windows\rpcminer\rpcminer-cpu.exe

c:\windows\rpcminer\rpcminer-cuda.exe

c:\windows\rpcminer\rpcminer-opencl.exe

c:\windows\rpcminer\ssleay32.dll

c:\windows\sysdriver32.exe

c:\windows\sysdriver32_.exe

c:\windows\system32\c_53255.nls

c:\windows\system32\drivers\etc\HSTS~1

c:\windows\systemup.exe

c:\windows\ufa.rar

c:\windows\update.1

c:\windows\update.1\svchost.exe

c:\windows\update.2

c:\windows\update.2\svchost.exe

c:\windows\update.5.0

c:\windows\update.5.0\svchost.exe

c:\windows\update.7.1

c:\windows\update.7.1\svchostdriver.exe

c:\windows\wibrf.jpg

c:\windows\wiybr.png

C:\zPharaoh.exe

D:\zPharaoh.exe

c:\documents and settings.\hook.dl_ . . . . impossible à supprimer

c:\documents and settings.\tazebama.dl_ . . . . impossible à supprimer

c:\documents and settings.\tazebama.dll . . . . impossible à supprimer

.

Une copie infectée de c:\windows\system32\drivers\mrxsmb.sys a été trouvée et désinfectée

Copie restaurée à partir de - The cat found it

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\explorer.exe

.

Une copie infectée de c:\windows\pchealth\helpctr\binaries\helpctr.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\helpctr.exe

.

Une copie infectée de c:\windows\system32\charmap.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\charmap.exe

.

Une copie infectée de c:\windows\system32\cmd.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\cmd.exe

.

Une copie infectée de c:\windows\system32\freecell.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\freecell.exe

.

Une copie infectée de c:\windows\system32\magnify.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\magnify.exe

.

Une copie infectée de c:\windows\system32\mobsync.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mobsync.exe

.

Une copie infectée de c:\windows\system32\mshearts.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mshearts.exe

.

Une copie infectée de c:\windows\system32\mspaint.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mspaint.exe

.

Une copie infectée de c:\windows\system32\mstsc.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mstsc.exe

.

Une copie infectée de c:\windows\system32\notepad.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\notepad.exe

.

Une copie infectée de c:\windows\system32\ntbackup.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\ntbackup.exe

.

Une copie infectée de c:\windows\system32\odbcad32.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\odbcad32.exe

.

Une copie infectée de c:\windows\system32\osk.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\osk.exe

.

Une copie infectée de c:\windows\system32\sndrec32.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\sndrec32.exe

.

Une copie infectée de c:\windows\system32\sndvol32.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\sndvol32.exe

.

Une copie infectée de c:\windows\system32\sol.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\sol.exe

.

Une copie infectée de c:\windows\system32\spider.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\spider.exe

.

Une copie infectée de c:\windows\system32\winmine.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\winmine.exe

.

Une copie infectée de c:\windows\system32\Restore\rstrui.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\rstrui.exe

.

c:\windows\system32\agrsmsvc.exe . . . est infecté!!

c:\windows\system32\agrsmsvc.exe . . . was deleted!! You should re-install the program it pertains to

.

c:\program files\Microsoft\BingBar\SeaPort.EXE . . . est infecté!!

c:\program files\Microsoft\BingBar\SeaPort.EXE . . . was deleted!! You should re-install the program it pertains to

.

c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe . . . est infecté!!

c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe . . . was deleted!! You should re-install the program it pertains to

.

c:\program files\Diskeeper Corporation\Diskeeper\DkService.exe . . . est infecté!!

c:\program files\Diskeeper Corporation\Diskeeper\DkService.exe . . . was deleted!! You should re-install the program it pertains to

.

c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe . . . est infecté!!

c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe . . . was deleted!! You should re-install the program it pertains to

.

c:\program files\Java\jre6\bin\jqs.exe . . . est infecté!!

c:\program files\Java\jre6\bin\jqs.exe . . . was deleted!! You should re-install the program it pertains to

.

c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe . . . est infecté!!

c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe . . . was deleted!! You should re-install the program it pertains to

.

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_DDSERVICE

-------\Legacy_SRVBTCCLIENT

-------\Legacy_SRVIECHECK

-------\Legacy_SRVSYSDRIVER32

-------\Service_ca54f958

-------\Service_ddservice

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-08-09 au 2011-09-09 ))))))))))))))))))))))))))))))))))))

.

.

2011-09-09 00:02 . 2011-09-09 00:03 168233 --sh--r- C:\zPharaoh.exe

2011-09-09 00:02 . 2011-09-09 00:03 32768 ----a-w- c:\documents and settings\tazebama.dll

2011-09-09 00:02 . 2011-09-09 00:03 168063 ----a-w- c:\documents and settings\tazebama.dl_

2011-09-09 00:02 . 2011-09-09 00:03 168063 ----a-w- c:\documents and settings\hook.dl_

2011-09-09 00:02 . 2011-09-09 00:02 -------- d-----w- c:\documents and settings\nadia\Application Data\tazebama

2011-09-08 21:38 . 2011-09-05 21:08 456320 -c--a-w- c:\windows\system32\dllcache\mrxsmb.sys

2011-09-08 21:38 . 2011-09-05 21:08 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2011-09-01 22:32 . 2011-09-06 01:50 43408 --sha-w- c:\windows\system32\c_53255.nl_

2011-08-31 23:36 . 2011-09-01 00:16 -------- d-----w- C:\UsbFix

2011-08-31 23:28 . 2011-08-31 23:28 -------- d-----w- c:\documents and settings\nadia\Application Data\Bandoo

2011-08-31 22:58 . 2011-08-31 22:58 -------- d-----w- c:\program files\Ad-Remover

2011-08-31 00:31 . 2011-08-31 00:31 512 ------w- C:\PhysicalDisk0_MBR.bin

2011-08-30 23:56 . 2011-08-30 23:56 -------- d-----w- c:\documents and settings\nadia\Application Data\Malwarebytes

2011-08-30 23:55 . 2011-07-06 19:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-08-30 23:55 . 2011-08-30 23:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-08-30 23:55 . 2011-09-01 22:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-08-30 23:55 . 2011-07-06 19:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-08-30 23:09 . 2011-08-31 00:31 -------- d-----w- c:\program files\samuel

2011-08-30 23:02 . 2011-08-31 00:31 -------- d-----w- C:\ZHP

2011-08-30 23:01 . 2011-09-01 00:14 -------- d-----w- c:\program files\ZHPDiag

2011-08-30 22:41 . 2011-08-30 22:41 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files

2011-08-30 22:39 . 2011-08-30 22:39 16856 ----a-w- c:\program files\Mozilla Firefox\plugin-container.exe

2011-08-30 22:39 . 2011-08-30 22:39 719832 ----a-w- c:\program files\Mozilla Firefox\mozcpp19.dll

2011-08-30 22:23 . 2011-08-30 22:41 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData

2011-08-27 11:06 . 2011-08-27 11:06 -------- d-----w- c:\documents and settings\nadia\Local Settings\Application Data\PCHealth

2011-08-27 11:03 . 2011-08-27 11:03 -------- d-----w- c:\windows\ufa

2011-08-27 09:00 . 2011-08-27 09:00 -------- d-----w- c:\windows\system32\wbem\Repository

2011-08-25 01:00 . 2011-08-25 01:00 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth

2011-08-23 16:04 . 2011-08-27 11:03 246272 ----a-w- c:\windows\unrar.exe

2011-08-23 16:00 . 2011-08-23 16:00 -------- d-----w- c:\windows\av_ico

2011-08-23 15:59 . 2011-08-23 15:59 -------- d--h--w- c:\windows\update.tray-2-0

2011-08-23 15:59 . 2011-08-23 15:59 -------- d--h--w- c:\windows\update.tray-2-0-lnk

2011-08-23 15:49 . 2011-08-23 15:49 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2011-08-22 07:59 . 2011-08-22 07:59 -------- d-----w- c:\documents and settings\All Users\Application Data\boost_interprocess

2011-08-22 07:59 . 2011-08-22 07:59 -------- d-----w- c:\documents and settings\nadia\Application Data\BabylonToolbar

2011-08-18 23:16 . 2011-09-08 21:34 -------- d-----w- c:\documents and settings\nadia\Application Data\goalbit

2011-08-18 20:40 . 2011-08-18 20:40 -------- d-----w- c:\program files\FoxTabVideoConverter

2011-08-18 20:29 . 2011-08-18 20:29 -------- d-----w- c:\documents and settings\nadia\Local Settings\Application Data\Ilivid Player

2011-08-18 20:25 . 2011-08-18 20:25 -------- d-----w- c:\documents and settings\nadia\Local Settings\Application Data\PackageAware

2011-08-18 18:41 . 2011-08-18 18:41 -------- d-----w- c:\program files\InhatchTeam

2011-08-10 04:04 . 2011-06-24 14:10 139656 -c----w- c:\windows\system32\dllcache\rdpwd.sys

2011-08-10 04:04 . 2011-07-08 14:02 10496 -c----w- c:\windows\system32\dllcache\ndistapi.sys

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-09-06 01:49 . 2004-08-03 20:59 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys

2011-09-01 00:16 . 2011-09-01 00:16 76277648 ----a-w- C:\UsbFix_Upload_Me_NADIA-18C96A8A2.zip

2011-07-08 14:02 . 2002-08-30 12:00 10496 ----a-w- c:\windows\system32\drivers\ndistapi.sys

2011-06-24 14:10 . 2009-05-09 17:00 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys

2011-06-20 17:44 . 2004-08-19 14:09 293888 ----a-w- c:\windows\system32\winsrv.dll

1999-04-06 12:27 . 1999-04-06 12:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL

1998-12-09 02:53 . 1998-12-09 02:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL

1998-12-09 02:53 . 1998-12-09 02:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL

1998-12-09 02:53 . 1998-12-09 02:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL

1998-12-09 02:53 . 1998-12-09 02:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL

1998-12-09 02:53 . 1998-12-09 02:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[7] 2008-04-14 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\iexplore.exe

[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\iexplore.exe

[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\iexplore.exe

[7] 2004-08-19 . 385D1644E676C96EB07848ADA63E37FA . 93184 . . [6.00.2900.2180] . . c:\windows\ie8\iexplore.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2011-09-01 235375]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-11-06 888832]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableSecureUIAPaths"= 0 (0x0)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Skype"="c:\program files\Skype\Phone\Skype.exe" /nosplash /minimized

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

"DisableThumbnailCache"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\WINDOWS\\update.tray-2-0\\svchost.exe"=

"c:\\Documents and Settings\\tazebama.dl_"=

"c:\\Program Files\\Fichiers communs\\Adobe\\ARM\\1.0\\AdobeARM.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\CometBird\\CometBird.exe"=

"c:\\Program Files\\ZHPDiag\\ZHPDiag.exe"=

"c:\\Program Files\\samuel\\ZHPDiag.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"11486:TCP"= 11486:TCP:BitComet 11486 TCP

"11486:UDP"= 11486:UDP:BitComet 11486 UDP

"10950:TCP"= 10950:TCP:Inhatch P2P Streaming

"10951:TCP"= 10951:TCP:Inhatch P2P Streaming

"10952:TCP"= 10952:TCP:Inhatch P2P Streaming

"10953:TCP"= 10953:TCP:Inhatch P2P Streaming

"49780:UDP"= 49780:UDP:Inhatch P2P Streaming

.

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06/02/2009 13:23 106208]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [06/02/2009 13:24 93336]

R3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\drivers\RTL8187B.sys [09/05/2009 17:51 338944]

S2 BBUpdate;BBUpdate;"c:\program files\Microsoft\BingBar\SeaPort.EXE" --> c:\program files\Microsoft\BingBar\SeaPort.EXE [?]

S3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [07/07/2011 17:31 195336]

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - BITS

.

Contenu du dossier 'Tâches planifiées'

.

2011-08-26 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-11-10 21:03]

.

.

------- Examen supplémentaire -------

.

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

TCP: DhcpNameServer = 192.168.1.254

FF - ProfilePath - c:\documents and settings\nadia\Application Data\Mozilla\Firefox\Profiles\4q1tcq4f.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=281b76a6000000000000001644a9aebb&tlver=1.4.19.19&affID=17162

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

FF - Ext: Bandoo for Firefox: ffox@bandoo.com - %profile%\extensions\ffox@bandoo.com

FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: BS Player Toolbar: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - %profile%\extensions\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Bandoo for Firefox: ffox@bandoo.com - c:\documents and settings\nadia\Application Data\Mozilla\Firefox\Profiles\4q1tcq4f.default\extensions\ffox@bandoo.com

FF - user.js: yahoo.homepage.dontask - true

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-10 - (no file)

HKLM-Run-wxpdrv - (no file)

HKLM-Run-tray_ico - (no file)

HKLM-Run-tray_ico1 - (no file)

HKLM-Run-tray_ico2 - (no file)

HKLM-Run-tray_ico3 - (no file)

HKLM-Run-tray_ico4 - (no file)

Notify-WgaLogon - (no file)

SafeBoot-00281443.sys

SafeBoot-35582291.sys

SafeBoot-80306687.sys

SafeBoot-99549938.sys

AddRemove-HijackThis - F:\HijackThis.exe

AddRemove-PhotoFiltre - c:\program files\PhotoFiltre\Uninst.exe

AddRemove-QuicktimeAlt_is1 - c:\program files\QuickTime Alternative\unins000.exe

AddRemove-RealAlt_is1 - c:\program files\Real Alternative\unins000.exe

AddRemove-Xvid_is1 - c:\program files\Xvid\unins000.exe

AddRemove-{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E} - c:\windows\System32\Imsmudlg.exe

AddRemove-{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730} - c:\program files\InstallShield Installation Information\{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}\setup.exe

AddRemove-Live Search - c:\documents and settings\nadia\Application Data\Microsoft\Live Search\Suppression-Live-Search.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-09-09 00:02

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'explorer.exe'(3028)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\documents and settings\tazebama.dl_

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2011-09-09 00:07:24 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-09-09 00:07

.

Avant-CF: 60 231 802 880 octets libres

Après-CF: 60 133 203 968 octets libres

.

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=AlwaysOff /fastdetect

.

- - End Of File - - A1718D6A5F69A135D6AA65D1ED0816C2

[Apollo]

Bonsoir,

 

Cette infection est sacrément coriace!

 

Certaines applications devront être réinstallées car ComboFix n'a rien pu faire d'autre que les éliminer.

 

Mais cette vermine de tazebama se régénère.

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

http://oldtimer.geekstogo.com/OTM.exe

 

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  
  c:\documents and settings\tazebama.dl_    
  c:\documents and settings\nadia\Application Data\BabylonToolbar    
  C:\zPharaoh.exe    
  c:\documents and settings.\hook.dl_
  c:\documents and settings.\tazebama.dll 
  
  :Services
  
  :Reg
  
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]
  
  

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Fais une analyse complète sans oublier de brancher les supports usb qui sont très concernés là-dedans avec: Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français

 

Bon courage.

 

@++

[Nadya]

bonjour, apres l utilisation de OTM l ordi a eu du mal a se lancer mais il y est parvenu au bout d une minute et voici donc le rapport OTM

 

All processes killed

Error: Unable to interpret <Go> in the current context!

========== FILES ==========

c:\documents and settings\tazebama.dl_ moved successfully.

c:\documents and settings\nadia\Application Data\BabylonToolbar\BabylonToolbar folder moved successfully.

c:\documents and settings\nadia\Application Data\BabylonToolbar folder moved successfully.

C:\zPharaoh.exe moved successfully.

c:\documents and settings.\hook.dl_ moved successfully.

c:\documents and settings.\tazebama.dll moved successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: MyDocuments

 

User: nadia

->Temp folder emptied: 17 bytes

->Temporary Internet Files folder emptied: 382829 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 92756866 bytes

->Flash cache emptied: 1026 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 2932928 bytes

 

Total Files Cleaned = 92,00 mb

 

 

OTM by OldTimer - Version 3.1.18.0 log created on 09092011_142811

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

[Nadya]

salut voici le rapport compresse avec winrar de kapersky removal

 

kpkviruS2.rar - File Shared from Box.net - Free Online File Storage

[Apollo]

Bonjour,

 

Pfiouu y'avait de la lecture hein!

 

Le VRT a nettoyé quelques trucs,comment va ton pc?

 

Avant de faire d'autres vérifications, on va d'abord faire un peu de nettoyage.

 

Virer ComboFix, on reprendra une copie fraîche si besoin.

 

Désinstalle ComboFix de la manière suivante:

 

Clique sur Démarrer > Exécuter et copie/colle le texte en gras ci-dessous dans la zone de saisie Ouvrir puis cliquer sur OK

 

ComboFix /Uninstall

 

Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\

Vider la corbeille.

 

 

Télécharge DelFix sur ton bureau. DelFix

Lance-le et appuie sur le bouton [Recherche]

Copie tout le conenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

 

------------------------

 

Lance Delfix et appuie sur le bouton [suppression]

Copie tout le contenu du fichier texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Tu peux ensuite relancer DelFix et appuyer sur [Désinstaller] afin de supprimer toute trace de son utilisation.

 

------------------------------------------

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  

http://www.archive-host.com/link/93acd1a4d541511bb4ca13d95d0f342340524a08.exe
 
|MG| ATF Cleaner 3.0.0.2 Download
 
Double-clique ATF-Cleaner.exe afin de lancer le programme.
--> Sous Vista/7: Clic droit/exécuter en temps qu'administrateur.
 
Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-------------------------

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[Nadya]

Salut ah ca oui il y en avait de la lecture... Globalement ca va mieux il n y a plus de redirections intempestives sur internet vers des sites pourris et les desinstallations de programmes fonctionnent mais il reste encore quelques trucs qui clochent par exemple je n arrive pas a installer avg free 2011 je voulais mettre un antivirus et a la fin de l installation j ai un message d erreur msi qui annule l installation.

aussi j ai supprime bsplayer le programme et ca a desinstalle la barre d outil sur firefox mais ce matin cette barre d outil est presente.

Enfin j ai change la page d accueil de firefox en choisissant google quand j ouvre le navigateur pas de probleme mais quand j ouvre un nouvel onglet la page affiche est Babylon Search

bizarre donc.

 

Voici les rapports Delfix

 

# DelFix v8.3 - Rapport créé le 10/09/2011 à 10:23

# Mis à jour le 04/08/11 à 11h par Xplode

# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3

# Nom d'utilisateur : nadia - NADIA-18C96A8A2 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\nadia\Bureau\delfix0.exe

# Option [Recherche]

 

 

~~~~~~ Dossier(s) ~~~~~~

 

Présent : C:\_OTM

Présent : C:\Program Files\Ad-Remover

Présent : C:\Program Files\ZHPDiag

Présent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

 

~~~~~~ Fichier(s) ~~~~~~

 

Présent : C:\PhysicalDisk0_MBR.bin

Présent : C:\TDSSKiller.2.5.18.0_06.09.2011_01.47.52_log.txt

Présent : C:\TDSSKiller.2.5.18.0_06.09.2011_01.50.03_log.txt

Présent : C:\TDSSKiller.2.5.18.0_07.09.2011_19.23.00_log.txt

Présent : C:\TDSSKiller.2.5.18.0_09.09.2011_00.14.10_log.txt

Présent : C:\TDSSKiller.2.5.20.0_09.09.2011_00.15.07_log.txt

Présent : C:\UsbFixrep.txt

Présent : C:\Documents and Settings\nadia\Bureau\catchme.log

Présent : C:\Documents and Settings\nadia\Bureau\HiJackThis.exe

Présent : C:\Documents and Settings\nadia\Bureau\otm rapport 992011 1409.txt

Présent : C:\Documents and Settings\nadia\Bureau\OTM.exe

Présent : C:\Documents and Settings\nadia\Bureau\TDSSKiller.exe

Présent : C:\Documents and Settings\nadia\Bureau\ZHPDiag2.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Présente : HKCU\SOFTWARE\Ad-Remover

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

Clé Présente : HKLM\Software\OldTimer Tools

Clé Présente : HKLM\Software\TrendMicro\Hijackthis

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

Clé Présente : HKLM\SOFTWARE\Swearware

 

~~~~~~ Autre ~~~~~~

 

 

########## EOF - "C:\DelFixSearch.txt" - [1965 octets] ##########

 

 

# DelFix v8.3 - Rapport créé le 10/09/2011 à 10:30

# Mis à jour le 04/08/11 à 11h par Xplode

# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3

# Nom d'utilisateur : nadia - NADIA-18C96A8A2 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\nadia\Bureau\delfix0.exe

# Option [suppression]

 

 

~~~~~~ Dossier(s) ~~~~~~

 

Supprimé : C:\_OTM

Supprimé : C:\Program Files\Ad-Remover

Supprimé : C:\Program Files\ZHPDiag

Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\TDSSKiller.2.5.18.0_06.09.2011_01.47.52_log.txt

Supprimé : C:\TDSSKiller.2.5.18.0_06.09.2011_01.50.03_log.txt

Supprimé : C:\TDSSKiller.2.5.18.0_07.09.2011_19.23.00_log.txt

Supprimé : C:\TDSSKiller.2.5.18.0_09.09.2011_00.14.10_log.txt

Supprimé : C:\TDSSKiller.2.5.20.0_09.09.2011_00.15.07_log.txt

Supprimé : C:\UsbFixrep.txt

Supprimé : C:\Documents and Settings\nadia\Bureau\catchme.log

Supprimé : C:\Documents and Settings\nadia\Bureau\HiJackThis.exe

Supprimé : C:\Documents and Settings\nadia\Bureau\otm rapport 992011 1409.txt

Supprimé : C:\Documents and Settings\nadia\Bureau\OTM.exe

Supprimé : C:\Documents and Settings\nadia\Bureau\TDSSKiller.exe

Supprimé : C:\Documents and Settings\nadia\Bureau\ZHPDiag2.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

Clé Supprimée : HKLM\Software\OldTimer Tools

Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

 

~~~~~~ Autre ~~~~~~

 

-> Prefetch vidé

 

########## EOF - "C:\DelFixSuppr.txt" - [2022 octets] ##########

[Nadya]

Ah oui et je rajoute que Kaspersky remove virus tool s installe a chaque demarrage de l ordinateur en me demandant de lui pointer le fichier 51747660.sys

 

voila pour les anomalies detectees

[Apollo]

AVG se veut pas s'installer? Essaie alors Avast, c'est mieux que rien en attendant mieux. avast! - Télécharger gratuitement le logiciel Antivirus ou le programme Internet Security

 

Vire le VRT car il est constamment mis à jour (bases virales). Quand on veut s'en servir, il faut reprendre une nouvelle copie à chaque fois.

 

Télécharger le Remover

 

Cliquez ici pour télécharger le Remover kavremover.exe.

Enregistrez ce fichier sur votre bureau.

Exécutez le fichier kavremover.exe.

 

 

Patientez le temps de la désinstallation. Une fenêtre s'affiche vous indiquant la suppression terminée.

Cliquez sur OK.

Redémarrez votre pc.

 

~~~~~~~~~~~~~~~~~~~~~

Babylon, c'est un beau casse-pieds aussi grrr.

Vois d'abord s'il n'est pas possible de le virer par ajouter/upprimer des programmes.

 

-----------------

Télécharge AdwCleaner par Xplode: Téléchargements de logiciels - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Recherche et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[R1]

 

@++

[Nadya]

Et voici le rapport zhpdiag sous ce lien

 

ZHPDiag.txt - File Shared from Box.net - Free Online File Storage

 

Merci encore pour ton aide precieuse Bonne journee