[Résolu] Désinfection machine

[borobobo]

Bonjour,

 

Machine supposée infectée depuis 24 heures.

Présence du processus 2221099479:683056251.exe dans le gestionnaire des tâches XP

Antivirus bloqué.

 

Quelle conduite tenir ?

Merci.

Modifié le 7 septembre 2011 par Dylav
As-tu lu les sujets épinglés en haut du forum ? ;o)

[borobobo]

bonjour

le lien pour supprimer les fichiers inutiles ne fonctionne pas

hijacktis n'est pas opérationnel, c'est pourquoi il n'y a pas encore de fichiers hijackthis

comment remédier à celà

et j'avais bien cru lire les notes importantes en tête de forum avant de poster

comment remédier à tout celà

 

merci

[lance_yien]

Bonjour borobobo,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

 

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

---

 

ça sent le ZeroAccess.

 

>>> DDS-Analyse: Télécharger, sur le Bureau l'une de ces copies de DDS (par sUBs):

• DDS.scr.
  
• DDS.com.
  
• DDS.pif.
  

Désactiver les programmes de protection (AV, PF, antispywares...) et double-cliquer sur le fichier DDS (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur"). Répondez par OUI à tout message vous demandant d'autoriser l'exécution de DDS.

Cliquer sur OK dans la fenêtre qui s'ouvre à la fin

 

Deux rapports seront générés (Attach.txt visible dans le 1er plan et DDS.txt dont la fenêtre sera cachée derrière la 1ère) et vous devez sauvegarder:

Dans la fenêtre de Attach.txt (qui est déjà ouvert),

Cliquer sur "Fichier" => "Enregistrer sous..." puis sur "Bureau" à gauche. S'assurer que dans "Nom du fichier" il y a Attach.txt et cliquer sur "Enregistrer" en bas à droite.

Fermer la fenêtre de Attach.txt et procéder de la même façon pour enregistrer DDS.txt.

Ne pas les poster directement ici car souvent trop lourd pour les limites du forum.

Aller sur le site :Ci-Joint

Cliquer sur Parcourir, chercher le fichier "Attach.txt" et cliquer dessus. Cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. Ouvre le Bloc-note et copier /coller cette adresse dedans.

Faire de même pour le fichier "DDS.txt".

Copier/ Coller les 2 adresses dans la prochaine réponse.

[borobobo]

bonjour

 

merci pour la prise en charge du problème

je joins les deux adresses demandées

 

attach.txt

 

© CJoint.com, 2010

 

dds.txt

 

Lien CJoint.com AIhsbosoW8a

[borobobo]

bonjour

 

la copie du lien attach.txt ne s'est pas éffectué correctement

 

je complète l'envoi précédent

 

© CJoint.com, 2010

 

d'avance merci

[borobobo]

bonjour

 

nouvel échec pour la transmission du lien attach.txt

 

je décompose l'adresse manuellement

 

http:

//cjoint.com/

?AIhr6Dzhp56

 

le lien automatique était

© CJoint.com, 2010

 

touutes mes excuses pour ce contretemps

[borobobo]

j'espère que cette fois ci sera la bonne

 

le lien pour dds est le suivant

 

Lien CJoint.com AIhsbosoW8a

 

de facon manuelle :

http://

cjoint.com/

?AIhsbosoW8a

 

merci de votre compréhension

[borobobo]

Une vraie galère

 

voici deux liens qui fonctionnent depuis mon poste de travail

j'espère qu'il n'y aura pas de problème avec la retransmission

 

 

dds

Lien CJoint.com AIhsbosoW8a

 

attach

Lien CJoint.com AIhsF645z4f

 

patience et longueur de temps font plus que ...

[lance_yien]

Quand ça t'arrive une autre fois, édite ton post au lieu d'en faire une dizaine

DDS ne montre rien de méchant.

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• ComboFix© (par sUBs) depuis ici ou ici
• Security Check (par screen317) depuis ici ou ici.

 

>>> ComboFix/Analyse: Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer/cliquer-droit sur ComboFix.exe => "Exécuter en tant qu'administrateur". Suivre les instructions.

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/ coller son contenu dans la prochaine réponse.

 

 

>>> Utiliser SecurityCheck: Fermer toutes les fenêtres et applications ouvertes et double-cliquer/cliquer-droit sur SecurityCheck.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Si un des programmes de sécurité demande la permission d'accéder à Internet depuis "dig.exe", acceptez.

Le Rapport "checkup.txt" s'ouvre à la fin. Copier/ coller son contenu dans la même prochaine réponse.

Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

 

 

Rapports demandés:

• ComboFix.txt
• checkup.txt

Un changement quelconque?

[borobobo]

Bonjour

 

voici les éléments demandéc

 

rapport comboxfix :

 

 

ComboFix 11-09-08.01 - kan 08/09/2011 14:10:35.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.696 [GMT 2:00]

Lancé depuis: c:\documents and settings\kan\Bureau\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

FW: Sunbelt Personal Firewall *Enabled* {F61A549E-9C8A-4859-8BFE-2A4A018BBA4A}

.

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\kan\Application Data\inst.exe

c:\documents and settings\kan\WINDOWS

C:\Documents

c:\windows\$NtUninstallKB19250$

c:\windows\$NtUninstallKB19250$\343439614

c:\windows\$NtUninstallKB19250$\3611911044\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

c:\windows\$NtUninstallKB19250$\3611911044\L\wqryewym

c:\windows\XSxS

F:\install.exe

.

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_EQYQCZL

-------\Legacy_EVBJGGGY

-------\Legacy_fsbl-standalone

-------\Legacy_XQBFBBKOH

-------\Service_EQYQCZL

-------\Service_EVBJGGGY

-------\Service_fsbl-standalone

-------\Service_XQBFBBKOH

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-08-08 au 2011-09-08 ))))))))))))))))))))))))))))))))))))

.

.

2011-09-08 06:31 . 2011-09-08 06:31 -------- d-----w- c:\documents and settings\kan\Application Data\Malwarebytes

2011-09-08 06:31 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-09-08 06:31 . 2011-09-08 06:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-09-08 06:31 . 2011-09-08 06:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-09-08 06:31 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-09-07 18:05 . 2011-09-07 18:07 -------- d-----w- c:\program files\hijacthis

2011-09-07 11:49 . 2011-09-07 11:49 388096 ----a-r- c:\documents and settings\kan\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-09-07 10:49 . 2011-09-07 11:50 -------- d-----w- C:\ZHP

2011-09-07 10:48 . 2011-09-07 11:50 -------- d-----w- c:\program files\ZHPDiag

2011-09-07 09:34 . 2011-09-07 09:34 -------- d-----w- c:\program files\STOPzilla!

2011-09-07 09:34 . 2011-09-07 09:35 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!

2011-09-07 09:34 . 2011-09-07 09:34 -------- d-----w- c:\program files\Fichiers communs\iS3

2011-09-07 07:26 . 2011-09-07 11:49 -------- d-----w- c:\program files\trend micro

2011-09-07 07:26 . 2011-09-07 07:44 -------- d-----w- C:\rsit

2011-09-06 21:20 . 2010-04-27 09:04 169848 ----a-w- C:\PsService.exe

2011-09-06 20:26 . 2011-09-06 20:26 -------- d-----w- c:\program files\Sophos

2011-09-06 20:04 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys

2011-09-06 18:41 . 2009-12-01 08:52 621944 ----a-w- C:\pskill.exe

2011-09-06 18:39 . 2006-12-04 15:53 187184 ----a-w- C:\pssuspend.exe

2011-09-06 18:35 . 2010-04-27 09:04 231288 ----a-w- C:\PsList.exe

2011-09-06 09:45 . 2011-09-06 09:45 -------- d-----w- c:\windows\system32\wbem\Repository

2011-09-06 06:30 . 2011-09-06 09:44 -------- d-----w- c:\program files\MailNavigator(2)

2011-09-02 16:23 . 2011-09-02 16:23 546256 ----a-r- c:\windows\system32\SZComp5.dll

2011-09-02 16:23 . 2011-09-02 16:23 22992 ----a-r- c:\windows\system32\SZIO5.dll

2011-09-02 16:23 . 2011-09-02 16:23 132560 ----a-r- c:\windows\system32\IS3HTUI5.dll

2011-09-02 16:23 . 2011-09-02 16:23 99792 ----a-r- c:\windows\system32\IS3Svc5.dll

2011-09-02 16:23 . 2011-09-02 16:23 67024 ----a-r- c:\windows\system32\IS3Hks5.dll

2011-09-02 16:23 . 2011-09-02 16:23 456144 ----a-r- c:\windows\system32\SZBase5.dll

2011-09-02 16:23 . 2011-09-02 16:23 398800 ----a-r- c:\windows\system32\IS3DBA5.dll

2011-09-02 16:23 . 2011-09-02 16:23 28624 ----a-r- c:\windows\system32\IS3XDat5.dll

2011-09-02 16:23 . 2011-09-02 16:23 99792 ----a-r- c:\windows\system32\IS3Inet5.dll

2011-09-02 16:23 . 2011-09-02 16:23 738768 ----a-r- c:\windows\system32\IS3Base5.dll

2011-09-02 16:23 . 2011-09-02 16:23 390608 ----a-r- c:\windows\system32\IS3UI5.dll

2011-09-02 16:23 . 2011-09-02 16:23 230864 ----a-r- c:\windows\system32\IS3Win325.dll

2011-08-26 12:03 . 2011-09-06 09:45 -------- d-----w- c:\program files\Waste

2011-08-12 13:13 . 2011-08-19 13:53 -------- d-----w- c:\documents and settings\kan\Application Data\Mipony

2011-08-12 13:13 . 2011-08-12 13:13 -------- d-----w- c:\program files\MiPony

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-08-20 10:01 . 2011-05-15 07:34 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-08-25 21:27 . 2011-07-13 16:39 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2002-08-29 . A0EE5C06390357FEE7B7949DBCA156D3 . 165376 . . [5.1.2600.1106] . . c:\windows\system32\appmgmts.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Peer2Me"="c:\program files\Peer2Me\Peer2Me.exe" [2008-01-04 49152]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]

"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14854144]

"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-08-02 7110656]

"USBToolTip"="c:\program files\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]

"SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]

"AdobeCS5ServiceManager"="c:\program files\Fichiers communs\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

.

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2010-8-16 25214]

Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2010-1-5 110592]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2010-1-5 83360]

TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2010-1-5 114688]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Program Files\\opera1053\\opera.exe"=

"c:\\Program Files\\Opera 10.60 Beta\\opera.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"f:\\Program Files\\Pinnacle\\Studio 15\\Programs\\RM.exe"=

"f:\\Program Files\\Pinnacle\\Studio 15\\Programs\\Studio.exe"=

"f:\\Program Files\\Pinnacle\\Studio 15\\Programs\\umi.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4

"139:TCP"= 139:TCP:10.0.0.0/255.0.0.0,127.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:@xpsp2res.dll,-22004

"445:TCP"= 445:TCP:10.0.0.0/255.0.0.0,127.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:@xpsp2res.dll,-22005

"137:UDP"= 137:UDP:10.0.0.0/255.0.0.0,127.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:@xpsp2res.dll,-22001

"138:UDP"= 138:UDP:10.0.0.0/255.0.0.0,127.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:@xpsp2res.dll,-22002

"5910:TCP"= 5910:TCP:vnc5910

.

R0 CLBStor;CyberLink InstantBurn UDF Reader Help Driver;c:\windows\system32\drivers\CLBStor.sys [13/07/2011 11:20 10368]

R0 m5287;m5287;c:\windows\system32\drivers\m5287.sys [05/01/2010 18:46 85888]

R0 szkg5;szkg5;c:\windows\system32\drivers\SZKG.sys [07/12/2009 17:59 61328]

R0 szkgfs;szkgfs;c:\windows\system32\drivers\SZKGFS.sys [12/05/2010 18:01 59280]

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [05/01/2010 18:46 269736]

R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [05/01/2010 18:46 66600]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [05/01/2010 18:23 108289]

R2 CLBUDFR;CyberLink UDF Filesystem;c:\windows\system32\drivers\CLBUDFR.sys [13/07/2011 11:20 180352]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [08/09/2011 08:31 366640]

R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [05/01/2010 18:33 95528]

R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [05/01/2010 18:33 1361192]

R2 supersafer;supersafer;c:\windows\system32\drivers\supersafer.sys [05/01/2010 18:46 354176]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/09/2011 08:31 22712]

R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [05/01/2010 18:46 65576]

S0 is3srv;is3srv;c:\windows\system32\drivers\is3srv.sys [07/12/2009 17:59 61328]

S3 KProcWatch;KProcWatch;\??\c:\windows\system32\drivers\KProcWatch.sys --> c:\windows\system32\drivers\KProcWatch.sys [?]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/09/2011 08:31 41272]

S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\4.tmp --> c:\windows\system32\4.tmp [?]

S3 nk4Seem;nk4Seem;f:\donnees\informatique-bis\log\mail na vigator E\nk4Seem.sys [07/09/2011 00:09 11264]

S3 PD1030VID;Creative WebCam Pro;c:\windows\system32\drivers\p1030vid.sys [10/04/2011 18:58 167673]

S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 13:37 517096]

S3 Usbnic;OTi Network Driver Module;c:\windows\system32\drivers\Usbnic.sys [01/05/2010 16:32 10624]

S4 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [05/01/2010 18:27 135664]

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - INT15.SYS

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Download the &current page with Offline Explorer - file://c:\program files\Offline Explorer Enterprise\Add_AllO.htm

IE: Download using Offline &Explorer - file://c:\program files\Offline Explorer Enterprise\Add_UrlO.htm

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Free YouTube to Mp3 Converter - c:\documents and settings\kan\Application Data\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Télécharger avec Mipony - file://c:\program files\MiPony\Browser\IEContext.htm

TCP: DhcpNameServer = 192.168.1.1

TCP: Interfaces\{6E4E56C8-5A78-4768-A42D-FF9B3392149D}: NameServer = 10.1.1.22

FF - ProfilePath - c:\documents and settings\kan\Application Data\Mozilla\Firefox\Profiles\ut3hy0hp.default\

.

- - - - ORPHELINS SUPPRIMES - - - -

.

URLSearchHooks-{EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)

HKLM-Run-AdobeAAMUpdater-1.0 - c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe

Notify-TPSvc - TPSvc.dll

AddRemove-Active WebCam - c:\program files\Active WebCam\PY_UNINSTAL.EXE SOFTWARE\PySoft\Act_WebCam

AddRemove-HijackThis - f:\donnees\informatique-bis\log\mail na vigator E\HijackThis.exe

AddRemove-InstallShield_{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe

AddRemove-InstallShield_{385979FE-DC4F-4140-8EAD-A59625000D72} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe

AddRemove-MetaProducts Offline Explorer Enterprise - c:\program files\Offline Explorer Enterprise\OE.exe

AddRemove-OUSB Network Install - c:\program files\ousbnic\advdrvins.exe

AddRemove-TweakUI - c:\windows\rundll32.exe

AddRemove-WebCam Sam - c:\progra~1\SURVEY~1\WEBCAM~1\UNWISE.EXE

AddRemove-{15FEDA5F-141C-4127-8D7E-B962D1742728} - c:\program files\Fichiers communs\Adobe\OOBE\PDApp\core\PDApp.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-09-08 14:27

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\4.tmp"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(236)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'explorer.exe'(3124)

c:\windows\system32\msi.dll

c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\Tablet.exe

c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe

c:\windows\system32\wscntfy.exe

c:\windows\RTHDCPL.EXE

.

**************************************************************************

.

Heure de fin: 2011-09-08 14:35:03 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-09-08 12:34

.

Avant-CF: 19 270 619 136 octets libres

Après-CF: 19 270 443 008 octets libres

.

- - End Of File - - 2F90D7C9D130317DD9F9BA105D43FDB4

 

rapport security check up

Results of screen317's Security Check version 0.99.18

Windows XP Service Pack 3

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

AVG Anti-Rootkit Free

Avira AntiVir Personal - Free Antivirus

Sunbelt Personal Firewall

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

Java 6 Update 20

Out of date Java installed!

Adobe Flash Player 10.3.183.5

````````````````````````````````

Process Check:

objlist.exe by Laurent

Malwarebytes' Anti-Malware mbamservice.exe

Malwarebytes' Anti-Malware mbamgui.exe

Avira Antivir avgnt.exe

Sunbelt Software Personal Firewall SbPFLnch.exe

Sunbelt Software Personal Firewall SbPFSvc.exe

Sunbelt Software Personal Firewall SbPFCl.exe

``````````End of Log````````````

 

quoi de neuf :

 

combofix a signalé la présence d'un rootkit : acces zéro

votre pré diagnostic était bon

 

update d'avira antiscan, parait ne pas fonctionner

une partie seulement semble avoir été copiée

la deuxième partie plante déséspèrement

 

 

et avira guard est stoppé

 

voici l'ssentiel de mes observations

 

merci

pour votre suivi