× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Personal Shield ProSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
ouran
  Posté le 16/07/2011 @ 17:33 
Aller en bas de la page 
Petite astucienne

Bonjour tout le monde...

Ce foutu rogue ne nous laisse plus en paix et éteint l'ordinateur toutes les demi-heures!

Avez-vous une solution "miracle" dans les tuyaux ?

Rapport Roguekiller (anonymé et en mode "2") :

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: XXX [Droits d'admin]
Mode: Suppression -- Date : 16/07/2011 17:08:53

Processus malicieux: 1
[SUSP PATH] cG02300PeGaM02300.exe -- c:\documents and settings\all users\application data\cg02300pegam02300\cg02300pegam02300.exe -> KILLED

Entrees de registre: 3
[SUSP PATH] HKCU\[...]\RunOnce : cG02300PeGaM02300 (C:\Documents and Settings\All Users\Application Data\cG02300PeGaM02300\cG02300PeGaM02300.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:
ÿþ1

Termine : << RKreport[1].txt >>
RKreport[1].txt

J'essaie de faire trouner Mbam mais je crois que Personal Shield le bloque...

Publicité
HUNGRY
 Posté le 16/07/2011 à 18:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fill
 Posté le 16/07/2011 à 18:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Après passage de rogue killer, redémarre en mode sans échec. Tapote sur F5 ou F8 au démarrage. Choisis la prise en charge réseau et essaie d'installer malwabyte.

Fais une mise à jour, une analyse rapide et édite le rapport si cela fonctionne.

Fill

ouran
 Posté le 17/07/2011 à 11:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Salut et merci pour vos réponses.

Fill, j'ai fait ce qui tu demandais. Rapport Mbam :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7173

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

17/07/2011 11:23:48
mbam-log-2011-07-17 (11-23-48).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 172311
Temps écoulé: 10 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> Quarantined and deleted successfully.

Le rapport précédent de Rogue Killer :

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: XXX [Droits d'admin]
Mode: Suppression -- Date : 17/07/2011 10:15:04

Processus malicieux: 3
[SUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED
[SUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED
[SUSP PATH] DitExp.exe -- c:\windows\ditexp.exe -> KILLED

Entrees de registre: 1
[SUSP PATH] HKCU\[...]\RunOnce : 5C37D02A (C:\WINDOWS\5C37D02A.exe) -> DELETED

Fichier HOSTS:
ÿþ1

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

ouran
 Posté le 17/07/2011 à 13:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

bon le pc se réinfecte tout seul... quelle galère !

Avira vient de détecter deux fois TR/Kasy.30645.4 sans manifestement arriver à s'en débarasser, et j'ai lané un scan complet de Mbam qui a déjà (et encore) trouvé deux éléments infectés.

Fill
 Posté le 17/07/2011 à 13:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

  • Télécharge ZHPDiag de Nicolas Coolman sur ton Bureau,
  • Installe le programme et exécute-le si le lancement n'est pas automatique.
  • La fenêtre du logiciel se présente ainsi :

  • Clique sur le tournevis à droite. Choisis "Tous" et décoche la case "Redirection du fichier hosts (01)".
  • Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
  • L'analyse peut durer une dizaine de minutes.
  • Le rapport généré par l'outil se nomme ZHPDiag.txt et se situe là : C:\program files\ZHPDiag\ZHPDiag.txt
  • Il y en a également une copie sur ton Bureau.
  • Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  • Dans ta prochaine réponse, clique sur les touches CTRL+V pour coller ce rapport. Si tu rencontres un message d'erreur, cela signifie que le rapport est trop long. Il te faut donc l'éditer en plusieurs parties en veillant bien à ne rien oublier
  • Tu peux héberger le rapport en cliquant sur le bouton "Insérer un rapport" en bas : Insérer un rapport

Fill

ouran
 Posté le 17/07/2011 à 16:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
ouran
 Posté le 17/07/2011 à 16:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re-bonjour Fill,

Merci pour cette nouvelle étape mais

1) suite à mon message de 13h33 Malwarebytes en mode normal a planté au bout de 2h30

2) ZHPDiag, tout comme Avira lors d’une analyse complète et Process Killer essayé la semaine dernière en mode normal, a planté sur le même fichier c:\windows\system32\drivers\zeggdjcj.sys

3) J’ai donc lancé ZHPDiag en mode sans échec avec prise en charge du réseau. Le rapport demandé a été hébergé par "insérer un rapport".

Merci.

Fill
 Posté le 17/07/2011 à 17:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/

  • Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-notes),
  • Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

EmptyTemp
EmptyFlash
O44 - LFC:[MD5.FA308D1FB9F07B5D191158176CEEF4B4] - 17/07/2011 - 09:44:35 ---A- . (...) -- C:\WINDOWS\6DECD52F [208]
O44 - LFC:[MD5.7A3A06B5BCA688EB6FAF2D21B36B0449] - 17/07/2011 - 09:09:00 ---A- . (...) -- C:\WINDOWS\5C37D02A [208]
O44 - LFC:[MD5.25E797158951CAFFF67DF4B3A4F34281] - 09/07/2011 - 19:07:26 ---A- . (...) -- C:\WINDOWS\32EAC016 [208]
O44 - LFC:[MD5.762D449B63BC19144F183A1E64816AE6] - 08/07/2011 - 16:48:51 ---A- . (...) -- C:\fsqwr.bmp [1228854]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 08/07/2011 - 16:35:39 ---A- . (...) -- C:\DFR1.tmp [0]
O61 - LFC:Last File Created 17/07/2011 - 10:03:02 ---A- C:\Documents And Settings\All Users\Application Data\cG02300PeGaM02300\cG02300PeGaM02300.exe [421888]
O61 - LFC:Last File Created 17/07/2011 - 10:03:02 ---A- C:\Documents And Settings\MAZUY Roland\Bureau\RK_Quarantine\cG02300PeGaM02300.exe.vir [421888]
[MD5.A6DD17AF7E701D48D178DB3187A20CD8] [SPRF][17/07/2011] (...) -- C:\Documents and Settings\MAZUY Roland\Bureau\Winlogon.exe [516608]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer] =>Adware.MetaStream
[HKLM\Software\Classes\axmetastream.metastreamctl] =>Adware.MetaStream
[HKLM\Software\Classes\axmetastream.metastreamctl.1] =>Adware.MetaStream
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary] =>Adware.MetaStream
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1] =>Adware.MetaStream
[HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}] =>Adware.MetaStream
[HKLM\Software\Classes\TypeLib\{4f7d1b07-6203-41f0-947b-a29cc9ecd9b0}] =>Adware.BHO
[HKLM\Software\Classes\TypeLib\{9dbb28c1-1925-11d3-a498-00104b6eb52e}] =>Adware.MetaStream
[HKCU\Software\Loaris] =>Rogue.Multiple
[HKLM\Software\MetaStream] =>Adware.MetaStream
[HKLM\Software\Viewpoint] =>Adware.MetaStream
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer] =>Adware.MetaStream
C:\Program Files\Enigma Software Group\SpyHunter =>Crapware.SpyHunter
C:\Program Files\Loaris =>Rogue.Multiple
C:\Program Files\Viewpoint =>Adware.MetaStream

  • Enregistre le fichier dans le dossier C:\Program Files\ZHPDiag en choisisissant Fichiers>Enregistrer sous.... En nom de fichier, tu indiques ZHPDiag.txt. Une demande de confirmation est demandée car tu vas écraser l'ancien rapport. Tu acceptes.
  • Lance ZHPFix de Nicolas Coolman qui se trouve lui aussi dans le dossier ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre. Il doit contenir dans la fenêtre de rapport uniquement les lignes que tu as sélectionnées au-dessus. Si ça ne correspond pas, tu interromps la procédure et tu me préviens.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Nettoyer" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.
  • Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt

2/

  • Téléchargez Combofix depuis l'un des liens ci-dessous:

    Lien 1
    Lien 2

    * IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

  • Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Faites un double clic sur combofix.exe & suivez les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

  • Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Réduction à 95% de la taille originale [ 536 x 154 ]




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

3/

  • Télécharge TFC par Old_Timer sur ton Bureau,
  • Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  • L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  • Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  • Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système. S'il ne le fait pas, fais-le redémarrer manuellement le PC toi-même pour parachever le nettoyage.

4/ Il est important d'aller au bout de la procédure même si tu notes une amélioration rapide.

Fill



Modifié par Fill le 17/07/2011 17:46
Publicité
ouran
 Posté le 17/07/2011 à 19:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

ouf ! artillerie lourde en cours... dores et déjà merci !

je peux supprimer le message contenant le rapport HPDiag où il est utile à la cohérence du post ?

Fill
 Posté le 17/07/2011 à 21:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Il est préférable de le laisser.

Fill

ouran
 Posté le 17/07/2011 à 22:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

Après avoir lancé Combofix en mode normal, au bout de 2h, il était toujours bloqué sur étape 2 et machine également bloquée obligeant un redémarrage sauvage. J'ai donc lancé Combofix en mode sans échec avec prise en charge réseau, voir le rapport ci dessous. TFC exécuté lui sans problème. Une nouvelle fois merci.

ComboFix 11-07-17.03 - XXX 17/07/2011 22:17:31.4.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.683 [GMT 2:00]
Lancé depuis: c:\documents and settings\XXX\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\common.data
c:\windows\IsUn0413.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-06-17 au 2011-07-17 ))))))))))))))))))))))))))))))))))))
.
.
2011-07-17 13:58 . 2011-07-17 13:58 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-07-17 13:06 . 2011-07-17 16:10 -------- d-----w- c:\program files\ZHPDiag
2011-07-16 09:17 . 2011-07-17 16:09 -------- d-----w- c:\program files\Enigma Software Group
2011-07-16 09:17 . 2011-07-16 15:53 -------- d-----w- C:\sh4ldr
2011-07-16 09:16 . 2011-07-16 15:53 -------- d-----w- c:\windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP
2011-07-16 09:03 . 2011-07-17 16:07 -------- d-----w- c:\documents and settings\All Users\Application Data\cG02300PeGaM02300
2011-07-12 12:12 . 2011-07-12 17:49 -------- d-----w- c:\documents and settings\All Users\Application Data\mA02300KmEbK02300
2011-07-10 19:37 . 2011-07-11 21:02 -------- d-----w- c:\documents and settings\All Users\Application Data\jA02300BhFgI02300
2011-07-09 18:07 . 2011-07-09 18:07 -------- d-----w- c:\documents and settings\All Users\Application Data\hG00000MeEnG00000
2011-07-04 20:27 . 2011-07-08 20:33 -------- d-----w- c:\documents and settings\All Users\Application Data\fA02300MfDmH02300
2011-07-04 20:27 . 2011-07-04 20:27 101376 ----a-w- c:\windows\system32\drivers\zeggdjcj.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 17:52 . 2010-11-11 15:36 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2010-11-11 15:36 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-06 11:35 . 2003-10-05 19:19 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-02 15:31 . 2003-01-30 14:18 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2003-10-05 19:18 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2003-10-05 19:18 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2003-10-05 19:19 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-26 11:07 . 2003-10-05 19:18 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-25 16:06 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:06 . 2003-10-05 19:18 43520 ------w- c:\windows\system32\licmgr10.dll
2011-04-25 16:06 . 2003-10-05 19:18 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-19 22:56 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2003-10-05 19:18 105472 ----a-w- c:\windows\system32\drivers\mup.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSTA.EXE"="PRISMSTA.EXE START" [X]
"Cmaudio"="cmicnfg.cpl" [2003-10-14 2269184]
"Dit"="Dit.exe" [2002-08-28 73728]
"CHotkey"="mHotkey.exe" [2003-06-27 506368]
"ledpointer"="CNYHKey.exe" [2003-06-27 5798912]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-05-28 394240]
"EEventManager"="c:\program files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\startupfolder\C:^Documents and Settings^XXX^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\Program Files\\EpsonNet\\EpsonNet Setup\\tool10\\ENEasyApp.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\EEventManager.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows
.
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/07/2009 12:15 136360]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [11/11/2010 17:37 366640]
S2 zeggdjcj;zeggdjcj;c:\windows\system32\drivers\zeggdjcj.sys [04/07/2011 22:27 101376]
S3 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14/05/2009 18:07 759048]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11/11/2010 17:36 22712]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [12/06/2003 08:47 24704]
S3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\prisma00.sys [10/09/2003 13:22 362688]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17/06/2009 14:20 12648]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [05/10/2003 21:19 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
Contenu du dossier 'Tâches planifiées'
.
2011-07-17 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-04-12 08:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://zimbra.free.fr/
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java
DPF: {0DBF2423-33D3-4084-B83E-6A3661F2CD46} - hxxp://www.monalbum.fr/v3/skinsrc/core/system/6.5.6/ImageUploader6.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-zeggdjcj
AddRemove-{29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1 - c:\program files\Loaris\Trojan Remover 1.2\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-17 22:27
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Ahead\Nero - Burning Rom\Settings\NeroIsoListCtrl]
@DACL=(02 0000)
@SACL=
"FILENAME"="0,120,0,664,1"
"FILESIZE"="1,90,1,671,1"
"FILETYPE"="2,60,0,62441,1"
"FILEDATE"="3,70,1,675,1"
"FILEATTRIBUTE"="4,60,0,673,0"
"FILEPRIORITY"="5,80,0,676,0"
"FILEORIGIN"="6,150,0,64,0"
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Cyberlink\PowerDirector\2.55\PlayLine]
@DACL=(02 0000)
@SACL=
"-1"=hex:00,00,00,00
"0"=hex:00,00,00,00
"1"=hex:00,00,00,00
"2"=hex:01,00,00,00
"3"=hex:01,00,00,00
"4"=hex:00,00,00,00
"5"=hex:01,00,00,00
"6"=hex:01,00,00,00
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Cyberlink\PowerDirector\2.55\Recording]
@DACL=(02 0000)
@SACL=
"VideoDevice"="MEDION (7134) WDM Video Capture"
"AudioDevice"="C-Media Wave Device"
"VideoSource"=dword:00000000
"TunerType"=dword:00000000
"Channel"=dword:00000004
"DeviceIsUSB"=hex:00,00,00,00
"ProfileName"="MPEG-1 - Qualité moyenne"
"AutoNaming"=hex:01,00,00,00
"AddStoryboard"=hex:01,00,00,00
"AddLibrary"=hex:01,00,00,00
"UseOverlay"=hex:01,00,00,00
"ProfileType"=dword:00000003
"AudioRecLine"=dword:00000002
"NonRealtime"=hex:00,00,00,00
"FastRipper"=hex:01,00,00,00
"TunerAudio"=hex:00,00,00,00
"Brightness"=hex:00,00,00,80
"Contrast"=hex:00,00,00,80
"Hue"=hex:00,00,00,80
"Saturation"=hex:00,00,00,80
"Sharpness"=hex:00,00,00,80
"CountryCode"=hex:21,00,00,00
"CountryName"="France"
"VideoFormatTuner"=dword:00040000
"VideoFormatNonTuner"=dword:00040000
"PopRename"=hex:01,00,00,00
"NoPreview"=hex:00,00,00,00
"AudioRecLineVol"=hex:9e,f3,9d,f3,9d,f3,dd,3f
"BatchCol1"=hex:4d,00,00,00
"BatchCol2"=hex:4d,00,00,00
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Cyberlink\PowerDirector\2.55\Recording AuProfile]
@DACL=(02 0000)
@SACL=
"0"="1"
"1"="2"
"2"="44100"
"3"="176400"
"4"="4"
"5"="16"
"6"="0"
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Cyberlink\PowerDVD\BuildInfo]
@DACL=(02 0000)
@SACL=
"SR_No"="ZZZ030812-09"
"Skin"="Medion_0730"
"iPower"="030714"
"Setup"="030930"
"Help"="030812"
"RC"="030811"
"Readme"="030708"
"Other"="030527"
"Ver"="5.00.0725"
"Kernel(Utility)"="0725(GM)"
"UI"="0815(GM)_Medion"
"Filter(DShow)"="0725(GM)"
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Cyberlink\PowerDVD\Color_Control]
@DACL=(02 0000)
@SACL=
"2"=hex:56,69,66,00,92,eb,97,01,06,00,00,00,00,00,00,00,3f,00,00,00,00,00,00,
00,98,ea,12,00,83,f2,d1,77,00,00,00,00,02,00,00,00,40,00,00,00,00,00,00,00,\
"1"=hex:4f,72,69,67,69,6e,61,6c,00,00,00,00,00,00,00,00,3f,00,00,00,00,00,00,
00,74,e9,12,00,83,f2,d1,77,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,\
"3"=hex:4c,75,6d,69,6e,65,75,78,00,00,00,00,00,00,00,00,3f,00,00,00,00,00,00,
00,74,e9,12,00,83,f2,d1,77,00,00,00,00,03,00,00,00,a0,00,00,00,00,00,00,00,\
"4"=hex:54,68,e9,e2,74,72,65,00,0e,00,00,00,00,00,00,00,3f,00,00,00,00,00,00,
00,74,e9,12,00,83,f2,d1,77,00,00,00,00,04,00,00,00,30,00,00,00,00,00,00,00,\
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Local AppWizard-Generated Applications\MMDiag]
@DACL=(02 0000)
@SACL=
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Computer Associates\eTrust\eTrust Antivirus]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\ATI Technologies Inc.\Pilotes ATI]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Classes\.axe\Automap.Map.EU.11\ShellNew\Europe.axt']
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Classes\.axe\ShellNew\Europe.axt']
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\ieupdate\RegBackup]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\oeupdate\RegBackup]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Java VM\Security]
@DACL=(02 0000)
@SACL=
"EditCustomPermissions"=hex:00,00,00,00
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\9.0]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\FilterShimDllExclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\FilterShimDllInclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\FilterShimExclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\FilterShimInclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{13A7995E-7D8F-45B4-9C77-819265225763}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:00000001
"AutoInsert"=dword:00000001
"Name"="WMPlayer Spectrum Analyzer DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{95037DA1-6ED9-4B27-8CFF-9AD3DFB0B2F2}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:fffffffb
"AutoInsert"=dword:00000001
"Name"="WMPlayer SRSWow DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{974BF3BF-C9AE-4476-8003-5FE544DF458C}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:fffffffe
"AutoInsert"=dword:00000001
"Name"="WMPlayer Video Processing DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{B2DBA270-9F49-4513-AC13-76496D6EBA3A}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:00000002
"AutoInsert"=dword:00000000
"Name"="Speaker Enhancement DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{D01BC8E2-70AD-4976-9612-21B37ED5C8E8}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:00000003
"AutoInsert"=dword:00000001
"Name"="WMPlayer Equalizer DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{D7E9C0B4-0E4D-46B4-BC46-1D0222F92C6F}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:fffffffc
"AutoInsert"=dword:00000001
"Name"="Seamless Audio DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{E5A8C40E-654B-44D4-ACBB-DBE6D3B3333B}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:fffffffd
"AutoInsert"=dword:00000001
"Name"="Volume Normalization DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{FB02E8EF-ACFE-4CC0-96DF-8B5C7098272C}]
@DACL=(02 0000)
@SACL=
"Priority"=dword:fffffffe
"AutoInsert"=dword:00000001
"Name"="WMPlayer Time Compression DMO"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Setup\Installed Versions]
@DACL=(02 0000)
@SACL=
"wmp.dll"=hex:00,00,0b,00,19,14,59,16
"wmploc.dll"=hex:00,00,0b,00,19,14,59,16
"wmplayer.exe"=hex:00,00,0b,00,19,14,59,16
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ShimDllExclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ShimDllInclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ShimExclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ShimInclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\SmartPlaylist]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Money\12.0\Msi]
@DACL=(02 0000)
@SACL=
"SystemCost"=dword:00000000
"LastPackage"="{8C64E19A-54BA-11D6-91B1-00500462BE80}"
"LastProduct"="{1D643CD2-4DD6-11D7-A4E0-000874180BB3}"
"LastLang"="1036"
"LastUserInstall"="Propriétaire"
"PatchCount"=dword:00000000
"DESKTOP_SHORTCUTS"="1"
"_IsSetupTypeMin"="500"
"DPID"="#xA40000000300000037333839382D4F454D2D303430303030332D303030303000090000000000000000000000000000000000000000000000E5F06BC6620A502F662D030000000000413F803F39DD08000200000000000000000000000000000000000000000000003333383035000000000000009E1600004A2EE9040002000091010000000000000000000000000000000000000000000000000000000000001C9BD690"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(400)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-07-17 22:30:13
ComboFix-quarantined-files.txt 2011-07-17 20:30
.
Avant-CF: 51 108 896 768 octets libres
Après-CF: 51 209 674 752 octets libres
.
- - End Of File - - 033A2E015F3793963FC052BB72B689B5



Modifié par ouran le 18/07/2011 12:56
Fill
 Posté le 17/07/2011 à 23:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/

  • Télécharge le fichier suivant,
  • Dézippe-le (Clic droit > Extraire ici).
  • Renomme-le en CFScript,
  • Fais un glisser/déposer de ce fichier texte CFScript.txt sur le fichier ComboFix.exe comme sur la capture

  • Patiente le temps du scan, le Bureau va disparaître à plusieurs reprises: c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ces instructions ne concernent que cette machine. Elles ne doivent pas être appliquées sur une autre machine.

2/ Fais une analyse en ligne en suivant ce tuto et édite le rapport.

3/ Comment se comporte le pc ?

Fill



Modifié par Fill le 17/07/2011 23:22
Fill
 Posté le 17/07/2011 à 23:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Fichier joint : CFScript.txt

ouran
 Posté le 18/07/2011 à 23:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir FILL

Et la galère continue, avant de te rendre compte suite à tes instructions une information :

A 2 reprises dans la journée sans travailler sur l'ordi, Malwarebytes a bloqué un processus malicieux, désignation :

C:\WINDOWS\09B0091C.EXE (TROJAN.FAKEALERT)

C:\WINDOWS\24BB3820.EXE (TROJAN.FAKEALERT)

Bien entendu, j'ai cliqué sur Quarantaine et je ne les ai pas retrouvés dans l'onglet quarantaine.

Revenons à tes propositions. Après avoir mis le fichier dans Combofix, en mode normal, il ne s'est rien passé et de nouveau machine bloquée. En mode sans échec, voir le rapport ci-dessous.

Suite à l'analyse d'ESET, le rapport suit celui de Combofix.

Les 10 fichiers infectés ont-ils été nettoyés ?

A nouveau merci pour ton intervention.

ComboFix 11-07-18.01 - XXX 18/07/2011 19:04:00.5.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.674 [GMT 2:00]
Lancé depuis: c:\documents and settings\XXX\Bureau\ComboFix.exe
Commutateurs utilisés
c:\documents and settings\XXX\Bureau\77929-20110717232205_CFScript.txt\CFScript.txt.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE
:: "c:\windows\system32\drivers\zeggdjcj.sys"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\cG02300PeGaM02300
c:\documents and settings\All Users\Application Data\cG02300PeGaM02300\cG02300PeGaM02300
c:\documents and settings\All Users\Application Data\common.data
c:\documents and settings\All Users\Application Data\fA02300MfDmH02300
c:\documents and settings\All Users\Application Data\fA02300MfDmH02300\fA02300MfDmH02300
c:\documents and settings\All Users\Application Data\hG00000MeEnG00000
c:\documents and settings\All Users\Application Data\jA02300BhFgI02300
c:\documents and settings\All Users\Application Data\jA02300BhFgI02300\jA02300BhFgI02300
c:\documents and settings\All Users\Application Data\mA02300KmEbK02300
c:\documents and settings\All Users\Application Data\mA02300KmEbK02300\mA02300KmEbK02300
c:\program files\Enigma Software Group
C:\sh4ldr
c:\sh4ldr\shldr.mbr
c:\windows\system32\drivers\zeggdjcj.sys
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_ZEGGDJCJ
-------\Service_WinRM
-------\Service_zeggdjcj
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-06-18 au 2011-07-18 ))))))))))))))))))))))))))))))))))))
.
.
2011-07-17 13:58 . 2011-07-17 13:58 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-07-17 13:06 . 2011-07-17 16:10 -------- d-----w- c:\program files\ZHPDiag
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 17:52 . 2010-11-11 15:36 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2010-11-11 15:36 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-06 11:35 . 2003-10-05 19:19 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-02 15:31 . 2003-01-30 14:18 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2003-10-05 19:18 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2003-10-05 19:18 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2003-10-05 19:19 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-26 11:07 . 2003-10-05 19:18 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-25 16:06 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:06 . 2003-10-05 19:18 43520 ------w- c:\windows\system32\licmgr10.dll
2011-04-25 16:06 . 2003-10-05 19:18 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-19 22:56 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2003-10-05 19:18 105472 ----a-w- c:\windows\system32\drivers\mup.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSTA.EXE"="PRISMSTA.EXE START" [X]
"Cmaudio"="cmicnfg.cpl" [2003-10-14 2269184]
"Dit"="Dit.exe" [2002-08-28 73728]
"CHotkey"="mHotkey.exe" [2003-06-27 506368]
"ledpointer"="CNYHKey.exe" [2003-06-27 5798912]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-05-28 394240]
"EEventManager"="c:\program files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\startupfolder\C:^Documents and Settings^MAZUY Roland^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\Program Files\\EpsonNet\\EpsonNet Setup\\tool10\\ENEasyApp.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\EEventManager.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/07/2009 12:15 136360]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [11/11/2010 17:37 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11/11/2010 17:36 22712]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [12/06/2003 08:47 24704]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]
S3 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14/05/2009 18:07 759048]
S3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\prisma00.sys [10/09/2003 13:22 362688]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17/06/2009 14:20 12648]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]
.
Contenu du dossier 'Tâches planifiées'
.
2011-07-18 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-04-12 08:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://zimbra.free.fr/
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java
DPF: {0DBF2423-33D3-4084-B83E-6A3661F2CD46} - hxxp://www.monalbum.fr/v3/skinsrc/core/system/6.5.6/ImageUploader6.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-18 19:19
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1103855850-2816699449-3871432451-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Computer Associates\eTrust\eTrust Antivirus]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\ATI Technologies Inc.\Pilotes ATI]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\FilterShimDllInclusionList]
@DACL=(02 0000)
@SACL=
.
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\FilterShimExclusionList]
@DACL=(02 0000)
@SACL=
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(468)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1432)
c:\windows\HKCYDLL.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
c:\program files\Epson Software\Easy Photo Print\EPTBL.dll
c:\program files\Microsoft Office\Office10\msohev.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\RunDll32.exe
c:\windows\Dit.exe
c:\windows\DitExp.exe
c:\windows\mHotkey.exe
c:\windows\CNYHKey.exe
c:\windows\system32\PRISMSTA.EXE
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Heure de fin: 2011-07-18 19:28:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-07-18 17:28
ComboFix2.txt 2011-07-17 20:30
.
Avant-CF: 50 908 348 416 octets libres
Après-CF: 51 186 028 544 octets libres
.
- - End Of File - - 8247D7C558CD7817F67D89070EECB21A

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=6d790cded167a84fb4f718325476aac6
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-18 08:09:28
# local_time=2011-07-18 10:09:28 (+0100, Europe de l'Ouest (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 21428761 21428761 0 0
# compatibility_mode=1797 16775141 100 100 199801 85907152 203303 0
# compatibility_mode=8192 67108863 100 0 265 265 0 0
# scanned=87872
# found=10
# cleaned=0
# scan_time=9182
C:\Documents and Settings\XXX\Bureau\setup-ltr1237.exe une variante de Win32/1AntiVirus application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\XXX\Bureau\RK_Quarantine\cG02300PeGaM02300.exe.vir Win32/Adware.SystemSecurity.AI application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Program Files\ZHPDiag\Quarantine\cg02300pegam02300.exe.VIR Win32/Adware.SystemSecurity.AI application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Program Files\ZHPDiag\Quarantine\loaris.DIR\Trojan Remover 1.2\ltr12.exe une variante de Win32/1AntiVirus application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP214\A0025968.exe une variante de Win32/1AntiVirus application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP215\A0027023.exe une variante de Win32/1AntiVirus application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP223\A0036344.exe une variante de Win32/1AntiVirus application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP224\A0036498.exe Win32/Adware.SystemSecurity.AI application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP224\A0036501.exe une variante de Win32/1AntiVirus application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP224\A0036540.exe une variante de Win32/1AntiVirus application (impossible de nettoyer) 00000000000000000000000000000000 I

Fill
 Posté le 19/07/2011 à 17:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

1/ Renomme Combofix en Uninstall et double-clique dessus.

2/

  • Télécharge OTM (de Old_Timer) sur ton bureau,
  • Double-clique sur OTM.exe pour lancer le programme,
  • Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :
  • Si tu as changé le nom d'utilisateur, indique le nom réel à la place des XXX

Begin copying here:

:Files
C:\Documents and Settings\XXX\Bureau\setup-ltr1237.exe
C:\Documents and Settings\XXX\Bureau\RK_Quarantine


:Commands
[ClearAllRestorePoints]
[EmptyFlash]
[EmptyTemp]
[Start Explorer]

  • Clique sur MoveIt! pour lancer la suppression,
  • Le résultat appraraîtra dans le cadre Results.
  • Clique sur Exit pour fermer le programme.
  • Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
  • Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

3/ As-tu toujours des alertes ?

Fill

ouran
 Posté le 19/07/2011 à 19:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Fill,

Encore une fois merci pour ton aide précieuse. Voici le rapport d'OTM. Nous laissons tourner l'ordi pendant quelques heures pour pouvoir répondre à ta dernière question.

Aujourd'hui, pas d'alerte Malwarebytes mais un blocage par Avira (avant exécution de tes instructions) du type System Volume Information etc. (voir rapport ESET d'hier soir).

Sans alerte Malwarebytes pendant 24h, pourrais-je désactiver son lancement au démarrage de l'ordi ?

Merci.

All processes killed
Error: Unable to interpret <Begin copying here:> in the current context!
========== FILES ==========
C:\Documents and Settings\XXX\Bureau\setup-ltr1237.exe moved successfully.
C:\Documents and Settings\XXX\Bureau\RK_Quarantine folder moved successfully.
========== COMMANDS ==========

Restore points cleared and new OTM Restore Point set!

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: XXX

->Temp folder emptied: 172529 bytes
->Temporary Internet Files folder emptied: 212263672 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 3072 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 203,00 mb


OTM by OldTimer - Version 3.1.18.0 log created on 07192011_190259

Publicité
Fill
 Posté le 19/07/2011 à 19:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Ca devrait être OK. Si tu n'as plus d'alerte, tu peux faire ceci :

1/

  • Lance OTM.
  • Clique sur CleanUp! et clique sur OK.
  • Une liste apparaît dans la partie gauche d'OTM.
  • Un message apparaît pour confirmer le nettoyage. Confirme.
  • Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi.

2/

  • Ouvre ZHPFix dans C:\Program files\ZHPDiag
  • Clique sur ces boutons pour supprimer tous les éléments de la quarantaine et pour supprimer les outils utilisés :

.
3/
Tu peux par contre, garder Malwarebytes'Anti-malware et CCleaner. Utilise CCleaner tous les soirs avant de couper le PC (ne prends que quelques secondes!).

N'oublie pas de vacicner tes clés USB, disques durs externes etc...

Cela permet d'éviter un certain nombre d'infections utilisant ce moyen pour se propager.

Tu peux lire cet article qui explique les risques d'infections par supports amovibles.
Tu peux télécharger USBSet de Loup Blanc. Voici un tuto pour configurer correctement l'outil préventif. Comment c'est le cas pour tout vaccin, il n'évitera pas toutes les infections par ce type de support mais permet de réduire le facteur de risques en configurant correctement la machine et la clé.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.


4/

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.Cela englobe les mises à jour de windows, du navigateur, de Java, des lecteurs pdf, et notamment reader.

Pour Java, il est possible d'utiliser Javara. Cela permet d'installer la dernière version De Java et d'effacer les anciennes versions.

Pour le lecteur pdf, on peut utiliser des lecteurs alternatifs plus légers, comme Sumatra pdf, à la place de reader.

Pour tester les vulnérabilités et les logiciels non à jour, il est possible de se rendre sur le site de Secunia et de faire une analyse de la machine.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
5/

/!\ Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Ré-activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour désactiver la Restauration du système sous XP

Vider les points de Restauration système sous Vista

Activer ou désactiver la Restauration du système sous Windows 7

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

6/ Il est très important d'adopter un logiciel permettant de créer des images de son système. En cas de gros plantage, de défaillance matérielle, d'infection incurable, on peut ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet. On peut alors conserver une image disque sur sa machine et sur un support extérieur (Disque dur externe). Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.

Voici DiskWizard, qui est une version bridée gratuite du logiciel Acronis. Elle s'utilise pour les disques de marque Seagate.
Téléchargement : Diskwizard
Tuto : Diskwizard

Pour les disques Western Digital :
Téléchargement : Acronis True Image WD Edition
Tuto : Acronis True Image WD Edition

Pour les disques Maxtor :
Téléchargement : Maxblast
Tuto : Maxblast

Le programme Macrium permet lui aussi de créer des images disques. Un tuto présenté sur cette page.
Il y a aussi DriveImage, qui offre des fonctionnalités intéressantes. Voici un tuto bien sur le site libellule.
Enfin, on peut aussi citer Drive Backup 9 free edition.

Pour windows7, il y a l'outil natif intégré à cette architecture qui est décrit ici.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Sécuriser son PC +WIFI (versions "hot" & "light") : https://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : https://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet et parle de PC Astuces autour de toi!

Bon surf et sois prudente !

Fill



Modifié par Fill le 19/07/2011 19:31
ouran
 Posté le 21/07/2011 à 19:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Fill,

Avant de répondre, j'ai préféré attendre de voir comment l'ordinateur se comportait. Pas de nouvelle alerte depuis 48h.

Encore une fois, merci pour ton aide efficace et pour toutes ces consignes et recommandations . Je ferai mon maximum pour assimiler toutes les lectures conseillées.

Tu as raison, PC Astuces mérite une bonne promotion.

Bien cordialement,

Ouran

Fill
 Posté le 21/07/2011 à 22:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

ouran a écrit :

Bonsoir Fill,

Avant de répondre, j'ai préféré attendre de voir comment l'ordinateur se comportait. Pas de nouvelle alerte depuis 48h.

Encore une fois, merci pour ton aide efficace et pour toutes ces consignes et recommandations . Je ferai mon maximum pour assimiler toutes les lectures conseillées.

Tu as raison, PC Astuces mérite une bonne promotion.

Bien cordialement,

Ouran

Salut,

Content d'avoir pu t'aider

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
89,99 €Caméra de surveillance additionnelle Netgear Arlo HD à 89,99 €
Valable jusqu'au 12 Avril

Amazon propose actuellement la caméra additionnelle Netgear Arlo HD VMC3030-100EUS à 89,99 € livrée gratuitement au lieu de 148 € . Elle est compatible avec les systèmes Arlo, Arlo Pro et Arlo Pro 2. Elle est étanche IP65.


> Voir l'offre
101 €SSD Crucial BX500 1 To à 101 €
Valable jusqu'au 10 Avril

Amazon propose actuellement le nouveau SSD Crucial BX500 1 To à 101 € livré gratuitement alors qu'on le trouve ailleurs à plus de 130 €. Ce SSD offre des débits de 540 Mo/s en lecture et 500 Mo/s en écriture. Le SSD est accompagné du logiciel Acronis true image qui vous permettra de transférer tout le contenu de votre ancien disque dur sur le SSD. Il est garanti 3 ans. 


> Voir l'offre
249,99 €Ecran PC 27 pouces incurvé Asus VG27VQ (FullHD, 165 Hz, 1 ms, FreeSync) à 249,99 €
Valable jusqu'au 12 Avril

Fnac fait une promotion sur l'excellent écran 27 pouces pour joueurs Asus TUF Gaming VG27VQ qui passe à 249,99 € alors qu'on le trouve ailleurs autour de 300 €. Cet écran dispose d'une dalle FullHD (1920x1080 pixels) VA incurvée à LED, a un temps de réponse de 1 ms et un rafraichissement de 165 Hz avec ULMB (Ultra Low Motion Blur).


> Voir l'offre

Sujets relatifs
personal shield pro v2.20
Free Xvirus Personal Firewall PRO
Quelle différence entre antivir personal et avira free ?
Aidez moi à desinstaller HOTSPOT SHIELD?
Antivir Personal Edition
Antivir Personal Edition 2013
erreur d'application Avira Antivir Personal
Téléchargement AntiVir Personal 12.0.0.1167
Laptop infecté par Security Shield 2012
infection par security shield
Plus de sujets relatifs à Personal Shield Pro
 > Tous les forums > Forum Sécurité