Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Suppression définitive Security Sphere 2012

rlefourbe

Par rlefourbe
dans Analyses et éradication malwares

 Partager

Messages recommandés

rlefourbe Junior Member

rlefourbe

Posté(e)
Posté(e) (modifié)

Bonsoir à tous,

 

je viens vers vous pour un coup de main. j'ai été victime de sphère 2012. j'ai donc flâné sur le web pour essayer de trouver des solutions. j'ai essayé une fois Malwarebytes'anti malware et pendant 5 min j'ai cru que le mal avait été éradiqué.

 

Grosse erreur il est revenu rapidement avec l'impossibilité de lancer ensuite n'importe quel outil pour essayer de lutter contre lui.

 

J'ai donc fini sur votre forum où j'ai suivi scrupuleusement les recommandations de ce topic topic sphère 2012.

 

Alors avant de reprendre ma navigation tranquille sur le net, j'aimerai qu'un membre me guide un peu sur tous ces rapports et me disent si le virus est toujours présent ou non et s'il y a d'autres gros problèmes sur mon ordi d'après les rapports.

 

je copie/colle donc après les 2 rapports : celui de Malware et celui de combofix.

 

Malware

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 8095

 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702

 

06/11/2011 16:44:44

mbam-log-2011-11-06 (16-44-38).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 264014

Temps écoulé: 51 minute(s), 10 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\mA21712MpGjP21712 (Rogue.SecuritySphere) -> Value: mA21712MpGjP21712 -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\documents and settings\all users\application data\ma21712mpgjp21712\ma21712mpgjp21712.exe (Rogue.SecuritySphere) -> No action taken.

c:\documents and settings\propriétaire\local settings\temporary internet files\Content.IE5\26699PMS\info[1].exe (Rogue.SecuritySphere) -> No action taken.

 

 

Rapport combo fixe

 

ComboFix 11-11-06.01 - Propriétaire 06/11/2011 19:21:07.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.510.149 [GMT 1:00]

Lancé depuis: c:\documents and settings\PropriÚtaire\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\TEMP

c:\program files\WindowsMedia-Q828026-x86-FRA.exe

c:\windows\tsoc.log

.

c:\windows\system32\grpconv.exe était absent

Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\grpconv.exe

.

c:\windows\system32\proquota.exe était absent

Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\proquota.exe

.

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_USNJSVC

-------\Service_usnjsvc

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-10-06 au 2011-11-06 ))))))))))))))))))))))))))))))))))))

.

.

2011-11-06 18:36 . 2008-04-14 02:34 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe

2011-11-06 18:36 . 2008-04-14 02:34 50688 ----a-w- c:\windows\system32\proquota.exe

2011-11-06 18:36 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe

2011-11-06 18:36 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe

2011-11-06 14:16 . 2011-11-06 14:17 -------- d-----w- c:\documents and settings\Administrateur

2011-11-06 14:14 . 2011-11-06 14:19 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys

2011-11-06 13:55 . 2011-11-06 15:44 -------- d-----w- c:\documents and settings\All Users\Application Data\mA21712MpGjP21712

2011-11-05 11:25 . 2011-11-06 13:37 -------- d-----w- c:\documents and settings\All Users\Application Data\kI21712KpBkH21712

2011-11-01 20:39 . 2011-11-01 20:39 -------- d-----w- c:\program files\iPod

2011-11-01 20:27 . 2011-11-01 20:27 -------- d-----w- c:\program files\Bonjour

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-09-26 09:41 . 2008-07-29 17:59 614400 ----a-w- c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2003-07-22 16:48 22528 ----a-w- c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2003-07-22 16:48 220160 ----a-w- c:\windows\system32\oleacc.dll

2011-09-09 09:12 . 2003-03-20 14:19 606208 ----a-w- c:\windows\system32\crypt32.dll

2011-09-06 14:10 . 2003-07-22 17:01 1859072 ----a-w- c:\windows\system32\win32k.sys

2011-08-31 16:00 . 2010-11-01 10:34 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-08-30 22:05 . 2011-08-30 22:05 83816 ----a-w- c:\windows\system32\dns-sd.exe

2011-08-30 22:05 . 2011-08-30 22:05 73064 ----a-w- c:\windows\system32\dnssd.dll

2011-08-30 22:05 . 2011-08-30 22:05 50536 ----a-w- c:\windows\system32\jdns_sd.dll

2011-08-30 22:05 . 2011-08-30 22:05 178536 ----a-w- c:\windows\system32\dnssdX.dll

2011-08-22 23:41 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll

2011-08-22 23:41 . 2003-07-22 16:38 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-08-22 23:41 . 2003-07-22 16:37 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-08-22 11:56 . 2004-08-19 22:56 385024 ----a-w- c:\windows\system32\html.iec

2011-08-17 13:49 . 2003-07-22 16:30 138496 ----a-w- c:\windows\system32\drivers\afd.sys

2009-01-05 19:24 . 2008-08-04 20:41 3231826 ----a-w- c:\program files\eMule0.49b-Installer1.exe

2008-05-11 15:07 . 2007-04-30 11:28 59782440 ----a-w- c:\program files\iTunesSetup.exe

2008-05-08 21:24 . 2008-05-08 21:24 7151050 ----a-w- c:\program files\videoraipodconverter_Installer.exe

2008-05-08 21:17 . 2008-05-08 21:03 2249986 ----a-w- c:\program files\Videora_Install.exe

2008-03-30 14:43 . 2009-02-01 19:02 3796020 ----a-w- c:\program files\EVSetup.exe

2007-10-07 09:50 . 2007-10-07 09:50 4959400 ----a-w- c:\program files\BitComet_0.93_setup.exe

2007-06-26 10:24 . 2007-06-26 10:24 17929072 ----a-w- c:\program files\Install_Messenger.exe

2007-05-31 12:43 . 2007-05-31 12:42 22845992 ----a-w- c:\program files\AdbeRdr80_fr_FR.exe

2007-05-31 12:42 . 2007-05-31 12:42 7218088 ----a-w- c:\program files\psa30se_fr_fr.exe

2007-05-10 11:32 . 2007-05-10 11:29 17176744 ----a-w- c:\program files\antivir_workstation_win7u_en_h.exe

2007-05-05 20:22 . 2007-05-05 20:21 15017680 ----a-w- c:\program files\antivir-personal-edition-7_7.00.03.02_anglais.exe

2007-04-30 11:19 . 2007-04-30 11:19 4277864 ----a-w- c:\program files\wz100fev.exe

2007-04-30 11:18 . 2007-04-30 11:18 1127307 ----a-w- c:\program files\wrar362fr.exe

2007-04-30 11:05 . 2007-04-30 11:05 15646004 ----a-w- c:\program files\klcodec289f.exe

2005-07-27 17:43 . 2007-04-30 11:11 2468579 ----a-w- c:\program files\eMulePlus-1.1e.Installer.exe

2000-10-05 16:05 . 2007-04-28 20:28 165888 ----a-w- c:\program files\setup.exe

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]

2010-07-19 16:32 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-06 155648]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-04-06 114688]

"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]

"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Mini\3.2\Apps\apdproxy.exe" [2007-04-27 63720]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-08-08 185632]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-4-30 113664]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\eMule.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\BitComet\\BitComet.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"11525:TCP"= 11525:TCP:BitComet 11525 TCP

"11525:UDP"= 11525:UDP:BitComet 11525 UDP

.

S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]

S3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [26/06/2007 11:14 31872]

S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [06/11/2011 15:14 111872]

.

Contenu du dossier 'Tâches planifiées'

.

2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.araki-jojo.com/

uInternet Connection Wizard,ShellNext = hxxp://www.club-internet.fr/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

TCP: DhcpNameServer = 192.168.1.1

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab

DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

.

- - - - ORPHELINS SUPPRIMES - - - -

.

HKLM-Run-NWEReboot - (no file)

AddRemove-Jewel Quest Mysteries Curse of the Emerald Tear 1.00 - c:\documents and settings\Propriétaire\Mes documents\Jeux\Jewel Quest Mysteries Curse of the Emerald Tear\Uninstall.exe

AddRemove-VIVAGplayer - c:\program files\OXXOGames\VIVAGplayer\\MyInstall.exe

AddRemove-Zuma's Revenge!1.0 - c:\windows\Zuma's Revenge!\uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-06 19:54

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'explorer.exe'(2536)

c:\windows\system32\webcheck.dll

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Canon\CAL\CALMAIN.exe

c:\windows\system32\wscntfy.exe

c:\program files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Heure de fin: 2011-11-06 20:07:03 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-11-06 19:06

.

Avant-CF: 55 407 161 344 octets libres

Après-CF: 58 134 306 816 octets libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

.

- - End Of File - - 2C7CAA7FDE07D06159CB7CA26C011CDA

 

 

s'il faut faire d'autres manipulations, je suis à votre disposition. Mon niveau d'informatique est plutot moyen. il s'agit d'un poste sous windows xp, j'utlise IE (mais je compte passer sous Firefox) et j'ai Antivir comme Antivirus.

 

Merci pour votre aide ;)

Modifié par rlefourbe

jeanmimigab Extrem Member

jeanmimigab

Posté(e)
Posté(e) (modifié)

Salut,

 

> crées un nouveau document texte sur ton bureau

> pour cela clic-droit sur le bureau > Nouveau > document texte > copies et colles le contenu de la citation ci-dessous à l'intérieur

 

KillAll::

 

Folder::

c:\documents and settings\All Users\Application Data\mA21712MpGjP21712

c:\documents and settings\All Users\Application Data\kI21712KpBkH21712

 

FileLook::

c:\program files\setup.exe

c:\windows\system32\proquota.exe

c:\windows\system32\grpconv.exe

 

Respectes à la lettre la procédure d'enregistrement suivante,c'est très important

 

> ensuite cliques sur "fichier" > "enregistrer sous..."

> dans la fenêtre d'enregistrement choisis le bureau comme destination > dans type choisis "tous les fichiers" > et dans nom du fichier tape CFScript.txt > ensuite cliques sur enregistrer et fermes le document texte.

 

> fais un glisser/déposer(clic-gauche enfoncé sur CFScrit.txt et tu fais glisser) de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur cette capture.

 

CFScript.gif

 

> une fenêtre bleue va apparaître >>suis les instructions

> patientes le temps du scan. Le bureau va disparaître à plusieurs reprises,c'est normal!

> ne touches à rien tant que le scan n'est pas terminé

> une fois le scan achevé, un rapport va s'afficher.

> Redémarre impérativement une nouvelle fois ton PC et postes son contenu dans ta prochaine réponse.

> si le rapport ne s'ouvre pas, il se trouve à cet emplacement C:\ComboFix.txt

Modifié par jeanmimigab
rlefourbe Junior Member

rlefourbe

Posté(e)
  • Auteur
Posté(e)

Merci pour ton intervention.

 

j'ai fait ce que tu m'as demandé et voici le rapport :

 

ComboFix 11-11-07.03 - Propriétaire 07/11/2011 19:28:19.2.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.510.260 [GMT 1:00]

Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Propriétaire\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\kI21712KpBkH21712

c:\documents and settings\All Users\Application Data\kI21712KpBkH21712\kI21712KpBkH21712

c:\documents and settings\All Users\Application Data\mA21712MpGjP21712

c:\documents and settings\All Users\Application Data\mA21712MpGjP21712\mA21712MpGjP21712

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-10-07 au 2011-11-07 ))))))))))))))))))))))))))))))))))))

.

.

2011-11-06 20:29 . 2011-11-06 20:29 -------- d-----w- c:\program files\CCleaner

2011-11-06 19:59 . 2011-11-06 19:59 -------- d-----w- c:\documents and settings\Propriétaire\Local Settings\Application Data\Mozilla

2011-11-06 18:36 . 2008-04-14 02:34 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe

2011-11-06 18:36 . 2008-04-14 02:34 50688 ----a-w- c:\windows\system32\proquota.exe

2011-11-06 18:36 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe

2011-11-06 18:36 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe

2011-11-06 14:16 . 2011-11-06 14:17 -------- d-----w- c:\documents and settings\Administrateur

2011-11-01 20:39 . 2011-11-01 20:39 -------- d-----w- c:\program files\iPod

2011-11-01 20:27 . 2011-11-01 20:27 -------- d-----w- c:\program files\Bonjour

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-09-26 09:41 . 2008-07-29 17:59 614400 ----a-w- c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2003-07-22 16:48 22528 ----a-w- c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2003-07-22 16:48 220160 ----a-w- c:\windows\system32\oleacc.dll

2011-09-09 09:12 . 2003-03-20 14:19 606208 ----a-w- c:\windows\system32\crypt32.dll

2011-09-06 14:10 . 2003-07-22 17:01 1859072 ----a-w- c:\windows\system32\win32k.sys

2011-08-31 16:00 . 2010-11-01 10:34 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-08-30 22:05 . 2011-08-30 22:05 83816 ----a-w- c:\windows\system32\dns-sd.exe

2011-08-30 22:05 . 2011-08-30 22:05 73064 ----a-w- c:\windows\system32\dnssd.dll

2011-08-30 22:05 . 2011-08-30 22:05 50536 ----a-w- c:\windows\system32\jdns_sd.dll

2011-08-30 22:05 . 2011-08-30 22:05 178536 ----a-w- c:\windows\system32\dnssdX.dll

2011-08-22 23:41 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll

2011-08-22 23:41 . 2003-07-22 16:38 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-08-22 23:41 . 2003-07-22 16:37 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-08-22 11:56 . 2004-08-19 22:56 385024 ----a-w- c:\windows\system32\html.iec

2011-08-17 13:49 . 2003-07-22 16:30 138496 ----a-w- c:\windows\system32\drivers\afd.sys

2009-01-05 19:24 . 2008-08-04 20:41 3231826 ----a-w- c:\program files\eMule0.49b-Installer1.exe

2008-05-11 15:07 . 2007-04-30 11:28 59782440 ----a-w- c:\program files\iTunesSetup.exe

2008-05-08 21:24 . 2008-05-08 21:24 7151050 ----a-w- c:\program files\videoraipodconverter_Installer.exe

2008-05-08 21:17 . 2008-05-08 21:03 2249986 ----a-w- c:\program files\Videora_Install.exe

2008-03-30 14:43 . 2009-02-01 19:02 3796020 ----a-w- c:\program files\EVSetup.exe

2007-10-07 09:50 . 2007-10-07 09:50 4959400 ----a-w- c:\program files\BitComet_0.93_setup.exe

2007-06-26 10:24 . 2007-06-26 10:24 17929072 ----a-w- c:\program files\Install_Messenger.exe

2007-05-31 12:43 . 2007-05-31 12:42 22845992 ----a-w- c:\program files\AdbeRdr80_fr_FR.exe

2007-05-31 12:42 . 2007-05-31 12:42 7218088 ----a-w- c:\program files\psa30se_fr_fr.exe

2007-05-10 11:32 . 2007-05-10 11:29 17176744 ----a-w- c:\program files\antivir_workstation_win7u_en_h.exe

2007-05-05 20:22 . 2007-05-05 20:21 15017680 ----a-w- c:\program files\antivir-personal-edition-7_7.00.03.02_anglais.exe

2007-04-30 11:19 . 2007-04-30 11:19 4277864 ----a-w- c:\program files\wz100fev.exe

2007-04-30 11:18 . 2007-04-30 11:18 1127307 ----a-w- c:\program files\wrar362fr.exe

2007-04-30 11:05 . 2007-04-30 11:05 15646004 ----a-w- c:\program files\klcodec289f.exe

2005-07-27 17:43 . 2007-04-30 11:11 2468579 ----a-w- c:\program files\eMulePlus-1.1e.Installer.exe

2000-10-05 16:05 . 2007-04-28 20:28 165888 ----a-w- c:\program files\setup.exe

2011-09-29 07:16 . 2011-11-06 19:58 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

--- c:\program files\setup.exe ---

Company: InstallShield Software Corporation

File Description: InstallShield ® Setup Launcher

File Version: 6, 22, 100, 1441

Product Name: InstallShield ®

Copyright: Copyright © 1990-2000 InstallShield Software Corp

Original Filename: Setup.exe

File size: 165888

Created time: 2007-04-28 20:28

Modified time: 2000-10-05 16:05

MD5: AECC6A163878CEEA3EC1BF8CF9FCFF28

SHA1: 7C04C09FBA6411E896B0D8226B29BFCE418B20CF

.

.

--- c:\windows\system32\grpconv.exe ---

Company: Microsoft Corporation

File Description: Convertisseur de groupes de programmes pour Windows

File Version: 5.1.2600.5512 (xpsp.080413-2105)

Product Name: Système d'exploitation Microsoft® Windows®

Copyright: © Microsoft Corporation. Tous droits réservés.

Original Filename: GRPCONV.EXE

File size: 39424

Created time: 2011-11-06 18:36

Modified time: 2008-04-14 02:34

MD5: 48E028730CB5C437352557848B47DF5A

SHA1: FF63AA99550CC78884BE556D5CF159E627E2A13E

.

.

--- c:\windows\system32\proquota.exe ---

Company: Microsoft Corporation

File Description: ProQuota

File Version: 5.1.2600.5512 (xpsp.080413-2113)

Product Name: Système d'exploitation Microsoft® Windows®

Copyright: © Microsoft Corporation. Tous droits réservés.

Original Filename: proquota.exe

File size: 50688

Created time: 2011-11-06 18:36

Modified time: 2008-04-14 02:34

MD5: 745D327179FB3D2AC9B80B91F23DA753

SHA1: 490246314D88CCA165715062A99B8DC0FBA06C12

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]

2010-07-19 16:32 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-06 155648]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-04-06 114688]

"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]

"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

2007-04-27 13:44 63720 ----a-w- c:\program files\Adobe\Photoshop Album Mini\3.2\Apps\apdproxy.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2008-01-11 20:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ANIWZCS2Service]

2005-10-19 16:19 49152 ----a-w- c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

2007-01-19 10:55 5674352 ----a-w- c:\program files\MSN Messenger\msnmsgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 16:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2007-08-08 15:53 185632 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\eMule.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\BitComet\\BitComet.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"11525:TCP"= 11525:TCP:BitComet 11525 TCP

"11525:UDP"= 11525:UDP:BitComet 11525 UDP

.

S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]

S3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [26/06/2007 11:14 31872]

.

Contenu du dossier 'Tâches planifiées'

.

2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.araki-jojo.com/

uInternet Connection Wizard,ShellNext = hxxp://www.club-internet.fr/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

TCP: DhcpNameServer = 192.168.1.1

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab

DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ba2clfll.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.araki-jojo.com/

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-07 19:44

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'explorer.exe'(2336)

c:\windows\system32\webcheck.dll

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Canon\CAL\CALMAIN.exe

c:\program files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Heure de fin: 2011-11-07 19:53:41 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-11-07 18:53

ComboFix2.txt 2011-11-06 19:07

.

Avant-CF: 59 318 374 400 octets libres

Après-CF: 59 299 524 608 octets libres

.

- - End Of File - - C8DC03E9EB5EF273C1DFCA370DCB2A45

jeanmimigab Extrem Member

jeanmimigab

Posté(e)
Posté(e)

hello,

 

Tu n'est plus infecté, désinstalle combofix comme cela...

 

Clique sur "démarrer" >> "exécuter" >> fais un copier coller du texte en rouge combofix /uninstall et valide en cliquant sur "OK"

 

Fais la mise à jour de malwarebyte et fais un nouveau scan rapide...

 

Si quelque chose est trouvé, poste le rapport...

 

Sinon c'est OK :super:

  • Modérateurs
Dylav Devil Member !

Dylav

Posté(e)
  • Modérateurs
Posté(e)

Bonjour rlfourbe,

 

Si tu considères que la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet. Pour ce faire, je te suggère de consulter ce tutoriel de Thorgal

 

@+ ;)

Dylav

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...