Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Malware bloquant Avast, pare-feu, Internet et restauration...

letango

Par letango
dans Analyses et éradication malwares

 Partager

Messages recommandés

letango Junior Member

letango

Posté(e)
  • Auteur
Posté(e)

Les problèmes sont toujours là; antivirus bloqué pour les mails et le web, parefeu bloqué et impossible à activer, restauration du système impossible, connections impossible .(cela après redémarrage du PC également)

 

Impossible de lancer fixit -portable, qui cherche à se connecter au serveur lors de l'installation, donc qui n'y arrive pas.

Lien vers le commentaire
Partager sur d’autres sites

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
     
    consolerestaucf.jpg
     
  • Assure toi que tous les programmes soient fermés avant de commencer.
  • Double-clique ComboFix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

Lien vers le commentaire
Partager sur d’autres sites
letango Junior Member

letango

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok, j'essaie ce soir, merci !Mais si une connexion internet est indispensable pour installer la console, ce ne sera pas possible pour moi...

 

Pour info je pense avoir été infecté en arrivant sur la page d'accueil d'un site (qui fait partie de l'université de Grenoble d'ailleurs !). Aujourd'hui ce site est en maintenance et Google indique à son sujet "Il est possible que ce site ait été piraté".

Modifié par letango
Lien vers le commentaire
Partager sur d’autres sites
letango Junior Member

letango

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

voici le rapport de combofix, mais je n'ai pas pu installer la console :

pas de connexion internet, et installation impossible depuis le CD d'origine et le disque C :cause: " version plus récente de windows sur mon ordinateur"

 

ComboFix 12-12-10.01 - Tanguy 10/12/2012 21:10:33.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1022.652 [GMT 1:00]

Lancé depuis: c:\documents and settings\Tanguy\Bureau\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\ACD Systems\ACDSee\ImageDB.ddf

c:\documents and settings\All Users\Application Data\DirectCDUserNameE.txt

c:\documents and settings\Tanguy\WINDOWS

c:\windows\system\Color

c:\windows\system32\^^^% ^ %^^% ^ ^^%^ %^ %^^%^^ ^%^%% %% ^%^ ^ % %^ % .exe

c:\windows\system32\SET23A.tmp

c:\windows\system32\SET23F.tmp

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\fusion.dll

c:\windows\system32\URTTemp\mscoree.dll

c:\windows\system32\URTTemp\mscoree.dll.local

c:\windows\system32\URTTemp\mscorsn.dll

c:\windows\system32\URTTemp\mscorwks.dll

c:\windows\system32\URTTemp\msvcr71.dll

c:\windows\system32\URTTemp\regtlib.exe

.

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_FAD

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-11-10 au 2012-12-10 ))))))))))))))))))))))))))))))))))))

.

.

2012-12-09 19:43 . 2012-12-09 19:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2012-12-09 19:43 . 2012-09-29 18:54 22856 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-12-08 13:25 . 2012-12-08 13:25 -------- dc----w- c:\documents and settings\Administrateur\Application Data\LavasoftStatistics

2012-12-08 13:24 . 2012-12-08 13:25 -------- dc----w- c:\documents and settings\Administrateur\Application Data\Ad-Aware Antivirus

2012-12-08 13:13 . 2012-12-08 13:13 -------- d-----w- c:\documents and settings\Tanguy\Application Data\LavasoftStatistics

2012-12-08 13:13 . 2012-12-08 13:13 -------- d-----w- c:\documents and settings\Tanguy\Application Data\Ad-Aware Antivirus

2012-12-05 22:29 . 2012-12-08 20:17 -------- d-----w- C:\ZHP

2012-12-05 22:29 . 2012-12-08 20:13 -------- d-----w- c:\program files\ZHPDiag

2012-12-05 18:11 . 2012-12-05 18:11 -------- d-----w- c:\documents and settings\Tanguy\Application Data\Malwarebytes

2012-12-05 18:11 . 2012-12-05 18:11 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-30 22:51 . 2012-01-05 16:48 361032 ----a-w- c:\windows\system32\drivers\aswSP.sys

2012-10-30 22:51 . 2012-01-05 16:48 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2012-10-30 22:51 . 2012-01-05 16:48 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2012-10-30 22:51 . 2012-01-05 16:48 738504 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2012-10-30 22:51 . 2012-01-05 16:48 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2012-10-30 22:51 . 2012-01-05 16:48 89752 ----a-w- c:\windows\system32\drivers\aswmon.sys

2012-10-30 22:51 . 2012-01-05 16:48 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2012-10-30 22:51 . 2012-01-05 16:48 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2012-10-30 22:51 . 2012-01-05 16:48 41224 ----a-w- c:\windows\avastSS.scr

2012-10-30 22:50 . 2012-01-05 16:48 227648 ----a-w- c:\windows\system32\aswBoot.exe

2012-10-22 16:47 . 2012-04-04 16:13 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-10-22 16:47 . 2011-06-05 07:38 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2001-11-30 11:39 . 2007-10-10 10:10 725073 ----a-w- c:\program files\zoombini2.exe

2000-07-27 11:49 . 2000-07-27 11:49 1526275 -c--a-w- c:\program files\instmsiw.exe

2000-07-27 11:49 . 2000-07-27 11:49 1513987 -c--a-w- c:\program files\instmsia.exe

2012-09-08 11:43 . 2012-09-08 11:42 266720 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-10-30 22:50 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-10-19 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-10-19 126976]

"DVDSentry"="c:\windows\System32\DSentry.exe" [2002-08-14 28672]

"AdaptecDirectCD"="c:\program files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-04-10 679936]

"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 19968]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-12-08 421736]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-07-03 252848]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2002-12-14 45056]

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-10-2 169472]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

"4662:TCP"= 4662:TCP:eChamblard Next

"4672:TCP"= 4672:TCP:eChamblard Next

.

R1 aswSP;aswSP;c:\windows\SYSTEM32\DRIVERS\aswSP.sys [05/01/2012 17:48 361032]

R2 aswFsBlk;aswFsBlk;c:\windows\SYSTEM32\DRIVERS\aswFsBlk.sys [05/01/2012 17:48 21256]

R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [09/12/2012 20:43 399432]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [09/12/2012 20:43 676936]

R3 MBAMProtector;MBAMProtector;c:\windows\SYSTEM32\DRIVERS\mbam.sys [09/12/2012 20:43 22856]

S1 aswSnx;aswSnx;c:\windows\SYSTEM32\DRIVERS\aswSnx.sys [05/01/2012 17:48 738504]

S3 phil2vid;Appareil photo VGA USB Philips PCVC690;c:\windows\SYSTEM32\DRIVERS\philcam2.sys [05/09/2004 15:58 173696]

S3 USTOR;Hi-Speed USB 2.0 Mass Storage Device;c:\windows\SYSTEM32\DRIVERS\UStork.sys [26/11/2006 09:32 20258]

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - WS2IFSL

.

Contenu du dossier 'Tâches planifiées'

.

2012-12-10 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 16:47]

.

2012-07-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2012-12-10 c:\windows\Tasks\avast! Emergency Update.job

- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-07-02 22:50]

.

2002-12-19 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job

- c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-30 23:09]

.

2002-12-18 c:\windows\Tasks\Symantec NetDetect.job

- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2002-12-14 11:22]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.ustart.org

mStart Page = hxxp://www.ustart.org

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

uInternet Settings,ProxyOverride = 127.0.0.1;localhost;club-internet.fr;*.club-internet.fr;grolier.fr;*.grolier.fr;*.local

IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: Chercher avec Copernic Agent - c:\program files\Copernic Agent\Web\SearchExt.htm

TCP: DhcpNameServer = 192.168.1.1

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Tanguy\Application Data\Mozilla\Firefox\Profiles\oxn4j1yy.default\

FF - prefs.js: browser.search.selectedEngine - uStart

FF - prefs.js: browser.startup.homepage - hxxp://www.bing.com/

FF - prefs.js: network.proxy.ftp - proxy.free.fr

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.http - proxy.free.fr

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.type - 0

.

- - - - ORPHELINS SUPPRIMES - - - -

.

HKCU-Run-WebCamRT.exe - (no file)

HKCU-Run-MediaGet2 - c:\documents and settings\Tanguy\Local Settings\Application Data\MediaGet2\mediaget.exe

HKCU-Run-RDReminder - c:\program files\Dll-Files.com Fixer\DLLFixer.exe

HKLM-Run-LogitechGalleryRepair - c:\program files\Logitech\Video\ISStart.exe

HKLM-Run-X-Manage - c:\program files\x-manager\x-manager.exe

HKLM-Run-StandardInstall - (no file)

HKU-Default-Run-msnmsgr - c:\program files\MSN Messenger\msnmsgr.exe

Notify-dimsntfy - (no file)

AddRemove-BroadJump Client Foundation - c:\program files\BroadJump\Client Foundation\Uninst.isu

AddRemove-Dll-Files.com Fixer_is1 - c:\program files\Dll-Files.com Fixer\unins000.exe

AddRemove-Grace - c:\program files\Nvidia Corporation\Nvidia Demos\Grace\Uninst.isu

AddRemove-Gruntz Demo - c:\games\GruntzDemo\DeIsL1.isu

AddRemove-ToTSmash - c:\program files\Electrotank\Trick or Treat Smash\uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-12-10 21:27

Windows 5.1.2600 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]

"Name"="ActiveSync"

"DisplayName"="Microsoft ActiveSync"

"Param1"="ActiveSync"

"Type"="wellknown"

"Order"=dword:00000001

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]

"Name"="IESettings"

"Type"="IESettings"

"Order"=dword:00000004

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]

"Name"="MediaFiles"

"Type"="MediaFiles"

"Order"=dword:00000003

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]

"Name"="NPW"

"Param1"="NPW"

"Type"="wellknown"

"Order"=dword:00000002

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]

"Name"="Outlook"

"DisplayName"="Microsoft Outlook"

"Param1"="Outlook"

"Type"="wellknown"

"Order"=dword:00000000

"State"=dword:00000002

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'explorer.exe'(1724)

c:\program files\Logitech\MouseWare\System\LgWndHk.dll

c:\program files\Fichiers communs\Logitech\Scrolling\LgMsgHk.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\AVAST Software\Avast\AvastSvc.exe

c:\program files\Logitech\MouseWare\system\em_exec.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

c:\program files\Java\jre7\bin\jqs.exe

c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe

c:\windows\system32\wscntfy.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\System32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Heure de fin: 2012-12-10 21:30:06 - La machine a redémarré

ComboFix-quarantined-files.txt 2012-12-10 20:29

.

Avant-CF: 13 662 134 272 octets libres

Après-CF: 13 585 457 152 octets libres

.

- - End Of File - - FF53F8EA5BF81B5A7ABACA63945D0678

 

 

 

 

Apparement il n'y a pas de mieux...

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

L'installation du SP3 arrangera sûrement quelques petites choses mais on va d'abord vérifier à fond pour désinfecter.

 

D'après ComboFix tu as un xp Familial, tu confirmes que c'est un SP2?

 

Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

  • Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau: Ne modifie pas le nom du fichier surtout!
     
    >> Windows XP Service Pack 2 [sP2] >
    Microsoft Windows XP HOME SP2 (Familiale)
     
     
  • Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
    consolercup.gif
  • Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  • Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.

Note : à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

 

++

Lien vers le commentaire
Partager sur d’autres sites
letango Junior Member

letango

Posté(e)
  • Auteur
Posté(e)

"Ouais ça marche !"

 

Voici le rapport :

ComboFix 12-12-10.01 - Tanguy 11/12/2012 6:50.2.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1022.542 [GMT 1:00]

Lancé depuis: c:\documents and settings\Tanguy\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Tanguy\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\didduid.ini

c:\windows\iun6002.exe

c:\windows\pi.exe

c:\windows\system32\drivers\etc\hosts.ics

c:\windows\system32\drivers\fad.sys

c:\windows\system32\real.txt

c:\windows\system32\rnaph.dll

c:\windows\system32\Thumbs.db

c:\windows\wininit.ini

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-11-11 au 2012-12-11 ))))))))))))))))))))))))))))))))))))

.

.

2012-12-09 19:43 . 2012-12-09 19:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2012-12-09 19:43 . 2012-09-29 18:54 22856 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-12-08 13:25 . 2012-12-08 13:25 -------- dc----w- c:\documents and settings\Administrateur\Application Data\LavasoftStatistics

2012-12-08 13:24 . 2012-12-08 13:25 -------- dc----w- c:\documents and settings\Administrateur\Application Data\Ad-Aware Antivirus

2012-12-08 13:13 . 2012-12-08 13:13 -------- d-----w- c:\documents and settings\Tanguy\Application Data\LavasoftStatistics

2012-12-08 13:13 . 2012-12-08 13:13 -------- d-----w- c:\documents and settings\Tanguy\Application Data\Ad-Aware Antivirus

2012-12-05 22:29 . 2012-12-10 21:13 -------- d-----w- C:\ZHP

2012-12-05 22:29 . 2012-12-10 21:13 -------- d-----w- c:\program files\ZHPDiag

2012-12-05 18:11 . 2012-12-05 18:11 -------- d-----w- c:\documents and settings\Tanguy\Application Data\Malwarebytes

2012-12-05 18:11 . 2012-12-05 18:11 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-30 22:51 . 2012-01-05 16:48 361032 ----a-w- c:\windows\system32\drivers\aswSP.sys

2012-10-30 22:51 . 2012-01-05 16:48 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2012-10-30 22:51 . 2012-01-05 16:48 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2012-10-30 22:51 . 2012-01-05 16:48 738504 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2012-10-30 22:51 . 2012-01-05 16:48 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2012-10-30 22:51 . 2012-01-05 16:48 89752 ----a-w- c:\windows\system32\drivers\aswmon.sys

2012-10-30 22:51 . 2012-01-05 16:48 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2012-10-30 22:51 . 2012-01-05 16:48 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2012-10-30 22:51 . 2012-01-05 16:48 41224 ----a-w- c:\windows\avastSS.scr

2012-10-30 22:50 . 2012-01-05 16:48 227648 ----a-w- c:\windows\system32\aswBoot.exe

2012-10-22 16:47 . 2012-04-04 16:13 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-10-22 16:47 . 2011-06-05 07:38 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2001-11-30 11:39 . 2007-10-10 10:10 725073 ----a-w- c:\program files\zoombini2.exe

2000-07-27 11:49 . 2000-07-27 11:49 1526275 -c--a-w- c:\program files\instmsiw.exe

2000-07-27 11:49 . 2000-07-27 11:49 1513987 -c--a-w- c:\program files\instmsia.exe

2012-09-08 11:43 . 2012-09-08 11:42 266720 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-10-30 22:50 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-10-19 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-10-19 126976]

"DVDSentry"="c:\windows\System32\DSentry.exe" [2002-08-14 28672]

"AdaptecDirectCD"="c:\program files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-04-10 679936]

"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 19968]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-12-08 421736]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-07-03 252848]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2002-12-14 45056]

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-10-2 169472]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

"4662:TCP"= 4662:TCP:eChamblard Next

"4672:TCP"= 4672:TCP:eChamblard Next

.

R1 aswSP;aswSP;c:\windows\SYSTEM32\DRIVERS\aswSP.sys [05/01/2012 17:48 361032]

R2 aswFsBlk;aswFsBlk;c:\windows\SYSTEM32\DRIVERS\aswFsBlk.sys [05/01/2012 17:48 21256]

R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [09/12/2012 20:43 399432]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [09/12/2012 20:43 676936]

R3 MBAMProtector;MBAMProtector;c:\windows\SYSTEM32\DRIVERS\mbam.sys [09/12/2012 20:43 22856]

S1 aswSnx;aswSnx;c:\windows\SYSTEM32\DRIVERS\aswSnx.sys [05/01/2012 17:48 738504]

S3 phil2vid;Appareil photo VGA USB Philips PCVC690;c:\windows\SYSTEM32\DRIVERS\philcam2.sys [05/09/2004 15:58 173696]

S3 USTOR;Hi-Speed USB 2.0 Mass Storage Device;c:\windows\SYSTEM32\DRIVERS\UStork.sys [26/11/2006 09:32 20258]

.

Contenu du dossier 'Tâches planifiées'

.

2012-12-10 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 16:47]

.

2012-07-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2012-12-11 c:\windows\Tasks\avast! Emergency Update.job

- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-07-02 22:50]

.

2002-12-19 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job

- c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-30 23:09]

.

2002-12-18 c:\windows\Tasks\Symantec NetDetect.job

- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2002-12-14 11:22]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.ustart.org

mStart Page = hxxp://www.ustart.org

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

uInternet Settings,ProxyOverride = 127.0.0.1;localhost;club-internet.fr;*.club-internet.fr;grolier.fr;*.grolier.fr;*.local

IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: Chercher avec Copernic Agent - c:\program files\Copernic Agent\Web\SearchExt.htm

TCP: DhcpNameServer = 192.168.1.1

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Tanguy\Application Data\Mozilla\Firefox\Profiles\oxn4j1yy.default\

FF - prefs.js: browser.search.selectedEngine - uStart

FF - prefs.js: browser.startup.homepage - hxxp://www.bing.com/

FF - prefs.js: network.proxy.ftp - proxy.free.fr

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.http - proxy.free.fr

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-12-11 07:03

Windows 5.1.2600 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]

"Name"="ActiveSync"

"DisplayName"="Microsoft ActiveSync"

"Param1"="ActiveSync"

"Type"="wellknown"

"Order"=dword:00000001

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]

"Name"="IESettings"

"Type"="IESettings"

"Order"=dword:00000004

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]

"Name"="MediaFiles"

"Type"="MediaFiles"

"Order"=dword:00000003

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]

"Name"="NPW"

"Param1"="NPW"

"Type"="wellknown"

"Order"=dword:00000002

"State"=dword:0000000b

.

[HKEY_USERS\S-1-5-21-191978672-3122588645-3614916241-1006\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]

"Name"="Outlook"

"DisplayName"="Microsoft Outlook"

"Param1"="Outlook"

"Type"="wellknown"

"Order"=dword:00000000

"State"=dword:00000002

.

Heure de fin: 2012-12-11 07:06:19

ComboFix-quarantined-files.txt 2012-12-11 06:06

ComboFix2.txt 2012-12-10 20:30

.

Avant-CF: 13 581 508 608 octets libres

Après-CF: 13 569 110 016 octets libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

.

- - End Of File - - 96582F41271D874AF771B4C2623A71FA

 

 

Pas de changement au redémarrage du pc.

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour

 

Pour faire une vérif en profondeur, je te suggère deux sortes d'analyses, l'une se fait en créant un cd bootable, l'autre en utilisant le KVRT de Kaspersky. Tu choisis.

 

Si cela n'arrangeait rien, il faudra tenter d'installer le SP3, voire faire une réinstallation propre après formatage.

Voir:

 

Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français

 

Apollo Et Compagnie :: Rescue Disk Kaspersky

 

@++

Lien vers le commentaire
Partager sur d’autres sites
letango Junior Member

letango

Posté(e)
  • Auteur
Posté(e)

Bonjour, voici le rapport de KVRT :

 

Etat : Supprimés (évênements : 4)

12/12/2012 05:44:04 Supprimés cheval de Troie Trojan-Downloader.Win32.Murlo.fxe C:\Program Files\Club-Internet\Assistance\UpdateHitachi\MAJ_Hitachi.exe Elevées

12/12/2012 05:44:04 Supprimés cheval de Troie Trojan-Downloader.Win32.Murlo.fxe C:\Program Files\Club-Internet\Assistance\UpdateHitachi\MAJ_Hitachi.exe//IPToolsDLL.dll Elevées

12/12/2012 06:38:54 Supprimés cheval de Troie Trojan-Downloader.Win32.Murlo.fxe C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP6\A0000719.exe//IPToolsDLL.dll Elevées

12/12/2012 06:38:54 Supprimés cheval de Troie Trojan-Downloader.Win32.Murlo.fxe C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP6\A0000719.exe Elevées

 

 

A priori après redémarrage le PC bloque toujours pour le parefeu, avast mail et web,connexion internet et restauration du système.

 

merci Apollo

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Malheureusement, je peux difficilement faire mieux.

 

Je ne sais plus trop quoi te proposer car on a employé la grosse artillerie avec Combofix et le KVRT.

 

Il va sûrement falloir que tu réinstalles le système proprement... et faire les mises à jour jusqu'au SP3 + tout ce qui suivra.

 

C'est beaucoup de mises à jour à faire après une réinstallation mais au moins elle sera clean.

 

Désolé.

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...