> Tous les forums > Forum Sécurité
 cheval de troie
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
julie94
  Posté le 10/02/2009 @ 19:02 
Aller en bas de la page 
Petite astucienne

Bonsoir,

je possède un PC non connecté à internet,

il me signale à chaque fois un cheval de troie, comment je peux l'eliminer?

je vous joins un rapport hijackthis

merci à vous

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:26, on 09/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system\svcsys.exe
C:\WINDOWS\system32\xltScMon.exe
C:\Program Files\Axalto\Access Client\v5\xltSysTray.Exe
C:\WINDOWS\system32\xltCertPropUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\xltCCam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [sycsys] C:\WINDOWS\system\svcsys.exe
O4 - HKLM\..\Run: [xltScMon.exe] C:\WINDOWS\system32\xltScMon.exe
O4 - HKLM\..\Run: [xltSystemTray] C:\Program Files\Axalto\Access Client\v5\xltSysTray.Exe
O4 - HKLM\..\Run: [xltCertPropUI] C:\WINDOWS\system32\xltCertPropUI.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Axalto Smart Card CAM Service (xltCCam) - Axalto Inc. - C:\WINDOWS\system32\xltCCam.exe

--
End of file - 4312 bytes

Publicité
nardino
 Posté le 10/02/2009 à 19:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

As-tu fait un scan avec Kaspersky ?

Télécharge et installe Malwarebyte's Anti-Malware de RubbeR DuckY
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.
Laisse les Mises à jour se télécharger et referme le programme.

Redémarre en "Mode sans échec"

Lance Malwarebyte's Anti-Malware
Onglet "Recherche", coche Exécuter un examen complet et Rechercher
Sélectionne ton disque dur et clique sur Lancer l'examen

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection
Redémarre en mode normal et poste le rapport avec un nouveau rapport Hijackthis et le résultat du scan Kaspersky

@+.
Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'exécution
Le tutoriel Malwarebytes de PCA

https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

julie94
 Posté le 16/02/2009 à 08:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

en fait cet ordinateur n'est pas connecté au net(là ou il se trouve pas de connexion web)

Kaspersky n'a plus ete mis à jour depuis plus d'un an, je l'ai desinstallé et installé Antivir (avec les mises à jour récupérées avec la clé sur le site d'Avira)

simplement des que Antivir s'execute apres installation ou au démarrage, beaucoup de fenetres s'ouvrent et à ce moment là il me devient difficile d'utiliser l'ordinateur et je suis obligé de le redémarrer ou de le désactiver

je ne peux donc pas mettre à jour MalwareBytes

je l'ai quand même fait tourner en mode normal pour voir, voilà le contenu du rapport:

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 2

15/02/2009 10:09:05
mbam-log-2009-02-15 (10-08-03).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 64991
Temps écoulé: 4 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\amvo0.dll (Trojan.Agent) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amva (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\amvo.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\amvo0.dll (Trojan.Agent) -> No action taken.



Modifié par julie94 le 16/02/2009 08:56
nardino
 Posté le 16/02/2009 à 09:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour.

Infection par une clé USB.

Télécharge Dr.Web CureIt!

Il ne nécessite pas d'installation.
Tu le lances.
Il va te demander de faire la mise à jour et une fois effectué va lancer un scan rapide.
Quand tout ceci est fait tu choisis scan sélectif et tu coches tout.
A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.

@+

julie94
 Posté le 18/02/2009 à 22:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

bonsoir,

j'ai mal enregistré le rapport à priori car il s'ouvre dans un fichier excel

je poste quand même

autorun.inf c:\ Win32.HLLW.Autoruner.1469 Supprimé.
ekugb3.bat c:\ Trojan.MulDrop.6474 Supprimé.
sdcvhost.exe f:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013 Win32.HLLW.MyBot.83 Supprimé.
Reboot.exeCommon Startup C:\WINDOWS\pss Tool.Reboot.20481
asqhbf.dll C:\Documents and Settings\Administrateur\Local Settings\Temp Trojan.PWS.Gamania.5967 Supprimé.
FILE0000.CHK C:\FOUND.007 Trojan.MulDrop.6474 Supprimé.

nardino
 Posté le 19/02/2009 à 00:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

Pour contrôle

Télécharge Combofix depuis l'un des liens ci-dessous :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

IMPORTANT !!! Enregistre ComboFix.exe sur le Bureau.

Télécharge aussi :

La console pour XP Home

http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=15491f07-99f7-4a2d-983d-81c2137ff464

Et si tu as XP Pro tu charges cette version :

http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124

Tu copies la bonne version sur le bureau du pc malade ainsi que ComboFix.exe.

Fais un glisser déposer comme le montre l'image ci-dessous

Suis les indications à l'écran
Lance ComboFix et accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Un message t'avertira que la console de récupération a été bien installée.
Poste le contenu du rapport C:\Combofix.txt.

@+

julie94
 Posté le 20/02/2009 à 15:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour

voici le rapport combofix

ComboFix 09-02-19.01 - Administrateur 2009-02-20 15:24:34.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.447.189 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\PHARM RG PROVISOIRE.pif
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-20 au 2009-02-20 ))))))))))))))))))))))))))))))))))))
.

2009-02-20 14:50 . 2009-02-20 14:50 <REP> d---s---- c:\documents and settings\Administrateur\UserData
2009-02-20 14:29 . 2009-02-20 14:29 <REP> d-------- c:\documents and settings\Administrateur\Tracing
2009-02-20 14:26 . 2009-02-20 14:26 <REP> d-------- c:\program files\Windows Live SkyDrive
2009-02-20 14:26 . 2009-02-20 14:26 <REP> d-------- c:\program files\Windows Live
2009-02-20 14:26 . 2009-02-20 14:26 <REP> d-------- c:\program files\Microsoft
2009-02-20 14:07 . 2009-02-20 14:07 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2009-02-20 12:29 . 2009-02-20 12:29 <REP> d--h----- c:\windows\$hf_mig$
2009-02-18 12:36 . 2009-02-18 12:36 <REP> d-------- c:\documents and settings\Administrateur\DoctorWeb
2009-02-15 09:42 . 2009-02-15 09:42 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-15 09:42 . 2009-02-15 09:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-15 09:42 . 2009-02-15 09:43 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-02-15 09:42 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-15 09:42 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-15 09:38 . 2009-02-15 09:38 <REP> d-------- c:\program files\Avira
2009-02-15 09:38 . 2009-02-15 09:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-09 09:25 . 2009-02-09 09:25 <REP> d-------- c:\program files\Trend Micro
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll
2009-01-29 12:45 . 2009-01-29 12:45 <REP> d--hs---- C:\FOUND.007
2009-01-29 12:30 . 2009-01-29 12:30 <REP> d-------- c:\program files\Gemplus
2009-01-29 12:30 . 2006-02-02 10:33 73,216 --a------ c:\windows\system32\drivers\GPinPad.sys
2009-01-29 12:29 . 2009-01-29 12:29 <REP> d-------- c:\program files\Gemalto
2009-01-29 12:29 . 2009-01-29 12:29 <REP> d-------- c:\program files\Axalto
2009-01-29 12:29 . 2007-04-04 17:45 1,118,208 --a------ c:\windows\system32\IDOCrypto.dll
2009-01-29 12:29 . 2007-05-09 08:22 479,232 --a------ c:\windows\system32\CGAPXUTL.dll
2009-01-29 12:29 . 2006-08-25 17:17 180,224 --a------ c:\windows\system32\xltCIop.dll
2009-01-29 12:29 . 2007-05-09 08:17 45,971 --a------ c:\windows\system32\CGAPXCG.xxx

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2004-09-03 09:32 3,488 ----a-w c:\windows\inf\OTHER\CMIAINFO.SYS
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-01 49152]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-10-06 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-10-06 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-10-06 94208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"xltScMon.exe"="c:\windows\system32\xltScMon.exe" [2006-08-25 23552]
"xltSystemTray"="c:\program files\Axalto\Access Client\v5\xltSysTray.Exe" [2006-08-25 65536]
"xltCertPropUI"="c:\windows\system32\xltCertPropUI.exe" [2006-08-25 27648]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-08-11 c:\windows\system32\nwiz.exe]
"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2006-07-10 c:\windows\system32\VTTrayp.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 c:\windows\RTHDCPL.exe]
"SiSPower"="SiSPower.dll" [2007-01-23 c:\windows\system32\SiSPower.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoRun"= 1 (0x1)
"NoFind"= 1 (0x1)
"NoClose"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reboot.exe]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Reboot.exe
backup=c:\windows\pss\Reboot.exeCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 xltCCam;Axalto Smart Card CAM Service;c:\windows\system32\xltCCam.exe [2006-08-25 155648]
R3 Egatebus;Egatebus;c:\windows\system32\drivers\egatebus.sys [2006-05-19 15328]
R3 Egaterdr;Egaterdr;c:\windows\system32\drivers\egaterdr.sys [2006-05-19 13440]
S2 nvTUNEP;nVidia WDM TVTuner;c:\windows\system32\drivers\NVTUNEP.SYS [2006-12-16 20544]
S2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\drivers\NVTVSND.SYS [2006-12-16 23440]
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);c:\windows\system32\drivers\A3AB.sys [2006-05-11 472096]
S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys --> c:\windows\system32\drivers\cdaudio.sys [?]
S3 Egatecard;Egatecard;c:\windows\system32\drivers\egate.sys [2006-05-19 18880]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
S3 GPinPad;GPinPad;c:\windows\system32\drivers\GPinPad.sys [2009-01-29 73216]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1170f7ce-9778-11dd-8efb-001c253a47d9}]
\shell\explore\command - F:\svcsys.exe
\shell\open\command - F:\svcsys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{210fa398-d6f2-11dc-8d30-001c253a47d9}]
\Shell\AutoRun\command - F:\3wcxx91.cmd
\Shell\explore\Command - F:\3wcxx91.cmd
\Shell\open\Command - F:\3wcxx91.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37c1579e-eab9-11dd-8fc1-001c253a47d9}]
\shell\explore\command - F:\svcsys.exe
\shell\open\command - F:\svcsys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{588ec298-8f04-11dd-8ee1-001c253a47d9}]
\shell\explore\command - F:\svcsys.exe
\shell\open\command - F:\svcsys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e246dbd-0acd-11dd-8da4-001c253a47d9}]
\shell\explore\command - F:\svcsys.exe
\shell\open\command - F:\svcsys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af0142d2-7442-11dc-a35e-806d6172696f}]
\Shell\AutoRun\command - E:\Run.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb55a35a-91fc-11dd-8eea-001c253a47d9}]
\Shell\AutoRun\command - F:\0n.bat
\Shell\explore\Command - F:\0n.bat
\Shell\open\Command - F:\0n.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfa3baec-015a-11dd-8d95-001c253a47d9}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Portail-Pharma-salon-cleUSB.pdf

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e611deea-d58a-11dc-8d14-001c253a47d9}]
\Shell\AutoRun\command - 3wcxx91.cmd
\Shell\explore\Command - 3wcxx91.cmd
\Shell\open\Command - 3wcxx91.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb98d397-fd73-11dc-8d8a-001c253a47d9}]
\Shell\AutoRun\command - F:\ekugb3.bat
\Shell\explore\Command - F:\ekugb3.bat
\Shell\open\Command - F:\ekugb3.bat
.
Contenu du dossier 'Tâches planifiées'

2008-12-05 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-amva - c:\windows\system32\amvo.exe
MSConfigStartUp-KAVPersonal50 - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe
MSConfigStartUp-RemoteControl - c:\program files\CyberLink\PowerDVD\PDVDServ.exe


.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {1C4D9C43-862D-4ECF-8A7E-D9A7190E2CAE} = 4.2.2.2 4.2.2.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 15:25:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-02-20 15:26:18
ComboFix-quarantined-files.txt 2009-02-20 14:26:18

Avant-CF: 35,206,692,864 octets libres
Après-CF: 35,301,294,080 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

174 --- E O F --- 2009-02-20 13:06:37

julie94
 Posté le 21/02/2009 à 10:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

bonjour,

j'ai un petit bug depuis le passage de combofix

j'ai un probleme azerty/qwerty

le souci c'est que ce n'est que partiel,ça se produit quand j'utilise un petit logiciel, là mon clavier est en mode qwerty

si je veux taper une url,utiliser le bloc note ou office, là pas de pb,mon clavier est bien azerty

est ce qu'il n'y aurait pas un fichier à restaurer à partir de Combofix?

nardino
 Posté le 21/02/2009 à 15:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour.

Pour le problème de clavier, la combinaison Alt (gauche) et Majuscule devrait règler le problème.

As-tu encore des problèmes ?

@+

Publicité
julie94
 Posté le 21/02/2009 à 20:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

en fait mon clavier fonctionne bien en AZERTY dans 95% des cas

simplement, sur un petit logiciel de ma boite, il fonctionne en QWERTY alors qu'il fonctionnait encore en AZERTY avant le passage de combofix

à tout hasard, est ce que la restauration me permettra de defaire ce que Combofix a fait? si oui, comment je dois faire?

merci

nardino
 Posté le 21/02/2009 à 23:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

Si tu restaures tu vas aussi restaurer l'infection.

Tu peux déjà essayer de réinstaller ton programme si tu disposes du setup d'installation.

@+

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
61,99 €Alimentation Seasonic G12 GC 650W Plus Gold à 61,99 €
Valable jusqu'au 20 Octobre

RueDuCommerce propose actuellement la bonne alimentation Seasonic G12 GC 650W Plus Gold à 61,99 €. On la trouve habituellement à partir de 85 €. L'alimentation est garantie 5 ans.


> Voir l'offre
87,91 €Carte mère Asus ROG Strix B450-F Gaming II (socket AM4) à 87,91 € livrée
Valable jusqu'au 20 Octobre

Amazon Allemagne fait une promotion sur la carte mère Asus ROG Strix B450-F Gaming II à 80,57 €. Comptez 7,04 € pour la livraison en France soit un total de 87,61 € au lieu de 120 €. La carte mère ASUS STRIX B450-F GAMING II est idéale pour concevoir un PC puissant et à l'aise dans toutes les situations : multimédia, bureautique et jeux vidéo, vous pourrez assembler la configuration de vos rêves avec un AMD Ryzen sur socket AM4.


> Voir l'offre
24,99 €Clé HDMI Fire TV Stick 2021 (Prime Video, Netflix, Disney+, Molotov, MyCanal sur votre TV) à 24,99 €
Valable jusqu'au 20 Octobre

Amazon fait une promotion sur sa nouvelle clé HDMI Amazon Fire TV Stick qui passe à 24,99 € au lieu de 39,99 €. Cette clé HDMI à brancher sur votre TV possède un processeur quadricoeur, 1 Go de RAM et 8 Go d'espace de stockage, le WiFi et le bluetooth. Avec elle, vous allez pouvoir voir facilement Prime Video, Netflix, Disney+, YouTube, Molovov, MyCanal, Spotify sur votre TV Full HD. Cette nouvelle version 2021 est compatible Alexa. Une télécommande avec des boutons pour contrôler également la TV est fournie. Elle possède des boutons pour un accès direct à Netflix, Prime Video, Disney Plus et Amazon Music.

Notez qu'il est possible de coupler un casque bluetooth avec le Fire TV Stick afin de regarder tranquillement la TV sans déranger vos proches.


> Voir l'offre

Sujets relatifs
comment supprimer Un cheval de troie ks/kryptyk.l
pc infecte par cheval de troie et autres
infection cheval de troie
Divers adwares, cheval de Troie
une variante de Win32/Agent.SZW cheval de troie
Cheval de Troie bloqué invisible dans la quarantaine
cheval de troie pour cameyo
Cheval de Troie : Generic_s.ABP
question sur cheval de troie
cheval de troie
cheval de troie a l'ouverture IE
Plus de sujets relatifs à cheval de troie
 > Tous les forums > Forum Sécurité