> Tous les forums > Forum Sécurité
 Rogue : spyware protectSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
metalnoir
  Posté le 26/05/2010 @ 00:05 
Aller en bas de la page 
Petit astucien

bonjour

c'est avec firefox que j'écris, ie étant paralysé comme tous mes autres programmes.

un programme nommé " antispyware soft " bloque tout, je ne peux rien lancer, il ferme et bloque tout (!!) y compris ctrl+alt+suppr, malwarebytes, la restauration systeme etc... et me propose bien sûr "d'acheter" leur truc. que faire pour m'en débarasser ? j'ai vraisemblablement chopé ce truc en téléchargeant deux trois utilitaires sur un site connu !!! j'hallucine, moi qui n'avais plus de problèmes du tout !!!

merci



Modifié par metalnoir le 27/05/2010 12:57
Publicité
Fill
 Posté le 26/05/2010 à 07:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

  • Télécharge OTS de Old_Timer sur ton Bureau,
  • Désactive temporairement ton antivirus (pas le pare-feu).
  • !! Tu dois avoir ouvert un compte disposant de droits administrateurs pour exécuter le programme !!
  • Ferme tous les autres programmes à l'exception du navigateur,
  • Fais un double-clic sur le fichier OTS.exe (si tu es sous Vista, fais un clic droit sur OTS.exe et choisis d'exécuter en tant qu'administrateur),
  • Dans la rubrique "Additional Scans" à droite, clique sur "Extras"
  • Coche ces rubriques : NetSvcs, Disabled MSconfig items, Drivers32, Safe boot Minimal et Safe Boot NetWork.
  • Ne modifie aucun autre paramètre,
  • Ensuite, clique sur le bouton Run Scan dans la barre d'outils,
  • Laisse le programme tourner sans intervenir,
  • Lorsque l'analyse est terminée, le bloc-note va s'ouvrir avec le rapport d'analyse.
  • Cliquer sur le menu Format et vérifier que Retour automatique à la ligne n'est pas coché.
  • Edite le rapport, en plusieurs si nécessaire si un message d'erreur apparait dans ta prochaine réponse quand tu veux le coller sur le forum.
  • Vérifie que la 1ère ligne et la dernière ligne du rapport édité est [code]
  • Réactive l'antivirus.
  • Le rapport étant très long, tu peux m’envoyer celui-ci via : http://www.zshare.net/
    Clique sur Parcourir , va "chercher" ton rapport OTS.txt puis coche "I have read ..." puis clique sur Share it
    Attends un peu puis copie-colle ici le lien en bleu qui va apparaître dans un petit rectangle.

Fill

metalnoir
 Posté le 26/05/2010 à 11:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

merci fill

là je suis sur un autre pc mais je vais essayer dès que je peux dans la journée

metalnoir
 Posté le 26/05/2010 à 11:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bon finalement je suis sur le pc concerné.

je ne peux executer le fichier, j'ai fait ce que tu m'as dit ( je suis sous vista) mais le faux antispyware me dit que je ne peux pas l'ouvrir car c'est infecté (quel humour...), la fenêtre de ots apparait brièvement puis disparait.

Fill
 Posté le 26/05/2010 à 13:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Parviens-tu à démarrer en mode sans échec ? Pour cela, tu tapes sur F5 (ou F8) au démarrage et tu choisis "mode sans échec ave prise en charge réseau". Tu essaies alors de lancer MBAM et tu édites le rapport.

Fill

metalnoir
 Posté le 26/05/2010 à 14:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

le forum me dit que poster directement est impossible, trop long

voilà le rapport

[URL=http://www.zshare.net/download/765335274ee53afd/]OTS.Txt - 0.13MB[/URL]

Fill
 Posté le 26/05/2010 à 14:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

As-tu récemment utilisé AVZ ?

Utilises-tu un proxy ?

Fill

metalnoir
 Posté le 26/05/2010 à 15:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je ne sais pas ce qu'est ou ce que veut dire avz {#}

je n'ai pas pas de proxy

...et je n'ai pas d'antivirus. j'ai unfirewall.

il serait utile que j'indique ceci, ça peut être une solution : puis je sauver sur une clé usb quelques fichiers de jeu ( circuits trackmania), des photos et quelques videos ou cela comporte un risque ( transport de ce "truc" via clé) ?? parceque ça pourrait me donner l'occasion de reformater ensuite (à partir du dvd vista) et alors d'installer mon upgrade en windows 7 que j'ai depuis des mois et que j'ai laissée de coté ! mais il est vrai que je veux une installation clean alors peut être qu'il faut nettoyer d'abord.

Fill
 Posté le 26/05/2010 à 15:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

J'ai effectivement remarqué qu'il n'y avait pas d'antivirus, ce qui ne me semble pas très raisonnable. Sans antivirus, il est difficile d'affirmer "moi qui n'avais plus de problèmes du tout !!!"

1/

  • Désactive temporairement ton antivirus (mais pas le pare-feu),
  • Ouvre OTS.exe sur le Bureau (pour Vista : clic droit et exécuter en tant qu'administrateur),
  • Fais un copier/coller des lignes suivantes dans la zone Paste fix here :

[Kill All Processes]
[Unregister Dlls]
[Driver Services - Safe List]
YY -> (utm3mzcw) AVZ Kernel Driver [Kernel | On_Demand | Stopped] -> C:\Windows\System32\drivers\utm3mzcw.sys
[Registry - Safe List]
< Internet Explorer Settings [HKEY_CURRENT_USER\] > ->
YN -> HKEY_CURRENT_USER\: "ProxyEnable" -> 1
YN -> HKEY_CURRENT_USER\: "ProxyServer" -> http=127.0.0.1:5555
< FireFox Settings [Prefs.js] > -> C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\7npbllkt.default\prefs.js
YN -> browser.startup.homepage -> "http://search.orbitdownloader.com"
< Run [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "hsfe8owijfisjhgs7ye39gjsoighsd7y3eu" -> C:\Users\Admin\AppData\Local\Temp\awgifyl8.exe [C:\Users\Admin\AppData\Local\Temp\awgifyl8.exe]
YY -> "hsfg9w8gujsokgahi8gysgnsdgefshyjy" -> C:\Users\Admin\AppData\Local\Temp\mdm.exe [C:\Users\Admin\AppData\Local\Temp\mdm.exe]
YY -> "lfuvcwkg" -> C:\Users\Admin\AppData\Local\iekdyxwjh\rqnkwvktssd.exe [C:\Users\Admin\AppData\Local\iekdyxwjh\rqnkwvktssd.exe]
YY -> "mcexecwin" -> C:\Users\Admin\AppData\Local\Temp\mre3w.DLL [rundll32.exe C:\Users\Admin\AppData\Local\Temp\mre3w.dll, RestoreWindows]
YY -> "RTHDBPL" -> C:\Users\Admin\AppData\Roaming\SystemProc\lsass.exe [C:\Users\Admin\AppData\Roaming\SystemProc\lsass.exe]
< Winlogon settings [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
*TaskMan* -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan
YY -> C:\Users\Admin\AppData\Roaming\xzor.exe -> C:\Users\Admin\AppData\Roaming\xzor.exe
< Winlogon settings [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
< Winlogon settings [HKEY_CURRENT_USER] > -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
*Shell* -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell
YY -> C:\Users\Admin\AppData\Roaming\xzor.exe -> C:\Users\Admin\AppData\Roaming\xzor.exe
< Winlogon settings [HKEY_CURRENT_USER] > -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Files/Folders - Created Within 30 Days]
NY -> iekdyxwjh -> C:\Users\Admin\AppData\Local\iekdyxwjh
NY -> SystemProc -> C:\Users\Admin\AppData\Roaming\SystemProc
[Files/Folders - Modified Within 30 Days]
NY -> xlblwqaq.sys -> C:\Windows\System32\drivers\xlblwqaq.sys
NY -> 020000003a0662ce922P.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922P.manifest
NY -> d3dx10_4032.dll -> C:\ProgramData\d3dx10_4032.dll
NY -> 020000003a0662ce922C.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922C.manifest
NY -> 020000003a0662ce922S.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922S.manifest
NY -> 020000003a0662ce922O.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922O.manifest
NY -> xzor.exe -> C:\Users\Admin\AppData\Roaming\xzor.exe
NY -> utm3mzcw.sys -> C:\Windows\System32\drivers\utm3mzcw.sys
[Files - No Company Name]
NY -> xlblwqaq.sys -> C:\Windows\System32\drivers\xlblwqaq.sys
NY -> d3dx10_4032.dll -> C:\ProgramData\d3dx10_4032.dll
NY -> 020000003a0662ce922P.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922P.manifest
NY -> 020000003a0662ce922C.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922C.manifest
NY -> 020000003a0662ce922S.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922S.manifest
NY -> 020000003a0662ce922O.manifest -> C:\Users\Admin\AppData\Roaming\020000003a0662ce922O.manifest
NY -> xzor.exe -> C:\Users\Admin\AppData\Roaming\xzor.exe
NY -> utm3mzcw.sys -> C:\Windows\System32\drivers\utm3mzcw.sys
[Alternate Data Streams]
NY -> @Alternate Data Stream - 489 bytes -> C:\ProgramData\TEMP:05EE1EEF
[Empty Temp Folders]
[EmptyFlash]
[CreateRestorePoint]
[Start Explorer]

  • Clique sur le bouton Run fix.
  • L'exécution devrait être rapide.
  • Si tu as une alerte de ton pare-feu, tu acceptes.
  • Lorsque la correction est terminée, un message indiquant que c'est fini (finished) devrait apparaître. Il est possible que l'on te demande de redémarrer le pc pour finaliser la correction si certains éléments n'ont pu être corrigés précédemment. Fais-le afin de finaliser la correction dans ce cas-là, en cliquant sur Yes.
  • Le bloc-note s'ouvre. Copie/colle son contenu dans ta prochaine réponse.
  • N'oublie pas de préciser tout problème rencontré ou tout problème persistant sur ton pc.
  • Réactive l'antivirus.
  • Si ton Bureau n'apparait pas, fais ceci : fais CTRL+ALT+SUP pour faire apparaître le gestionnaire de tâches.
    Rends-toi à l'onglet Processus, clique en haut à gauche sur "Fichiers" et choisis "Exécuter". Tape "explorer" et valide. Cela te fera ré-apparaître ton Bureau.

2/

  • Zippe le contenu de ce dossier : C:\_OTS en ajoutant ce mot de passe à l'archive : infecte
  • Pour cela, ouvre le poste de travail>C:
  • Fais un clic droit sur _OTS puis choisis ton archiveur habituel en utilisant les options avancées afin d'ajouter un mot de passe à l'archive (7zip, winrar, winzip par exemple...).
  • Crée une archive protégée par mot de passe du dossier C:\_OTS,
  • Désactive temporairement ton antivirus,
  • Fais-moi parvenir l'archive C:\_OTS.zip à cette adresse Email : oimgwygb@trashmail.net
  • Supprime l'archive créée et vide ta corbeille,
  • Réactive ton antivirus.

3/ Fais une mise à jour avec malwarebyte's et lance une analyse rapide comme indiqué ici. Edite le rapport.

Fill

Publicité
metalnoir
 Posté le 26/05/2010 à 17:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

All Processes Killed
[Driver Services - Safe List]
Service utm3mzcw stopped successfully!
Service utm3mzcw deleted successfully!
C:\Windows\System32\drivers\utm3mzcw.sys moved successfully.
[Registry - Safe List]
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer deleted successfully.
File "http://search.orbitdownloader.com" not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu deleted successfully.
C:\Users\Admin\AppData\Local\Temp\awgifyl8.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\hsfg9w8gujsokgahi8gysgnsdgefshyjy deleted successfully.
C:\Users\Admin\AppData\Local\Temp\mdm.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\lfuvcwkg deleted successfully.
C:\Users\Admin\AppData\Local\iekdyxwjh\rqnkwvktssd.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\mcexecwin deleted successfully.
C:\Users\Admin\AppData\Local\Temp\mre3w.DLL moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\RTHDBPL deleted successfully.
C:\Users\Admin\AppData\Roaming\SystemProc\lsass.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Users\Admin\AppData\Roaming\xzor.exe deleted successfully.
C:\Users\Admin\AppData\Roaming\xzor.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Admin\AppData\Roaming\xzor.exe deleted successfully.
File C:\Users\Admin\AppData\Roaming\xzor.exe not found.
[Files/Folders - Created Within 30 Days]
C:\Users\Admin\AppData\Local\iekdyxwjh folder moved successfully.
C:\Users\Admin\AppData\Roaming\SystemProc folder moved successfully.
[Files/Folders - Modified Within 30 Days]
File move failed. C:\Windows\System32\drivers\xlblwqaq.sys scheduled to be moved on reboot.
C:\Users\Admin\AppData\Roaming\020000003a0662ce922P.manifest moved successfully.
DllUnregisterServer procedure not found in C:\ProgramData\d3dx10_4032.dll
C:\ProgramData\d3dx10_4032.dll moved successfully.
C:\Users\Admin\AppData\Roaming\020000003a0662ce922C.manifest moved successfully.
C:\Users\Admin\AppData\Roaming\020000003a0662ce922S.manifest moved successfully.
C:\Users\Admin\AppData\Roaming\020000003a0662ce922O.manifest moved successfully.
File C:\Users\Admin\AppData\Roaming\xzor.exe not found!
File C:\Windows\System32\drivers\utm3mzcw.sys not found!
[Files - No Company Name]
File move failed. C:\Windows\System32\drivers\xlblwqaq.sys scheduled to be moved on reboot.
File C:\ProgramData\d3dx10_4032.dll not found!
File C:\Users\Admin\AppData\Roaming\020000003a0662ce922P.manifest not found!
File C:\Users\Admin\AppData\Roaming\020000003a0662ce922C.manifest not found!
File C:\Users\Admin\AppData\Roaming\020000003a0662ce922S.manifest not found!
File C:\Users\Admin\AppData\Roaming\020000003a0662ce922O.manifest not found!
File C:\Users\Admin\AppData\Roaming\xzor.exe not found!
File C:\Windows\System32\drivers\utm3mzcw.sys not found!
[Alternate Data Streams]
ADS C:\ProgramData\TEMP:05EE1EEF deleted successfully.
[Empty Temp Folders]


User: Admin
->Temp folder emptied: 3948 bytes
->Temporary Internet Files folder emptied: 1642347668 bytes
->Java cache emptied: 28603171 bytes
->FireFox cache emptied: 63385941 bytes
->Flash cache emptied: 1650073 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: pascal
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: qwerty

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 352256 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 882651 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 11543795 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 25494475 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1 692,00 mb


[EMPTYFLASH]

User: Admin
->Flash cache emptied: 0 bytes

User: All Users

User: Default

User: Default User

User: pascal

User: Public

User: qwerty

Total Flash Files Cleaned = 0,00 mb

Error creating restore point.
< End of fix log >
OTS by OldTimer - Version 3.1.31.0 fix logfile created on 05262010_172259

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\drivers\xlblwqaq.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

ça a rebooté pour finir l'opération, quand j'ai relancé le programme le bloc note s'est affiché, le contenu est au dessus comme tu le vois. je suis toujours en mode sans echec et je vais voir ce que ça donne en mode normal

Fill
 Posté le 26/05/2010 à 17:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Ca devrait aller mieux mais ce n'est pas fini. Peux-tu m'expédier l'archive ?

Fill

metalnoir
 Posté le 26/05/2010 à 17:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je viens de le faire en fait.

oui ça va mieux, merci à toi {#} j'ai lancé malwarebytes à l'instant

metalnoir
 Posté le 26/05/2010 à 18:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport de malwarebytes{#}

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

26/05/2010 18:17:44
mbam-log-2010-05-26 (18-17-44).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 125142
Temps écoulé: 2 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\system32\Drivers\xlblwqaq.sys (Rootkit.Agent) -> No action taken.
C:\Users\Admin\AppData\Local\Temp\~TM5527.tmp (Trojan.Downloader) -> No action taken.
C:\Users\Admin\AppData\Local\Temp\rwomcsenax.exe (Trojan.Downloader) -> No action taken.
C:\Users\Admin\AppData\Local\Temp\win32.exe (Trojan.Downloader) -> No action taken.
C:\Users\Admin\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> No action taken.

Fill
 Posté le 26/05/2010 à 18:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/ Peux-tu supprimer la sléection dans malwarebyte's et éditer le rapport ?

2/

  • Téléchargez Combofix depuis l'un des liens ci-dessous:

    Lien 1
    Lien 2

    * IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

  • Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Faites un double clic sur combofix.exe & suivez les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

  • Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.




Réduction à 95% de la taille originale [ 536 x 154 ]




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

Fill

metalnoir
 Posté le 26/05/2010 à 18:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

heu j'avais pas cliqué sur le bouton pour supprimer. voici le 2nd rapport . maintenant malwarebytes va redemarrer mon pc pour finaliser apparement {#}

metalnoir
 Posté le 26/05/2010 à 18:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je me suis embrouillé et j'avais pas vu ton dernier message, hold on lol

metalnoir
 Posté le 26/05/2010 à 18:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

26/05/2010 18:21:55
mbam-log-2010-05-26 (18-21-55).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 125142
Temps écoulé: 2 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\system32\Drivers\xlblwqaq.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Admin\AppData\Local\Temp\~TM5527.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Admin\AppData\Local\Temp\rwomcsenax.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Admin\AppData\Local\Temp\win32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Admin\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

je vais voir combofix maintenant :-))

Publicité
metalnoir
 Posté le 26/05/2010 à 18:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport de combofix mais il n'était pas dans le dossier combofix. j'ai aussi remarqué que j'avais récupéré environ 3 go sur mon DD

ComboFix 10-05-25.05 - Admin 26/05/2010 18:35:58.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1304 [GMT 2:00]
Lancé depuis: c:\users\Admin\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Admin\AppData\Roaming\Microsoft\Windows\Recent\Comfy Cakes.pif
c:\users\Admin\fraps_fraps_2.9.6_anglais_10858.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-26 au 2010-05-26 ))))))))))))))))))))))))))))))))))))
.

2010-05-26 15:22 . 2010-05-26 15:46 -------- d-----w- C:\_OTS
2010-05-25 21:48 . 2010-05-26 10:01 -------- d-----w- c:\users\Admin\AppData\Roaming\QuickScan
2010-05-25 21:48 . 2010-05-18 15:21 702120 ----a-w- c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\7npbllkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-05-25 21:48 . 2010-05-18 15:21 868456 ----a-w- c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\7npbllkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-05-23 15:37 . 2010-05-25 08:15 -------- d-----w- c:\programdata\Kaspersky Lab
2010-05-20 08:12 . 2010-05-26 14:48 -------- d-----w- c:\users\Admin\AppData\Local\FLVService
2010-05-20 08:12 . 2010-05-20 08:12 -------- d-----w- c:\windows\Freecorder
2010-05-20 08:12 . 2010-05-20 08:12 -------- d-----w- c:\program files\Freecorder
2010-05-20 08:12 . 2010-05-20 08:12 -------- d-----w- c:\windows\Applian FLV Player
2010-05-20 08:12 . 2010-05-20 08:12 -------- d-----w- c:\program files\FLV Player
2010-05-15 02:02 . 2010-05-15 02:04 -------- d-----w- c:\users\Admin\.mypaint
2010-05-15 02:02 . 2010-05-15 02:02 -------- d-----w- c:\users\qwerty\.mypaint
2010-05-15 02:02 . 2010-05-15 02:02 -------- d-----w- c:\users\qwerty
2010-05-15 02:02 . 2010-05-15 02:02 -------- d-----w- c:\program files\MyPaint
2010-05-12 02:11 . 2010-01-29 15:40 738816 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-08 20:52 . 2010-05-08 20:52 -------- d-----w- c:\program files\Common Files\Futuremark Shared
2010-04-28 18:53 . 2010-02-12 10:32 293376 ----a-w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-26 16:32 . 2008-01-21 08:40 679180 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-26 16:32 . 2008-01-21 08:40 128212 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-26 16:28 . 2009-05-26 14:07 34895 ----a-w- c:\programdata\nvModes.dat
2010-05-26 16:28 . 2008-10-01 10:42 -------- d-----w- c:\programdata\NVIDIA
2010-05-26 15:52 . 2009-05-29 20:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-25 12:44 . 2009-07-30 05:48 -------- d-----w- c:\users\Admin\AppData\Roaming\vlc
2010-05-25 08:13 . 2008-10-01 09:54 680 ----a-w- c:\users\Admin\AppData\Local\d3d9caps.dat
2010-05-12 09:21 . 2009-10-03 07:48 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-12 02:58 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-08 20:52 . 2008-10-01 10:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-29 13:39 . 2009-05-29 20:45 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-05-29 20:45 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 21:14 . 2009-06-01 10:37 -------- d-----w- c:\program files\CCleaner
2010-04-22 22:20 . 2010-04-22 22:20 -------- d-----w- c:\program files\Feneris
2010-04-21 13:37 . 2009-09-26 22:19 -------- d-----w- c:\program files\TubeMaster++
2010-04-20 14:29 . 2010-04-20 14:28 -------- d-----w- c:\program files\OpenTTD
2010-04-15 06:19 . 2009-09-26 22:19 -------- d-----w- c:\program files\WinPcap
2010-04-12 16:14 . 2010-04-12 16:14 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-30 16:31 . 2009-04-24 19:07 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-27 16:25 . 2009-08-09 01:33 2485883 ----a-w- c:\programdata\ArcSoft\Global Deploy\CheckUpdate\ArcConnect.exe
2010-03-08 15:02 . 2010-03-08 15:02 53248 ----a-r- c:\users\Admin\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-03-08 15:02 . 2010-03-08 15:02 16400 ----a-w- c:\windows\system32\drivers\LNonPnP.sys
2010-03-05 14:01 . 2010-04-14 04:07 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-05 06:48 . 2009-04-24 19:08 138504 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-02-28 07:15 . 2008-10-01 10:04 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2010-02-28 07:15 . 2008-10-01 10:04 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2008-11-05 13:09 . 2008-12-06 09:47 1506400 ----a-w- c:\program files\WinColorSetup.exe
2008-08-25 07:52 . 2008-12-06 09:37 946641837 ----a-w- c:\program files\trackmania_united_united_forever_-_extension_gratuite_multi-langues_240514.exe
2006-05-03 09:06 . 2009-11-01 15:28 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 10:47 . 2009-11-01 15:28 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 12:30 . 2009-11-01 15:28 216064 --sh--r- c:\windows\System32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-28 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SoundTray"="c:\program files\Analog Devices\SoundMAX\SoundTray.exe" [2007-08-02 53248]
"Ai Nap"="c:\program files\ASUS\Ai Suite\AiNap\AiNap.exe" [2007-09-06 1426432]
"CPU Power Monitor"="c:\program files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" [2007-10-16 626176]
"Cpu Level Up help"="c:\program files\ASUS\Ai Suite\CpuLevelUpHelp.exe" [2007-09-11 880640]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-08-28 1282048]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-26 734264]
"Freecorder FLV Service"="c:\program files\Freecorder\FLVSrvc.exe" [2009-11-15 158752]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
NCProTray.lnk - c:\program files\SEC\Natural Color Pro\NCProTray.exe [2008-12-6 49220]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logitech SetPoint.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^PHOTOfunSTUDIO HD Edition.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\PHOTOfunSTUDIO HD Edition.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO HD Edition.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ubisoft register.lnk]
path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ubisoft register.lnk
backup=c:\windows\pss\ubisoft register.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
2009-09-03 21:17 3342336 ----a-w- c:\program files\Electronic Arts\EADM\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EvtMgr6]
2010-01-27 11:30 1312848 ----a-w- c:\program files\Logitech\SetPointP\SetPoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-09-08 19:09 305440 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
2009-01-08 13:44 70936 ----a-w- c:\users\Admin\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2009-06-11 12:51 1217784 ----a-w- c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-03-28 05:12 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):8e,65,03,cc,07,de,c9,01

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 135664]
R3 cpuz130;cpuz130;c:\users\Admin\AppData\Local\Temp\cpuz130\cpuz_x32.sys [x]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
R3 SaiH0255;SaiH0255;c:\windows\system32\DRIVERS\SaiH0255.sys [2005-11-03 176640]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-09-27 240232]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - xlblwqaq

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 12:23]

2010-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 12:23]

2009-09-08 c:\windows\Tasks\User_Feed_Synchronization-{599B91AB-F4BA-489F-B68A-B23F8A606867}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = <local>
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\7npbllkt.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com
FF - component: c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\7npbllkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\7npbllkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\users\Admin\AppData\Roaming\Mozilla\plugins\npoctoshape.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-Google Quick Search Box - c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\Admin\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-26 18:40
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xlblwqaq]

.
Heure de fin: 2010-05-26 18:41:14
ComboFix-quarantined-files.txt 2010-05-26 16:41

Avant-CF: 121 464 336 384 octets libres
Après-CF: 126 585 651 200 octets libres

- - End Of File - - 849EBCE4409E3D270D2292B01F236AB6

Fill
 Posté le 26/05/2010 à 18:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Merci pour les échantillons.

1/

  • Télécharge OTM (de Old_Timer) sur ton bureau,
  • Double-clique sur OTM.exe pour lancer le programme,
  • Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

Begin copying here:

:Services
xlblwqaq
cpuz130


:Commands
[EmptyTemp]
[EmptyFlash]
[Start Explorer]

  • Clique sur MoveIt! pour lancer la suppression,
  • Le résultat appraraîtra dans le cadre Results.
  • Clique sur Exit pour fermer le programme.
  • Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
  • Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

2/ Fais une analyse en ligne en suivant ce tuto et édite le rapport.

Fill

metalnoir
 Posté le 26/05/2010 à 19:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

le rapport, je vais voir le 2eme point de ton message

All processes killed
Error: Unable to interpret <Begin copying here:> in the current context!
========== SERVICES/DRIVERS ==========
Error: No service named xlblwqaq was found to stop!
Service\Driver key xlblwqaq not found.
Service cpuz130 stopped successfully!
Service cpuz130 deleted successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 56232343 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 36265269 bytes
->Flash cache emptied: 1022603 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: pascal
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: qwerty
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 245971 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 89,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 05262010_190217

Files moved on Reboot...

Registry entries deleted on Reboot...

metalnoir
 Posté le 26/05/2010 à 21:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

eset m'a trouvé 8 fichiers infectés. je ne trouve pas de rapport digne de ce nom, j'ai bien lu ce que dit le tutoriel et le log.txt que je trouve dans C:\Program Files\ESET Online Scanner\log.txt ne contient que cela

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

voici la capture décran du résultat du scan

[URL=http://img210.imageshack.us/i/scaneset.jpg/][IMG]http://img210.imageshack.us/img210/7204/scaneset.jpg[/IMG][/URL]

metalnoir
 Posté le 26/05/2010 à 21:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
metalnoir
 Posté le 26/05/2010 à 21:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

C:\Users\Admin\AppData\Local\VirtualStore\Windows\System32\cooper.mine Win32/Pinit.AF ver
C:\Users\Admin\AppData\Local\VirtualStore\Windows\System32\net.net une variante de Win32/TrojanClicker.Punad.AA cheval de troie
C:\_OTS\MovedFiles\05262010_172259\C_ProgramData\d3dx10_4032.dll une variante de Win32/Kryptik.EHK cheval de troie
C:\_OTS\MovedFiles\05262010_172259\C_Users\Admin\AppData\Local\iekdyxwjh\rqnkwvktssd.exe Win32/Adware.SpywareProtect2009 application
C:\_OTS\MovedFiles\05262010_172259\C_Users\Admin\AppData\Local\Temp\awgifyl8.exe une variante de Win32/Kryptik.EOP cheval de troie
C:\_OTS\MovedFiles\05262010_172259\C_Users\Admin\AppData\Local\Temp\mdm.exe une variante de Win32/Kryptik.DQB cheval de troie
C:\_OTS\MovedFiles\05262010_172259\C_Users\Admin\AppData\Roaming\xzor.exe une variante de Win32/Injector.BUS cheval de troie
C:\_OTS\MovedFiles\05262010_172259\C_Users\Admin\AppData\Roaming\SystemProc\lsass.exe une variante de Win32/Kryptik.EHK cheval de troie

hum...lol

Fill
 Posté le 26/05/2010 à 21:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/

  • Double-clique sur OTM.exe pour lancer le programme,
  • Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

Begin copying here:
:files
C:\Users\Admin\AppData\Local\VirtualStore\Windows\System32\cooper.mine
C:\Users\Admin\AppData\Local\VirtualStore\Windows\System32\net.net

  • Clique sur MoveIt! pour lancer la suppression,
  • Le résultat appraraîtra dans le cadre Results.
  • Clique sur Exit pour fermer le programme.
  • Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
  • Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

2/ Clique sur démarrer>Exécuter et tape Combofix /uninstall

Fill

metalnoir
 Posté le 26/05/2010 à 21:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Error: Unable to interpret <Begin copying here:> in the current context!
========== FILES ==========
C:\Users\Admin\AppData\Local\VirtualStore\Windows\System32\cooper.mine moved successfully.
C:\Users\Admin\AppData\Local\VirtualStore\Windows\System32\net.net moved successfully.

OTM by OldTimer - Version 3.1.12.0 log created on 05262010_215654

j'ai tout copié et tout collé d'où le message d'erreur apparement {#}

metalnoir
 Posté le 26/05/2010 à 22:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai désinstallé combofix

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
PC infecté avec spyware,adware,usp,pup et rogue
spyware protect 2009 :suppression
spyware protect 2009
Utilité de Spyware Blaster .
Rapport Rogue Killer
rogue killer
Spyware Clear
Rapport de Rogue Killer en PJ. Que dois-je supprimer ?
virus spyware.zbot.ed
search protect
Plus de sujets relatifs à Rogue : spyware protect
 > Tous les forums > Forum Sécurité