Bonjour,
depuis hier les ordinateurs de notre société sont infectés … Nous recevons plusieurs alertes. Ce matin en rallumant un des ordis, j’ai recu cette alerte “TR/Agent.cklo”
Savez-vous comment s’en débarrasser svp ?
Merci d’avance pour votre aide…
j’ai lancé une analyse sur zebulon…
voici ce qu’il trouve
Fichier analysé
Statut
C:\hp\bin\KillWind.exe
Infecté par: Virtool.1992
C:\hp\bin\KillWind.exe
Echec de la désinfection
C:\hp\bin\KillWind.exe
Supprimé
C:\System Volume Information_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP622\A0135682.exe
Infecté par: Virtool.1992
C:\System Volume Information_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP622\A0135682.exe
Echec de la désinfection
C:\System Volume Information_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP622\A0135682.exe
Supprimé
C:\WINDOWS\system32\csrcs.exe
Infecté par: Gen:Trojan.Heur.AutoIT.C1F6978787
C:\WINDOWS\system32\csrcs.exe
Echec de la désinfection
C:\WINDOWS\system32\csrcs.exe
Echec de la suppression
Salut
http://i43.tinypic.com/sl7g2s.gifC:\hp\bin\KillWind.exe==>est un fichier qui permet d’arreter d’autres programmes.C’est un Faux positif ==>analysécomme Dialer
Il est utilisé par le programme restauration d’HP
http://i43.tinypic.com/sl7g2s.gifPas toucher
http://i43.tinypic.com/sl7g2s.gifC:\WINDOWS\system32\csrcs.exe==>et bien un Trojan
http://i43.tinypic.com/sl7g2s.gifC:\System Volume Information_restore==>Le dossier \System Volume Information\ contient les points de restauration.
Si des éléments infectieux y sont détectés, cela signifie que des malwares sont dans les points de restauration de Windows.
Pour ce Faire
http://i43.tinypic.com/sl7g2s.gifWindows XP
désactiver Restauration de ton système :
==> sert à supprimer les infections qui se trouvent dans la restauration du système.
==>Cliques sur démarrer.
==>Clic droit sur “Poste de travail” puis choisir “Propriétés”.
==>Sélectionnes l’onglet “Restauration du système”.
==>Coches “Désactiver la Restauration du système sur tous les lecteurs” ou “Désactiver la Restauration du système” puis appliquer.
==>OK==>Redémarres ton PC
Puis retournes sur “Poste de travail” , “Propriétés” décoches cette fois “Désactiver la Restauration du système”==>appliquer==> puis ok.
http://i43.tinypic.com/sl7g2s.gifaprés Création du point de restauration:
==>vas dans le Menu Démarrer puis dans Programmes,
==> Accessoires et enfin dans Outils système,
==>Choisis Restauration du système,
=>Sélectionnes==> Créer un point de restauration,
==>Cliques sur Suivant,
==>Entres un nom pour le point de restauration : ce nom assez simple pour que tu le retrouves
=> Cliques ==>Créer et le point de restauration se créé automatiquement
ensuite
http://i43.tinypic.com/sl7g2s.giftélécharges --> Malwarebytes (mbam)==>Malwarebytes
installes + mise a jour
et
Redémarre en “Mode sans échec” : redémarres ton ordinateur et tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle
Lances–> Malwarebytes (MBAM)
aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
aprés
http://i43.tinypic.com/sl7g2s.gifposte un Log hijackthis -->Hijackthis
regarde–> renommer correctement Hijackthis ==>Comment installer et renommer correctement ,
regarde générer un rapport–>Générerun rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:06, on 05/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Maxtor\Sync\SyncServices.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\testu.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [Adobe Version Cue CS2] “C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe”
O4 - HKLM…\Run: [Acrobat Assistant 7.0] “C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe”
O4 - HKLM…\Run: [mxomssmenu] “C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”
O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir Desktop\avgnt.exe” /min
O4 - HKCU…\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU…\Run: [Nokia.PCSync] “C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe” /NoDialog
O4 - HKCU…\Run: [PC Suite Tray] “C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe” -onlytray
O4 - HKCU…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - C:\Program… Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra ‘Tools’ menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.zebulon.fr…
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
–
End of file - 10081 bytes
re
As-tu fais==>désactiver Restauration de ton système et activer (en décochant la case ) +Création du point de restauration:
Fais Malwarebytes Comme d écris
En mode sans echec==> Analyse Compléte + Suppression(s)==>Poste le rapport
un Fois le rapport de Malwarebytes Posté
Fais ceci
Télécharge SDFix (créé par AndyManchesta) – sauvegarde le sur ton Bureau.
===>SDFix
Double clique sur SDFix.exe et choisis Installation pour l’extraire dans un dossier dédié sur le Bureau.
une fois SDFix installé
Redémarre ton ordinateur en mode sans Echec–> important !!
: redémarres ton ordinateur et tapote sur la touche F8(ou F5 suivant PC) jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle
cliques sur le menu Démarrer puis Exécuter et Tapes la commande suivant : C:\SDFix\RunThis.bat tu te le noteras avant
Cliques sur OK.
==>Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
==>Appuies sur Y pour commencer le processus de nettoyage.
==>Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer.
==>Appuie sur une touche pour redémarrer le PC.
==>Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers.
==> Après le chargement du Bureau, l’outil terminera son travail et affichera Finished.
SDFix --> signale que l’ordinateur doit être redémarré
==> Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau.
==> Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
==> Enfin, copie/colle le contenu du fichier Report.txt ici même
@+
Oui, j’ai bien suivi tes indications. Je t’ai collé le rapport de Malwarebytes dans mon post précédent, vois-tu déjà des éléments “anormaux” ??
Je poursuis ma mission avec ce que tu viens de me noter,
à tout de suite.
Merci
Je ne vois pas de rapport de Malwarebytes
Poste le ici ==> c est ici que ça se passe
et Fais SDFix poste le rapport
Installes cet utilitaire pour toutes tes mises à jour (Explorer,etc)le temps que je regarde
==>FileHippo
il te dira lesquels des logiciels n etant pas à jour et le chemin pour le faire==>OK !!
et
tu as des restes de Symantec
==>Télécharger et exécuter l’outil de désinstallation Norton
tu prends==>J’utilise Windows Vista/XP/2000 et excute ok !!
@+ Au Taf :lol:
c’est ca ?
Malwarebytes’ Anti-Malware 1.37
Version de la base de données: 2232
Windows 5.1.2600 Service Pack 2
05/06/2009 15:04:31
mbam-log-2009-06-05 (15-04-23).txt
Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 281139
Temps écoulé: 2 hour(s), 51 minute(s), 8 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.
Du coup une fenetre bleue apparaissait sur mon bureau “sdfix” je sais pas trop ce qui avait écrit… et puis voilà… rien de + !
Dois je recommencer l’opération ???
pour SDFix laisses pour l instant
Fais ceci
Malwarebytes==>No Action Taken==> tu as tout les M@rdes en “quarantaine”
Lances Malwarebytes==>cliques sur quarantaine==> selectionnes tout et [/b]supprimes tout ok !! Tu me confirmeras les suppressions
et
tu refais une analyse Compléte en mode normal + Suppression(s) de ce que tu trouveras éventuellement
Poste le rapport
Fais encore les mises à jour avec "FileHippo"e l outil Norton et reviens
c’est bon, j’ai recommencé et cette fois ci c’est ok:
SDFix: Version 1.240
Run by Compaq_Propri?taire on 05/06/2009 at 17:48
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2009-06-05 18:03:22
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes …
scanning hidden services & system hive …
scanning hidden registry entries …
scanning hidden files …
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
“C:\Program Files\uTorrent\uTorrent.exe”=“C:\Program Files\uTorrent\uTorrent.exe::Disabled:æTorrent"
“C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe”="C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe::Disabled:Adobe Version Cue CS2”
“C:\WINDOWS\system32\sessmgr.exe”=“C:\WINDOWS\system32\sessmgr.exe::Disabled:@xpsp2res.dll,-22019"
“C:\Program Files\Macromedia\Dreamweaver 8\Dreamweaver.exe”="C:\Program Files\Macromedia\Dreamweaver 8\Dreamweaver.exe::Disabled:Dreamweaver 8”
“C:\Program Files\FileZilla FTP Client\filezilla.exe”=“C:\Program Files\FileZilla FTP Client\filezilla.exe::Disabled:FileZilla FTP Client"
“C:\Program Files\LeechFTP\Leechftp.exe”="C:\Program Files\LeechFTP\Leechftp.exe::Disabled:LeechFTP”
“C:\Program Files\Skype\Phone\Skype.exe”=“C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype”
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
“%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019"
“C:\Program Files\MSN Messenger\msnmsgr.exe”="C:\Program Files\MSN Messenger\msnmsgr.exe::Enabled:Windows Live Messenger 8.0"
“C:\Program Files\MSN Messenger\msncall.exe”=“C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)”
Remaining Files :
Files with Hidden Attributes :
Mon 6 Mar 2006 218 A.SHR — “C:\BOOT.BAK”
Mon 26 Jan 2009 1,740,632 A.SHR — “C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe”
Mon 26 Jan 2009 5,365,592 A.SHR — “C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe”
Mon 26 Jan 2009 2,144,088 A.SHR — “C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe”
Tue 12 Jun 2007 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak”
Thu 23 Apr 2009 0 A.SH. — “C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp”
Mon 29 Sep 2008 1,597,440 A.SH. — “C:\scanner\dossier graphique\divers photo\Nouveau dossier\100ND40X\SIV57.tmp”
Finished!
SDFix ==> en mode sans echec et que tu as appuyé sur la touche Your lancerSDFix,le bureau disparaît donc plus de menu démarrer,et autres plus rien,t inquiétes et au bout d une 20 mn environ==> SDFix te signale ton PC doit être redémarré : The PC Will now restart
et tu cliques sur une touche e il redémarres l ordi et la une nouvelle fenêtre noire s ouvre et tu attends et tu fais un copié/collé du rapport
C’est ok, j’ai supprimé tous les fichiers qui étaient en quarantaine dans Malwarebytes !
Je referais une analyse complete Lundi matin afin de partir en week end quand meme !! 
(nous sommes une société et environ 4/5 postes ont été infecté…)
Merci encore pour tout,
je reviens vers vous lundi pour la suite des aventures !
OK je viens de voir que tu as réussi a faire au moment que je poste mon message
Fais Filehippo et Norton l outil
“Filehippo et Norton l outil”
Qu’est-ce donc ??
Je ne fonctionne pas sous norton mais sous Avira AntiVir Personal.
Tu feras aussi pendant ce temps
Télcharges ==>GenProc --> sur le bureau
==>GenProc
–> Décompresse le sur le bureau
–>Ouvre le dossier créé et lance GenProc.bat(double-cliquer UNE SEULE FOIS sur le fichier GenProc.bat)
->le rapport s’affiche en très peu de temps, c’est normal.
–>Tu obtiendras alors un rapport ==> fais un copié/collé ici et on verra Lundi
:hello:
Bonjour !
Me revoilà !
J’ai effectué une analyse Malwarebytes en mode normal:
Malwarebytes’ Anti-Malware 1.37
Version de la base de données: 2232
Windows 5.1.2600 Service Pack 2
08/06/2009 11:45:47
mbam-log-2009-06-08 (11-45-47).txt
Type de recherche: Examen complet (C:|)
Eléments examinés: 262737
Temps écoulé: 2 hour(s), 23 minute(s), 2 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Cependant j’ai encore eu une alerte AVIRA “TR/Agent.cklo” ce matin.
Je poursuis vos indications.
Merci !
Voilà ensuite le rapport GenProc
Rapport GenProc 2.584 [1]
@ 08/06/2009 à 11:57:47
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]
fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
Toolbar-S&D eric.71.mespages.googlepages.com… (Team IDN) sur ton Bureau.
USBFix sd-1.archive-host.com… (Chiquitine29) sur le Bureau, et procède simplement à son installation.
Redémarre en mode sans échec comme indiqué ici www.pcloisirs.eu… ; Choisis ta session courante *** Compaq_Propriétaire *** (pour retrouver le rapport, clique sur le raccourci “Rapport GenProc[1]” sur ton
bureau).
Lance Toolbar-S&D situé sur le Bureau.
Tape sur “2” puis valide en appuyant sur “Entrée”. Ne ferme pas la fenêtre lors de la suppression.
Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc…) susceptibles d’avoir été infectées sans les ouvrir, puis double-clique sur le raccourci UsbFix présent sur ton Bureau : choisis l’ option 2 (Suppression),
ton bureau disparaitra et le pc redémarrera. Au redémarrage, UsbFix scannera ton pc, laisse travailler l’outil.
Lance CCleaner : “Nettoyeur”/“lancer le nettoyage” et c’est tout.
Redémarre normalement et poste, dans la même réponse :
Précise les difficultés que tu as eu (ce que tu n’as pas pu faire…) ainsi que l’évolution de la situation.
~~ Arguments de la procédure ~~
Toolbar:le 08/06/2009 à 11:58:33 “C:\Program Files\AskTBar”
USBFix:le 08/06/2009 à 11:58:45 “C:\WINDOWS\autorun.ini”
~~ Fin à 11:59:11 ~~
Rapport Toolbar
-----------\ ToolBar S&D 1.2.8 XP/Vista
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon™ 64 Processor 3500+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : Compaq_Propriétaire ( Administrator )
BOOT : Fail-safe boot
Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)
C:\ (Local Disk) - NTFS - Total:180 Go (Free:70 Go)
D:\ (Local Disk) - FAT32 - Total:5 Go (Free:2 Go)
E:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)
“C:\ToolBar SD” ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 08/06/2009|12:16 )
-----------\ SUPPRESSION
Supprime! - C:\Program Files\AskTBar\bar
Supprime! - C:\Program Files\AskTBar\PopSwatr
Supprime! - C:\Program Files\AskTBar
-----------\ Recherche de Fichiers / Dossiers …
-----------\ Extensions
(Compaq_Propri?taire) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper
(Compaq_Propri?taire) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
-----------\ […\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Local Page”=“C:\WINDOWS\system32\blank.htm”
“Start Page”=“http://www.google.fr/”
“Search Page”=“http://www.google.com”
“Search Bar”=“http://www.google.com/ie”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
“Default_Page_URL”=“http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome”
“Default_Search_URL”=“http://www.google.com/ie”
“Search Page”=“http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch”
“Start Page”=“http://www.msn.com/”
--------------------\ Recherche d’autres infections
Aucune autre infection trouvée !
1 - “C:\ToolBar SD\TB_1.txt” - 08/06/2009|12:21 - Option : [2]
-----------\ Fin du rapport a 12:21:08,51
############################## [ UsbFix V3.029 | Cleaning ]
[ Enabled | Updated ]
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Maxtor\Sync\SyncServices.exe
C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Fichiers # Dossiers infectieux ]
Deleted ! C:\WINDOWS\autorun.ini
Deleted ! D:\autorun.inf
################## [ Registre # Clés Run infectieuses ]
################## [ Registre # Mountpoints2 ]
Deleted ! HKCU…\Explorer\MountPoints2\D\Shell\AutoRun\Command
Deleted ! HKCU…\Explorer\MountPoints2{0fc550d4-b549-11dd-9d09-0013d3f2590a}\Shell\AutoRun\Command
Deleted ! HKCU…\Explorer\MountPoints2{55d132f9-50d8-11de-9d9b-0013d3f2590a}\Shell\AutoRun\Command
################## [ Listing des fichiers présent ]
[23/11/2004 23:21|–a------|0] - C:\AUTOEXEC.BAT
[06/03/2006 10:18|-rahs----|218] - C:\BOOT.BAK
[08/11/2006 14:47|-rahs----|296] - C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[05/08/2004 14:00|-r-hs----|263488] - C:\cmldr
[23/11/2004 23:21|–a------|0] - C:\CONFIG.SYS
[?|?|?] - C:\hiberfil.sys
[23/11/2004 23:21|-rahs----|0] - C:\IO.SYS
[23/11/2004 23:21|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[05/08/2004 14:00|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[13/03/2007 13:57|–ah-----|232] - C:\sqmdata00.sqm
[13/03/2007 13:57|–ah-----|232] - C:\sqmdata01.sqm
[13/03/2007 13:58|–ah-----|232] - C:\sqmdata02.sqm
[13/03/2007 13:58|–ah-----|232] - C:\sqmdata03.sqm
[13/03/2007 13:58|–ah-----|232] - C:\sqmdata04.sqm
[26/07/2007 14:17|–ah-----|232] - C:\sqmdata05.sqm
[04/12/2007 10:20|–ah-----|232] - C:\sqmdata06.sqm
[08/02/2008 19:24|–ah-----|232] - C:\sqmdata07.sqm
[08/02/2008 19:26|–ah-----|232] - C:\sqmdata08.sqm
[08/02/2008 19:26|–ah-----|232] - C:\sqmdata09.sqm
[08/02/2008 19:26|–ah-----|232] - C:\sqmdata10.sqm
[18/10/2006 10:23|–ah-----|232] - C:\sqmdata11.sqm
[18/10/2006 10:23|–ah-----|232] - C:\sqmdata12.sqm
[18/10/2006 10:47|–ah-----|232] - C:\sqmdata13.sqm
[18/10/2006 10:47|–ah-----|232] - C:\sqmdata14.sqm
[18/10/2006 10:47|–ah-----|232] - C:\sqmdata15.sqm
[18/10/2006 10:47|–ah-----|232] - C:\sqmdata16.sqm
[18/10/2006 10:53|–ah-----|232] - C:\sqmdata17.sqm
[18/10/2006 10:53|–ah-----|232] - C:\sqmdata18.sqm
[18/10/2006 10:53|–ah-----|232] - C:\sqmdata19.sqm
[13/03/2007 13:57|–ah-----|244] - C:\sqmnoopt00.sqm
[13/03/2007 13:57|–ah-----|244] - C:\sqmnoopt01.sqm
[13/03/2007 13:58|–ah-----|244] - C:\sqmnoopt02.sqm
[13/03/2007 13:58|–ah-----|244] - C:\sqmnoopt03.sqm
[13/03/2007 13:58|–ah-----|244] - C:\sqmnoopt04.sqm
[26/07/2007 14:17|–ah-----|244] - C:\sqmnoopt05.sqm
[04/12/2007 10:20|–ah-----|244] - C:\sqmnoopt06.sqm
[08/02/2008 19:24|–ah-----|244] - C:\sqmnoopt07.sqm
[08/02/2008 19:26|–ah-----|244] - C:\sqmnoopt08.sqm
[08/02/2008 19:26|–ah-----|244] - C:\sqmnoopt09.sqm
[08/02/2008 19:26|–ah-----|244] - C:\sqmnoopt10.sqm
[18/10/2006 10:23|–ah-----|244] - C:\sqmnoopt11.sqm
[18/10/2006 10:23|–ah-----|244] - C:\sqmnoopt12.sqm
[18/10/2006 10:47|–ah-----|244] - C:\sqmnoopt13.sqm
[18/10/2006 10:47|–ah-----|244] - C:\sqmnoopt14.sqm
[18/10/2006 10:47|–ah-----|244] - C:\sqmnoopt15.sqm
[18/10/2006 10:47|–ah-----|244] - C:\sqmnoopt16.sqm
[18/10/2006 10:53|–ah-----|244] - C:\sqmnoopt17.sqm
[18/10/2006 10:53|–ah-----|244] - C:\sqmnoopt18.sqm
[18/10/2006 10:53|–ah-----|244] - C:\sqmnoopt19.sqm
[08/06/2009 12:21|–a------|1942] - C:\TB.txt
[17/07/2008 16:13|–a------|358] - C:\temp.log
[08/06/2009 12:26|–a------|5564] - C:\UsbFix.txt
[28/07/2001 07:07|—hs----|0] - D:\AUTOEXEC.BAT
[23/11/2004 17:48|—hs----|6] - D:\BLOCK.RIN
[09/01/2002 20:52|—hs----|244] - D:\BOOT.INI
[17/08/2001 10:26|—hs----|237728] - D:\CMLDR
[28/07/2001 07:07|—hs----|0] - D:\CONFIG.SYS
[10/09/2002 00:14|—hs----|100] - D:\Desktop.ini
[10/09/2002 17:21|—hs----|7850] - D:\Folder.htt
[30/04/2001 21:16|—hs----|14] - D:\Graph
[25/01/2002 19:21|—hs----|0] - D:\GRAPH16
[30/11/2004 12:01|—hs----|73728] - D:\Info.exe
[28/07/2001 07:07|—hs----|0] - D:\IO.SYS
[02/01/2005 22:06|—hs----|942] - D:\MASTER.LOG
[28/07/2001 07:07|—hs----|0] - D:\MSDOS.SYS
[25/07/2001 23:00|—hs----|45124] - D:\NTDETECT.COM
[17/08/2001 16:32|—hs----|0] - D:\NTFS
[25/07/2001 23:00|—hs----|222880] - D:\NTLDR
[03/03/2003 13:46|—hs----|111377] - D:\protect.ed
[23/11/2004 17:39|—hs----|36] - D:\SaveFile.Dir
[30/04/2001 21:16|—hs----|14] - D:\SVGA
[02/01/2005 22:06|–ahs----|942] - D:\USER
[03/03/2003 13:41|—hs----|88038] - D:\Warning.bmp
[18/08/2001 16:00|—hs----|10] - D:\WIN51
[22/01/2001 16:00|—hs----|11] - D:\WIN51.B2
[25/07/2001 16:00|—hs----|11] - D:\WIN51.RC1
[25/07/2001 21:47|—hs----|11] - D:\WIN51.RC2
[18/08/2001 16:00|—hs----|10] - D:\WIN51IC
[20/03/2001 16:00|—hs----|11] - D:\WIN51IC.B2
[25/07/2001 16:00|—hs----|11] - D:\WIN51IC.RC1
[25/07/2001 16:00|—hs----|11] - D:\WIN51IC.RC2
[17/08/2001 16:00|—hs----|10] - D:\WIN51IP
[22/01/2001 16:00|—hs----|11] - D:\WIN51IP.B2
[25/07/2001 21:47|—hs----|11] - D:\WIN51IP.RC2
[17/08/2001 14:17|—hs----|184] - D:\WINBOM.INI
[24/02/2004 17:38|–a------|498] - D:\BATCH.OLD
[01/02/2005 01:02|–ahs----|1552] - D:\BATCH.LOG
[02/01/2005 22:41|—hs----|218] - D:\cPCinfo.log
[04/06/2009 15:41|-rahs----|0] - D:\kht
################## [ Vaccination ]
################## [ ! Fin du rapport # UsbFix V3.029 ! ]
Salut Cinnnamyl
Pour l instant ça va
installes Ccleaner
==>Ccleaner
Une fois sur le bureau, clic sur l’install de CCleaner.
-> Mais avant de cliquer sur le bouton “installer”, décoche toutes les “options supplémentaires”.(install de la barre yahoo,etc…)
–>Ensuite, clique sur “Options”, “Avancé” et décoche la case
–>“Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures”.
–>Clique sur l’onglet “Nettoyeur” puis sur “Lancer le Nettoyage”.
–> Ensuite clique sur l’icone Registre, à droite, clique sur “Chercher des erreurs” puis sur “Réparer les erreurs sélectionnées”.
Accepte la sauvegarde, de la BDR (base de registre )qu’il propose .
Je te conseille de le repasser au moins deux fois,(ou + jusqu’à qu’il ne trouve plus d’erreurs.)
Redémarres ton Pc-
Télécharge Winsockxpfix
sur ton bureau sans l executer au cas tu en aurai besoin aprés
ensuite
Télécharge Combofix==>ComboFix.exe
==>sur ton Bureau et renomme le avant qu’il vienne sur ton bureau.
pour ce faire fait un clic droit sur Combofix.exe ,choisis “enregistrer la cible du lien sous…” et renomme le en==>Cinnnamyl.exe
==> et pour l’emplacement choisis ton bureau et cliques sur “enregistrer”
Double clique Cinnnamyl.exe ==>(Fichier que tu as renommé)
Tapes sur la touche1 pour démarrer le scan et suis les instructions indiquées par combofix.
Lorsque le scan sera terminé, un rapport apparaîtra. Copie/colle ce rapport ici même.
==>Le rapport se trouve également ici : C:\Combofix.txt
==> tu ne devras pas cliquer dans la fenêtre de Combofix pendant l’analyse ; ceci provoquerait le blocage du programme.
PS
si ta connexion internet n’est plus active après le redémarrage
Fait un double clic sur le fichier de WinsockXPFix
clique sur “Fix” au cas faudra faire une réparation manuelle
Ps==>pour Combofix avant de lancer l analyse==>===>Désactives ton Antivirus Avira avant de lancer Combofix.
n oublies pas de le réactiver aprés l analyse
Bonjour crici58,
merci pour ton aide et de suivre ce sujet !
voici le rapport combofix
ComboFix 09-06-07.07 - Compaq_Propriétaire 08/06/2009 15:53.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.958.402 [GMT 2:00]
Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\Cinnnamyl.exe
AV: AntiVir Desktop On-access scanning disabled (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic On-access scanning enabled (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic On-access scanning enabled (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic On-access scanning enabled (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic On-access scanning enabled (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AV: Norton AntiVirus On-access scanning disabled (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\Desktop.ini
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-08 au 2009-06-08 ))))))))))))))))))))))))))))))))))))
.
2009-06-08 13:46 . 2009-06-08 13:46 -------- d-----w- C:\Cinnamyl
2009-06-08 13:38 . 2009-06-08 07:34 165240 ----a-r- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IPSFFPlgn\components\IPSFFPl.dll
2009-06-08 12:38 . 2009-06-08 07:34 276344 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090528.001\IDSXpx86.sys
2009-06-08 12:38 . 2009-06-08 07:34 292912 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090528.001\IDSvix86.sys
2009-06-08 12:38 . 2009-06-08 07:34 447864 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090528.001\IDSxpx86.dll
2009-06-08 12:38 . 2009-03-16 20:03 533880 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090528.001\Scxpx86.dll
2009-06-08 12:38 . 2009-06-08 07:34 396848 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090528.001\IDSviA64.sys
2009-06-08 10:05 . 2009-06-08 10:29 -------- d-----w- C:\UsbFix
2009-06-08 10:04 . 2009-06-08 10:21 -------- d-----w- C:\ToolBar SD
2009-06-08 10:03 . 2009-06-08 10:03 -------- d-----w- c:\program files\CCleaner
2009-06-08 08:45 . 2009-06-08 07:34 89104 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\NAVENG.SYS
2009-06-08 08:45 . 2009-06-08 07:34 876144 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\NAVEX15.SYS
2009-06-08 08:45 . 2009-06-08 07:34 1181040 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\NAVEX32A.DLL
2009-06-08 08:45 . 2009-06-08 07:34 177520 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\NAVENG32.DLL
2009-06-08 08:45 . 2009-06-08 07:34 371248 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\EECTRL.SYS
2009-06-08 08:45 . 2009-06-08 07:34 101936 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\ERASER.SYS
2009-06-08 08:45 . 2009-06-08 07:34 259368 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\ECMSVR32.DLL
2009-06-08 08:45 . 2009-06-08 07:34 2414128 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090607.021\CCERASER.DLL
2009-06-08 07:35 . 2009-06-08 07:34 36400 ----a-r- c:\windows\system32\drivers\SymIM.sys
2009-06-08 07:35 . 2009-06-08 07:35 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2009-06-08 07:35 . 2009-06-08 07:35 124464 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2009-06-08 07:34 . 2009-06-08 07:34 276344 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSxpx86.sys
2009-06-08 07:34 . 2009-06-08 07:34 396848 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSvia64.sys
2009-06-08 07:34 . 2009-06-08 07:34 292912 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSvix86.sys
2009-06-08 07:34 . 2009-06-08 07:34 1290592 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\SyKnAppS.dll
2009-06-08 07:34 . 2009-06-08 07:34 136840 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\patch25.dll
2009-06-08 07:34 . 2009-06-08 07:34 447864 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\idsxpx86.dll
2009-06-08 07:34 . 2009-06-08 07:34 796016 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\CLT\cltLMSx.dll
2009-06-08 07:33 . 2009-06-08 07:33 -------- d-----w- c:\windows\system32\drivers\NAV
2009-06-08 07:33 . 2009-06-08 07:34 -------- d-----w- c:\program files\Norton AntiVirus
2009-06-08 07:33 . 2009-06-08 07:33 -------- d-----w- c:\program files\Windows Sidebar
2009-06-08 07:33 . 2009-06-08 07:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2009-06-08 07:33 . 2009-06-08 07:33 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller
2009-06-08 07:33 . 2009-06-08 07:33 -------- d-----w- c:\program files\NortonInstaller
2009-06-05 14:19 . 2009-06-05 14:19 -------- d-----w- c:\windows\ERUNT
2009-06-05 14:06 . 2009-06-05 16:12 -------- d-----w- C:\SDFix
2009-06-05 13:12 . 2009-06-05 13:12 -------- d-----w- c:\program files\Trend Micro
2009-06-05 09:34 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-05 09:34 . 2009-06-05 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-05 09:34 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-05 09:34 . 2009-06-05 09:34 -------- d-----w- c:\program files\Malwarebytes’ Anti-Malware
2009-06-04 19:55 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-04 19:55 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-04 19:55 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-04 19:55 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-04 19:54 . 2009-06-04 19:54 -------- d-----w- c:\program files\Avira
2009-06-04 19:54 . 2009-06-04 19:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-04 19:01 . 2009-06-08 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-04 19:01 . 2009-06-04 19:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-04 15:12 . 2009-06-05 09:15 -------- d-----w- c:\windows\BDOSCAN8
2009-06-04 14:34 . 2009-02-03 09:06 1209856 ----a-w- c:\windows\system32\RC98E140.DLL
2009-06-04 14:34 . 2009-02-03 09:06 1843 ----a-w- c:\windows\system32\RC98E1A0.dat
2009-06-04 14:34 . 2005-09-14 12:42 1232896 ----a-w- c:\windows\system32\Ne30Cdat.dll
2009-06-04 13:41 . 2005-12-11 00:01 60928 ----a-w- c:\windows\system32\RIC53DX.EXE
2009-06-04 13:41 . 2005-08-01 05:48 53248 ----a-w- c:\windows\system32\RIC53DPI.DLL
2009-05-25 09:16 . 2009-05-25 09:16 56 —ha-w- c:\windows\system32\ezsidmv.dat
2009-05-25 09:14 . 2009-05-25 09:14 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-05-25 09:14 . 2009-05-25 09:14 -------- d-----r- c:\program files\Skype
2009-05-25 09:14 . 2009-05-25 09:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-08 09:01 . 2005-01-03 04:17 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-06-08 07:35 . 2005-01-03 04:17 -------- d-----w- c:\program files\Symantec
2009-06-08 07:35 . 2009-06-08 07:35 7386 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2009-06-08 07:35 . 2009-06-08 07:35 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2009-06-08 07:33 . 2005-01-03 04:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2009-06-05 13:14 . 2005-01-03 04:12 -------- d-----w- c:\program files\PC-Doctor 5 for Windows
2009-06-05 13:14 . 2005-01-03 04:06 -------- d-----w- c:\program files\Microsoft Works
2009-05-06 08:22 . 2006-04-07 13:14 -------- d-----w- c:\program files\VideoLAN
2009-05-06 08:14 . 2008-11-06 11:51 -------- d-----w- c:\program files\Monitor Calibration Wizard
2009-05-06 08:12 . 2009-01-12 15:05 -------- d-----w- c:\program files\LeechFTP
2009-05-06 08:10 . 2009-04-23 12:12 -------- d-----w- c:\program files\Fichiers communs\DVDVideoSoft
2009-05-06 08:01 . 2007-12-05 09:48 -------- d-----w- c:\program files\clamAV
2009-05-05 07:13 . 2006-03-06 15:50 -------- d-----w- c:\program files\Opera
2009-04-23 12:28 . 2009-04-23 12:19 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2009-04-23 12:28 . 2009-04-23 12:17 -------- d-----w- c:\program files\AVS4YOU
2009-04-23 12:19 . 2009-04-23 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-04-16 07:14 . 2004-11-23 21:26 78148 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-16 07:14 . 2004-11-23 21:26 476284 ----a-w- c:\windows\system32\perfh00C.dat
2009-03-16 20:03 . 2009-03-16 20:03 533880 ----a-w- c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\Scxpx86.dll
2008-07-08 10:32 . 2008-07-08 10:32 15397 ----a-w- c:\program files\settings.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Note les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“DrvMon.exe”=“c:\windows\system32\DrvMon.exe” [2004-09-10 53248]
“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-06-05 68856]
“Nokia.PCSync”=“c:\program files\Nokia\Nokia PC Suite 6\PCSync2.exe” [2008-03-26 1232896]
“PC Suite Tray”=“c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe” [2008-04-16 1079808]
“Skype”=“c:\program files\Skype\Phone\Skype.exe” [2009-04-21 24264488]
“SpybotSD TeaTimer”=“c:\program files\Spybot - Search & Destroy\TeaTimer.exe” [2009-01-26 2144088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“TkBellExe”=“c:\program files\Fichiers communs\Real\Update_OB\realsched.exe” [2005-01-03 180269]
“QuickTime Task”=“c:\program files\QuickTime\qttask.exe” [2006-03-06 155648]
“Adobe Version Cue CS2”=“c:\program files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe” [2005-04-04 856064]
“Acrobat Assistant 7.0”=“c:\program files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe” [2006-01-12 483328]
“mxomssmenu”=“c:\program files\Maxtor\OneTouch Status\maxmenumgr.exe” [2007-09-06 169264]
“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784]
“avgnt”=“c:\program files\Avira\AntiVir Desktop\avgnt.exe” [2009-03-02 209153]
c:\documents and settings\All Users\Menu D?marrer\Programmes\D?marrage
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2007-6-7 25214]
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-3-13 110592]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
“NoViewOnDrive”= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
@=“FSFilter Activity Monitor”
[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM~\startupfolder\C:^Documents and Settings^Compaq_Propriétaire^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup
[HKLM~\startupfolder\C:^Documents and Settings^Compaq_Propriétaire^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“c:\Program Files\uTorrent\uTorrent.exe”=
“c:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe”=
“c:\WINDOWS\system32\sessmgr.exe”=
“c:\Program Files\Macromedia\Dreamweaver 8\Dreamweaver.exe”=
“c:\Program Files\FileZilla FTP Client\filezilla.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1005000.086\SymEFA.sys [08/06/2009 09:34 310320]
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NAV\1005000.086\BHDrvx86.sys [08/06/2009 09:34 258608]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1005000.086\cchpx86.sys [08/06/2009 09:34 482352]
R1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090528.001\IDSXpx86.sys [08/06/2009 14:38 276344]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/06/2009 21:55 108289]
R2 Norton AntiVirus;Norton AntiVirus;c:\program files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe [08/06/2009 09:34 115560]
R2 PDIHWCTL;PDIHWCTL;c:\windows\system32\drivers\pdihwctl.sys [14/11/2008 16:47 14416]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [08/06/2009 10:45 101936]
S3 i1;eye-one;c:\windows\system32\drivers\i1.sys [14/11/2008 16:47 26045]
.
Contenu du dossier ‘Tâches planifiées’
2009-06-08 c:\windows\Tasks\Symantec NetDetect.job
Notify-WgaLogon - (no file)
SafeBoot-procexp90.Sys
.
------- Examen supplémentaire -------
.
uSearch Page = www.google.com…
uSearch Bar = www.google.com…
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = www.google.com…
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - www.zebulon.fr…
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\lbjviuk6.Utilisateur par défaut
FF - component: c:\documents and settings\All Users\Application Data\Norton{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IPSFFPlgn\components\IPSFFPl.dll
FF - component: c:\program files\Mozilla Firefox\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2009-06-08 15:56
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés …
Recherche d’éléments en démarrage automatique cachés …
Recherche de fichiers cachés …
Scan terminé avec succès
Fichiers cachés: 0
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton AntiVirus]
“ImagePath”="“c:\program files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe” /s “Norton AntiVirus” /m “c:\program files\Norton AntiVirus\Engine\16.5.0.134\diMaster.dll” /prefetch:1"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
‘winlogon.exe’(780)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-06-08 15:59
ComboFix-quarantined-files.txt 2009-06-08 13:58
Avant-CF: 77 363 462 144 octets libres
Après-CF: 77 354 500 096 octets libres
205 — E O F — 2009-06-08 07:08