Accès au Site
 FAQFAQ   RechercherCharte   RechercherRechercher   MembresMembres   UtilisateursUtilisateurs   S'enregistrerS'enregistrer   ProfilProfil   Vérifier ses messages privésVérifier ses messages privés   ConnexionConnexion
 
Tremblement de terre de virus: Rootkit.gen.KA, Delf [Résolu]
Aller à la page Précédente  1, 2, 3, 4, 5, 6, 7, 8  Suivante
 
Répondre au sujet Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThisCréer un flux RSS 2.0
Auteur Message
APC
Invité
MessagePosté le: 29 Oct 2007 22:17    Sujet du message: Répondre en citant
Bonsoir Céline,

« L'orelei » a écrit:
Je t'indique ce que j'ai effectué hier vers 14h, mais j'ai l'impression que
certaines de tes demandes ont été modifiées depuis sur ton post de 13h43.


Oui je te l'ai dit sur mon dernier message :

« Sév » a écrit:
J'ai édité la procédure que je t'ai donnée, puisque je pense que le driver infectieux est identifié.


« L'orelei » a écrit:
J'ai restauré


Qu'est-ce que tu veux dire par là ? Neutre

« L'orelei » a écrit:
De mémoire j'ai uploader malekal et tenté d'envoyer les trois fichiers
à l'analyse mais pas un n'a voulu accepter le "envoyer le fichier".


Malekal n'a rien reçu :

« Malekal_morte » a écrit:
Pour les fichiers .dat j'ai rien Triste


Et son message date d'hier à 15h54.

Il faudrait vraiment que tu réussisses à nous communiquer ces fichiers, pour que les outils de désinfection soient mis à jour. Smile

Je te propose de créer un dossier vide sur ton Bureau que tu nommeras "infected".

Fais un copier/coller des fichiers :

Citation:
C:\WINDOWS\System32\drivers\lsccvtum.dat
C:\WINDOWS\System32\drivers\yqofbcyz.dat
C:\WINDOWS\system32\ext.dll
C:\WINDOWS\System32\drivers\DrmRDriverV32.sys


Et colle-les dans le dossier "infected"

Fais ensuite un clic droit sur ce dossier et choisis "compresser" ou zippe-les si tu utilises un autre logiciel de compression que celui de Windows.

Soit tu me l'envoies par mail à l'adresse que tu connais, soit tu les uploades sur C-Joint et tu me donnes le lien par MP, ou encore tu peux regarder sur ce post les autres moyens pour envoyer des fichiers (dans tous les cas, il me faudra le lien de download) et je transmettrai à Malekal.

J'insiste sur la nécessité de les récupérer avant leur suppression définitive. Wink

J'attends aussi le rapport de Virus Total -> important pour récupérer les empreintes du fichier.

Une fois que ce sera fait, tu peux suivre cette procédure :

  1. Ouvre le bloc notes et copie / colle ceci :

    Citation:
    @echo off
    dir>liste.txt
    @echo off


  2. Sauvegarde le fichier en le nommant lister.bat, l'extension devra être impérativement en .bat et place-le dans C:\Windows\Temp.

  3. Double-clique dessus et colle le contenu du rapport lister.txt qui va se créer dans le dossier Temp de Windows, sur ta prochaine réponse.

  4. Ouvre de nouveau le bloc-notes et copie tout le contenu de cette liste :

    Citation:
    File::
    C:\WINDOWS\System32\drivers\lsccvtum.dat
    C:\WINDOWS\System32\drivers\yqofbcyz.dat
    C:\WINDOWS\system32\ext.dll
    C:\WINDOWS\System32\drivers\DrmRDriverV32.sys


  5. Enregistre ce fichier sur ton Bureau en le nommant cfscript.txt

  6. Fais un glisser/déposer de CFScript.txt sur Combofix comme sur cette image :



  7. Une fenêtre bleue va apparaître avec ce message "Type 1 to continue, or 2 to abort" , tape 1 puis valide

    Exclamation Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal, ne touche surtout à rien pendant le scan de Combofix.

  8. Une fois le scan terminé, poste le contenu du rapport obtenu.


Bon courage,

++

Dernière édition par APC le 30 Oct 2007 0:05; édité 1 fois
Revenir en haut de page
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 29 Oct 2007 23:41    Sujet du message: Répondre en citant
Chère Sev
bien reçu tes nouvelles instructions.
Par "éditer la procédure " excuse moi, mais profane, je n'avais pas saisis le sens de cette déclaration!!...
"J'ai restauré", par cette citation il faut comprendre j'ai abandonné le mode ss echec
pour restaurer le mode normal, je te rassure si il s'était agit d'une restauration du système
je crois que je t'en aurais touché un mot!
Je vais essayé de pousser vers Malékal les quatre "précieux" mais j'ai
comme l'impression qu'ils sont terriblement attachés à mon portable.
Des retour domicile j'engage le bras de fer.
Merci de tes conseils
Céline
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 30 Oct 2007 0:11    Sujet du message: Répondre en citant
« L'orelei » a écrit:
Par "éditer la procédure " excuse moi, mais profane, je n'avais pas saisis le sens de cette déclaration!!...


Ok, c'est de ma faute j'aurais dû dire "modifier". Smile

« L'orelei » a écrit:
"J'ai restauré", par cette citation il faut comprendre j'ai abandonné le mode ss echec
pour restaurer le mode normal, je te rassure si il s'était agit d'une restauration du système
je crois que je t'en aurais touché un mot!


Dans ce cas on ne dit pas restaurer mais "redémarrer en mode normal" sinon tu me fais des frayeurs. Lol

« L'orelei » a écrit:
e vais essayé de pousser vers Malékal les quatre "précieux" mais j'ai
comme l'impression qu'ils sont terriblement attachés à mon portable.


Je pense que tu as dû louper une étape pour l'envoi sur le site de Mak.

Fais ce que je t'ai dit sur mon précédent message, si ça te pose toujours des problèmes.

Bye
Revenir en haut de page
APC
Invité
MessagePosté le: 30 Oct 2007 23:24    Sujet du message: Répondre en citant
Bonsoir Céline,

Juste une question :

« L'orelei » a écrit:
mon ami a tenté de cracké le programme de neuf télécom qui
délivre de la musique via le pack neuf,


Est-ce qu'il s'agit de Tunebite ?


++
Revenir en haut de page
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 01 Nov 2007 18:07    Sujet du message: Répondre en citant
Sev

Juste une réponse
oui
A bientôt
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 01 Nov 2007 19:21    Sujet du message: Répondre en citant
Bonsoir Céline,

On va changer de procédure, je pense que tu n'as pas dû encore l'effectuer.
Elle annule et remplace la précédente.

Le driver DrmRDriverV32.sys semble appartenir à Tunebite que tu vas désinstaller après avoir fait ce qui suit :

  • Ouvre le bloc notes et copie/colle l'intégralité de ce texte :

    Citation:
    http://www.assistepc.com/forum/tremblement-de-terre-de-virus-8-sur-l-echelle-hijackthis-vt723-90.html

    Collect::
    C:\WINDOWS\System32\drivers\lsccvtum.dat
    C:\WINDOWS\System32\drivers\yqofbcyz.dat
    C:\WINDOWS\system32\ext.dll

    Suspect::
    C:\WINDOWS\System32\drivers\DrmRDriverV32.sys

    Driver::
    vzopewpy


  • Sauvegarde ce fichier sous le nom de CFScript.txt sur ton Bureau,

  • Fais un glisser / déposer de CFScript.txt vers Combofix comme sur l'image ci-dessous :



  • ComboFix va créer 2 fichiers sur ton Bureau de la forme :

    • Un fichier zippé nommé Submit [Date Time].zip
    • Un second fichier nommé - CF-Submit.htm,


    Exclamation Il peut t'être demandé de redémarrer le PC pour que Combofix puisse compléter le travail, accepte.

  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.

  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique [OK]

  • Ton navigateur par défaut se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :

    • Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier Submit [Date Time].zip qui est sur ton Bureau,
    • Clique sur le fichier afin de le sélectionner,
    • Soumets le fichier en cliquant "OK"


    Note : Tu l'auras compris, cette manipulation va permettre l'upload du fichier qui sera récupéré par SubS, l'auteur de Combofix.

  • Lorsque cette opération sera complétée, tu peux supprimer les deux fichiers qui se trouvent sur ton Bureau (ceux créés par Combofix)

  • Poste le rapport de Combofix qui se trouve sous C:\Combofix.txt ainsi qu'un nouveau log HijackThis,

  • Désinstalle Tunebite et salue ton ami de ma part Mr. Green


Bonne chance,
Bye
Revenir en haut de page
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 03 Nov 2007 15:39    Sujet du message: Répondre en citant
Sev

bien reçu tes nouvelles indications
des que je suis de retour j'entame
la procédure et t'adresse les rapports
merci A bientôt
Céline
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 17 Nov 2007 10:29    Sujet du message: Répondre en citant
Chère Sev bonjour

Je peux enfin reprendre mon travail de nettoyage, je ne sais pas
si tout s'est passé comme prévu, plutôt non car avec Combofix,
plusieurs fenètres se sont affichées durant l'opération:

Première fenètre
Citation:
Program
C:\combofix\ntpback.exe
C:\program 1\Symantec\S32\EVNT1Dll
L'initiateurde la dlld'un pilote de périphérique instable a echoué
choisissez fermer pour merttre fin à l'appliquation


Deuxième fenètre
Citation:
C:\Windows\System32\Cmd.exe
'SED'n'est pas reconnu en temps que commande interne ou externe


Troisième fenètre
Citation:
Windows ne peut terminer le programme


Apres tout ça, j'ai redémarré,
J'ai récupéré le rapport ci dessous et un Log Hijackthis,
et sur le bureau j'ai bien les deux fichiers Submit, l'un Zippé l'autre Html
Toutefois la suite de la procédure m'échappe, l'ai-je ratée?
le "retour du zippé vers le laboratoire d'analyse" ne s'est sans pas effectué selon tes
instructions.
Je vais tenter de te les faire parvenir par mail dans l'attente de nouvelles
directives de ta par.
J'attends ...et te remercie pour ton aide
Peut être auras-tu de bonnes nouvelles à me donner!

Citation:
\system32\DRIVERS\DrmRVideo32.sys
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys
S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-15 16:03:03 C:\WINDOWS\Tasks


Citation:
Rapport combofix
ComboFix 07-11-08.1 - Biketo 2007-11-17 8:31:30.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.215 [GMT 1:00]
Running from: C:\Documents and Settings\Biketo\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Biketo\Bureau\CFScript.txt
* Created a new restore point
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iFinger\iFinger.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\lexibase.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr. ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\System32\drivers\lsccvtum.dat
C:\WINDOWS\System32\drivers\yqofbcyz.dat
C:\WINDOWS\System32\ext.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_VZOPEWPY
-------\poof
-------\vzopewpy


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
.

2007-11-17 08:13 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 16:58 <REP> d-------- C:\b8148bc99d63bd38e4
2007-10-28 11:27 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-10-28 08:51 <REP> d-------- C:\Program Files\Trend Micro
2007-10-27 21:00 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-27 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-27 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-27 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2007-10-27 18:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2007-10-27 17:49 <REP> d-------- C:\BFU
2007-10-27 08:22 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-10-27 08:22 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-10-27 08:22 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-10-27 08:19 <REP> d-------- C:\Program Files\MSXML 4.0
2007-10-21 21:30 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-21 17:00 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-10-21 16:15 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2007-10-21 15:17 <REP> d-------- C:\WINDOWS\provisioning
2007-10-21 15:17 <REP> d-------- C:\WINDOWS\peernet
2007-10-21 15:11 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-10-21 14:59 <REP> d-------- C:\WINDOWS\EHome
2007-10-21 12:10 35 --a------ C:\WINDOWS\system32\lister.bat
2007-10-21 10:56 210,432 --a------ C:\Program Files\OTMoveIt.exe
2007-10-20 23:29 14,603,672 --a------ C:\Program Files\jre-6u3-windows-i586-p-s.exe
2007-10-20 08:46 <REP> d-------- C:\Program Files\7-Zip
2007-10-20 08:46 836,783 --a------ C:\Program Files\dezipeur7z442.exe
2007-10-20 00:21 <REP> d-------- C:\Program Files\DiagHelp
2007-10-20 00:16 <REP> d-------- C:\DiagHelp
2007-10-17 07:30 <REP> d-------- C:\Documents and Settings\Thierrette\Application Data\Grisoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-21 18:51 45,064 ----a-w C:\Documents and Settings\Biketo\Application Data\GDIPFONTCACHEV1.DAT
2007-10-21 13:01 --------- d-----w C:\Program Files\a2 Free
2007-10-16 12:44 --------- d-----w C:\Program Files\Fichiers communs\Scanner
2007-10-16 12:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\CA
2007-10-15 08:31 --------- d-----w C:\Documents and Settings\Biketo\Application Data\Grisoft
2007-10-15 08:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-14 23:43 --------- d-----w C:\Program Files\Lexmark X1100 Series
2007-10-14 18:21 --------- d-----w C:\Program Files\Avira
2007-10-14 18:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2007-10-14 18:19 17,788,920 ----a-w C:\Program Files\antivir_workstation_win7u_en_h.exe
2007-10-14 08:59 --------- d-----w C:\Program Files\Alwil Software
2007-10-14 08:29 1,035,316 ----a-w C:\Program Files\SmitfraudFix.exe
2007-10-13 22:36 --------- d-----w C:\Program Files\PrintKey 2000 Fr
2007-10-13 22:32 --------- d-----w C:\Program Files\iFinger
2007-10-13 07:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-13 07:16 --------- d-----w C:\Program Files\Kit ADSL
2007-10-08 05:06 --------- d-----w C:\Program Files\Tunebite
2007-10-08 05:00 --------- d-----w C:\Documents and Settings\Biketo\Application Data\tunebite
2007-10-07 19:05 --------- d-----w C:\Documents and Settings\Biketo\Application Data\AccurateRip
2007-10-07 19:04 --------- d-----w C:\Program Files\Illustrate
2007-10-05 20:45 --------- d-----w C:\Program Files\QuickTime
2007-10-05 20:42 --------- d-----w C:\Program Files\Apple Software Update
2007-10-05 20:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" []
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" []
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" []
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" []
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" []
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-14 19:53]
"SoundMan"="SOUNDMAN.EXE" [2003-04-24 15:53 C:\WINDOWS\SOUNDMAN.EXE]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" []
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 19:54]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-07-28 14:12]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NISUM"=2 (0x2)
"ccPxySvc"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys
R0 vburner;vburner;C:\WINDOWS\system32\DRIVERS\vburner.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 SSHDRV84;SSHDRV84;\??\C:\WINDOWS\System32\drivers\SSHDRV84.sys
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys
R3 ENE;ENE;C:\WINDOWS\system32\DRIVERS\EMCR7SK.sys
S2 MTC0003_STDSB;Scroll Bar Driver;C:\WINDOWS\system32\STDSB.sys
S2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
S3 DrmRDriverV32;DrmRDriverV32;C:\WINDOWS\system32\drivers\DrmRDriverV32.sys
S3 DrmRVideo32;DrmRVideo32;C:\WINDOWS\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-17 08:42:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

.
**************************************************************************
.
Completion time: 2007-11-17 8:44:52 - machine was rebooted
C:\ComboFix2.txt ... 2007-10-27 20:00
.
--- E O F --



Logfile of Trend Micro HijackThis v2.0.2
Citation:
Scan saved at 09:20:34, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
exe
C:\Program Files\Softissimo\Lexibase Pro\exe\lexibase.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Lexibase Express.lnk = C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E594E80-8378-4E0F-8188-CAF89D009AD8}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - Unknown owner - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe (file missing)

--
End of file - 5122 bytes
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 17 Nov 2007 11:01    Sujet du message: Répondre en citant
Bonjour Céline,

Ton rapport de CF est plus que curieux. Choqué

Tu es certaine de l'avoir collé sur le forum, tel qu'il est en réalité ?

Peux-tu refaire l'essai s'il te plaît, le rapport se trouve sous C:\Combofix.txt. Tu vas sûrement en trouver plusieurs, poste le contenu du dernier en date d'aujourd'hui

-> Double clique dessus / Edition / Sélectionner Tout / Copier et colle sur ta prochaine réponse.

Je répondrai au reste de tes questions quand j'aurais vu ce rapport. Wink

@+

[Edit] Ne redémarre pas ton PC pour le moment, parceque si mes doutes sont fondés, il va falloir restaurer quelques fichiers dont celui-ci : C:\WINDOWS\system32\lsass.exe, je te dirais comment faire.
Revenir en haut de page
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 17 Nov 2007 11:56    Sujet du message: Répondre en citant
j'ai un peu maltraité le rapport Combo
en effet (plusieurs copier coller que j'ai voulu effacer)
j'en poste un nouveau ainsi que le rapport de scan Antivir
bonne lecture



Citation:
AntiVir PersonalEdition Classic
Report file date: samedi 17 novembre 2007 10:02

Scanning for 932510 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: CÉLINE

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11/11/2007 15:33:24
ANTIVIR3.VDF : 7.0.0.226 98304 Bytes 16/11/2007 15:33:30
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 09/11/2007 18:08:32
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 17 novembre 2007 10:02

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'Lexibase.exe' - '1' Module(s) have been scanned
Scan process 'Lexibase.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'Printkey 2000 Fr.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'L-Express.exe' - '1' Module(s) have been scanned
Scan process 'iFinger.exe' - '1' Module(s) have been scanned
Scan process 'mdm.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'LEXBCES.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
36 processes with 36 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '22' files ).


Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Biketo\Bureau\[4]-Submit_2007-11-17@8.31.zip
[0] Archive type: ZIP
--> lsccvtum.dat
[DETECTION] Contains detection pattern of the rootkit RKIT/Agent.KA
--> yqofbcyz.dat
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
--> ext.dll
[DETECTION] Is the Trojan horse TR/Spy.BZub.btx.47
[INFO] The file was moved to '479baf43.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\ext.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47b2b3c8.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\lsccvtum.dat.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47a1b3c7.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\yqofbcyz.dat.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47adb3c8.qua'!
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP288\A0218985.dll
[DETECTION] Is the Trojan horse TR/BHO.HN
[INFO] The file was moved to '4770b3b6.qua'!
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP291\A0224184.dll
[DETECTION] Is the Trojan horse TR/Spy.BZub.NFY.8
[INFO] The file was moved to '4770b3cf.qua'!
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP304\A0244396.dll
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '4770b3f3.qua'!
C:\WINDOWS\system32\ext.1
[DETECTION] Is the Trojan horse TR/Spy.BZub.NFY.8
[INFO] The file was moved to '47b2b9e4.qua'!
C:\_OTMoveIt\MovedFiles\program files\HijackThis\backups\backup-20071016-093511-138.dll
[DETECTION] Is the Trojan horse TR/BHO.HN
[INFO] The file was moved to '47a1ba94.qua'!
C:\_OTMoveIt\MovedFiles\program files\HijackThis\backups\backup-20071021-182052-665.dll
[DETECTION] Is the Trojan horse TR/BHO.HN
[INFO] The file was moved to '47a1ba96.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\System32\ext.1
[DETECTION] Is the Trojan horse TR/BHO.HN
[INFO] The file was moved to '47b2bab0.qua'!


End of the scan: samedi 17 novembre 2007 10:54
Used time: 51:22 min

The scan has been done completely.

6024 Scanning directories
194554 Files were scanned
13 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
11 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
194541 Files not concerned
6701 Archives were scanned
2 Warnings
0 Notes






Citation:
ComboFix 07-11-08.1 - Biketo 2007-11-17 8:31:30.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.215 [GMT 1:00]
Running from: C:\Documents and Settings\Biketo\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Biketo\Bureau\CFScript.txt
* Created a new restore point
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\System32\drivers\lsccvtum.dat
C:\WINDOWS\System32\drivers\yqofbcyz.dat
C:\WINDOWS\System32\ext.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_VZOPEWPY
-------\poof
-------\vzopewpy


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
.

2007-11-17 08:13 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 16:58 <REP> d-------- C:\b8148bc99d63bd38e4
2007-10-28 11:27 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-10-28 08:51 <REP> d-------- C:\Program Files\Trend Micro
2007-10-27 21:00 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-27 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-27 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-27 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-10-27 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2007-10-27 18:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2007-10-27 17:49 <REP> d-------- C:\BFU
2007-10-27 08:22 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-10-27 08:22 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-10-27 08:22 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-10-27 08:19 <REP> d-------- C:\Program Files\MSXML 4.0
2007-10-21 21:30 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-21 17:00 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-10-21 16:15 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2007-10-21 15:17 <REP> d-------- C:\WINDOWS\provisioning
2007-10-21 15:17 <REP> d-------- C:\WINDOWS\peernet
2007-10-21 15:11 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-10-21 14:59 <REP> d-------- C:\WINDOWS\EHome
2007-10-21 12:10 35 --a------ C:\WINDOWS\system32\lister.bat
2007-10-21 10:56 210,432 --a------ C:\Program Files\OTMoveIt.exe
2007-10-20 23:29 14,603,672 --a------ C:\Program Files\jre-6u3-windows-i586-p-s.exe
2007-10-20 08:46 <REP> d-------- C:\Program Files\7-Zip
2007-10-20 08:46 836,783 --a------ C:\Program Files\dezipeur7z442.exe
2007-10-20 00:21 <REP> d-------- C:\Program Files\DiagHelp
2007-10-20 00:16 <REP> d-------- C:\DiagHelp
2007-10-17 07:30 <REP> d-------- C:\Documents and Settings\Thierrette\Application Data\Grisoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-21 18:51 45,064 ----a-w C:\Documents and Settings\Biketo\Application Data\GDIPFONTCACHEV1.DAT
2007-10-21 13:01 --------- d-----w C:\Program Files\a2 Free
2007-10-16 12:44 --------- d-----w C:\Program Files\Fichiers communs\Scanner
2007-10-16 12:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\CA
2007-10-15 08:31 --------- d-----w C:\Documents and Settings\Biketo\Application Data\Grisoft
2007-10-15 08:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-14 23:43 --------- d-----w C:\Program Files\Lexmark X1100 Series
2007-10-14 18:21 --------- d-----w C:\Program Files\Avira
2007-10-14 18:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2007-10-14 18:19 17,788,920 ----a-w C:\Program Files\antivir_workstation_win7u_en_h.exe
2007-10-14 08:59 --------- d-----w C:\Program Files\Alwil Software
2007-10-14 08:29 1,035,316 ----a-w C:\Program Files\SmitfraudFix.exe
2007-10-13 22:36 --------- d-----w C:\Program Files\PrintKey 2000 Fr
2007-10-13 22:32 --------- d-----w C:\Program Files\iFinger
2007-10-13 07:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-13 07:16 --------- d-----w C:\Program Files\Kit ADSL
2007-10-08 05:06 --------- d-----w C:\Program Files\Tunebite
2007-10-08 05:00 --------- d-----w C:\Documents and Settings\Biketo\Application Data\tunebite
2007-10-07 19:05 --------- d-----w C:\Documents and Settings\Biketo\Application Data\AccurateRip
2007-10-07 19:04 --------- d-----w C:\Program Files\Illustrate
2007-10-05 20:45 --------- d-----w C:\Program Files\QuickTime
2007-10-05 20:42 --------- d-----w C:\Program Files\Apple Software Update
2007-10-05 20:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" []
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" []
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" []
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" []
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" []
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-14 19:53]
"SoundMan"="SOUNDMAN.EXE" [2003-04-24 15:53 C:\WINDOWS\SOUNDMAN.EXE]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" []
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 19:54]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-07-28 14:12]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NISUM"=2 (0x2)
"ccPxySvc"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys
R0 vburner;vburner;C:\WINDOWS\system32\DRIVERS\vburner.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 SSHDRV84;SSHDRV84;\??\C:\WINDOWS\System32\drivers\SSHDRV84.sys
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys
R3 ENE;ENE;C:\WINDOWS\system32\DRIVERS\EMCR7SK.sys
S2 MTC0003_STDSB;Scroll Bar Driver;C:\WINDOWS\system32\STDSB.sys
S2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
S3 DrmRDriverV32;DrmRDriverV32;C:\WINDOWS\system32\drivers\DrmRDriverV32.sys
S3 DrmRVideo32;DrmRVideo32;C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys
S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-15 16:03:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-17 08:42:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-17 8:44:52 - machine was rebooted
C:\ComboFix2.txt ... 2007-10-27 20:00
.
--- E O F ---
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 17 Nov 2007 12:14    Sujet du message: Répondre en citant
« L'orelei » a écrit:
j'ai un peu maltraité le rapport Combo
en effet (plusieurs copier coller que j'ai voulu effacer)


Je préfère ça ! Hot

Avant de faire un dernier gros coup de ménage, peux-tu essayer d'uploader le dossier Submit [Date Time].zip qui se trouve sur ton Bureau :

  • Rends-toi sur : http://upload.malekal.com
  • Clique sur Parourir et sélectionne dans tes dossiers : Bureau/Submit [Date Time].zip
  • Laisse le répertoire de destination tel quel (Malware).
  • Clique sur Envoyer le fichier



@+

Dernière édition par APC le 17 Nov 2007 12:22; édité 1 fois
Revenir en haut de page
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 17 Nov 2007 12:21    Sujet du message: Répondre en citant
je vais faire ce que tu demandes,
mais il m'avait semblé que le mail que je t'ai adressé
ce matin avec le méchant tout zippé
était parvenu à destination.
A tte
Céline
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 17 Nov 2007 12:24    Sujet du message: Répondre en citant
« L'orelei » a écrit:
je vais faire ce que tu demandes,
mais il m'avait semblé que le mail que je t'ai adressé
ce matin avec le méchant tout zippé
était parvenu à destination.



Yessssssss !

Merci beaucoup. Wink

Comment va ton PC ?
Revenir en haut de page
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 17 Nov 2007 12:25    Sujet du message: Répondre en citant
Super Content
La bête vient d'être uploader!
j'attends tes instructions
Céline
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
L'orelei
Habitué
Habitué


Inscrit le: 13 Oct 2007
Message(s): 66
MessagePosté le: 17 Nov 2007 12:36    Sujet du message: Répondre en citant
Le Pc ne fait plus d'alerte!
Le rapport d'Antivir m'encourage
à l'humilité car il reste un ext1 dans systeme 32
que je voudrais bien ne plus voir
Mais la tanière du méchant semble avoir été
desertée, le System32\ext.dll lui n'est plus
Un Karsher pour finir j'imagine!!
je recommence à espérer
Merci Céline
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Publicité
Répondre au sujet Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThis Toutes les heures sont au format GMT + 2 Heures
Aller à la page Précédente  1, 2, 3, 4, 5, 6, 7, 8  Suivante
Page 7 sur 8

Navigation Autres sujets similaires

Sauter vers :
10 

 


Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum

| Le Site | Nous contacter | Annuaire | phpBB | phpBB SEO | Informatruc | Forum Map | Site Map |

CrawlTrack: free crawlers and spiders tracking script for webmaster - script gratuit de détection des robots pour webmaster