un petit probème !!!

Murielle la puce · le 13 Nov 2008 08:12

bonnne journée ..

j'ai l'ordi du secrétariat qui m'annonce des spywares et des jolies choses en tout genre !!!

j'ai commencé par lancer hijackthis mais je ne sais pas analyser le rapport !!

merci d'avance
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:08:35, on 13/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesJavajre1.5.0_06injusched.exe
C:WINDOWSstsystra.exe
C:Program FilesIntelIntel Matrix Storage Manageriaanotif.exe
C:Program FilesCyberLinkPowerDVDDVDLauncher.exe
C:WINDOWSSystem32DLADLACTRLW.EXE
C:Program FilesSoftwinBitDefender10dagent.exe
C:Program FilesGoto SoftwareVade RetroVaderetro_Mgr.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesPowerArchiverPASTARTER.EXE
C:Program FilesMicrosoft OfficeOfficeOSA.EXE
C:Program FilesBroadcomASFIPMonAsfIpMon.exe
C:Program FilesIntelIntel Matrix Storage Manageriaantmon.exe
C:WINDOWSsystem32
vsvc32.exe
C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsisabelleBureauidule.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell ... bd=1070421
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O3 - Toolbar: Internet Service - {1C56E97B-A95F-47B2-93C0-3FEED24479A7} - C:Program FilesWeb Technologiesiebr.dll (file missing)
O3 - Toolbar: sqvgnrpx - {8D52F0EB-21CC-422D-8042-D2F69614D8A6} - C:WINDOWSsqvgnrpx.dll (file missing)
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06injusched.exe
O4 - HKLM..Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM..Run: [IAAnotif] C:Program FilesIntelIntel Matrix Storage Manageriaanotif.exe
O4 - HKLM..Run: [DVDLauncher] "C:Program FilesCyberLinkPowerDVDDVDLauncher.exe"
O4 - HKLM..Run: [DLA] C:WINDOWSSystem32DLADLACTRLW.EXE
O4 - HKLM..Run: [MoneyStartUp10.0] "C:Program FilesMicrosoft MoneySystemActivation.exe"
O4 - HKLM..Run: [BDMCon] "C:Program FilesSoftwinBitDefender10dmcon.exe" /reg
O4 - HKLM..Run: [BDAgent] "C:Program FilesSoftwinBitDefender10dagent.exe"
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [VadeRetro Desktop] C:Program FilesGoto SoftwareVade RetroVaderetro_Mgr.exe
O4 - HKLM..Run: [AntiSpywareExpert] C:Program FilesAntiSpywareExpertase_fr.exe
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [PowerArchiver Tray] C:Program FilesPowerArchiverPASTARTER.EXE
O4 - HKCU..Run: [brastk] C:WINDOWSsystem32rastk.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage d'Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:Program FilesMicrosoft OfficeOfficeFINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:Program FilesMicrosoft MoneySystemmnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O17 - HKLMSystemCCSServicesTcpip..{E396DADF-478E-43B8-94F6-5228AE293B91}: NameServer = 80.10.246.2,80.10.246.129
O20 - AppInit_DLLs: karna.dat
O21 - SSODL: fdxbameg - {2D2086C4-27DF-484F-8375-922157AC829B} - C:WINDOWSfdxbameg.dll (file missing)
O22 - SharedTaskScheduler: enation - {629340b5-8df6-4211-9245-a86563a35792} - C:WINDOWSsystem32gnmguxh.dll (file missing)
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:Program FilesBroadcomASFIPMonAsfIpMon.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:Program FilesFichiers communsSoftwinBitDefender Scan Serverdss.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:Program FilesIntelIntel Matrix Storage Manageriaantmon.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:WINDOWSsystem32LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:Program FilesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:Program FilesSoftwinBitDefender10vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe

--
End of file - 6286 bytes

je vais essayer de lancer un ou deux autres scans !! merci

Murielle la puce · le 13 Nov 2008 08:51

le rapport Mbam ...

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1392
Windows 5.1.2600 Service Pack 2

13/11/2008 08:45:23
mbam-log-2008-11-13 (08-45-16).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 76390
Temps écoulé: 18 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 23
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWARE{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_CURRENT_USERSOFTWARE{65de966d-11d1-4bb1-bf7e-b8a273514daf} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOTCLSID{629340b5-8df6-4211-9245-a86563a35792} (Trojan.Zlob) -> No action taken.
HKEY_CLASSES_ROOTCLSID{1c56e97b-a95f-47b2-93c0-3feed24479a7} (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.Antivirus2008) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{7545d8c8-f53c-4e2f-8fa0-d248ef4a6e61} (Rogue.Installer) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{43fcd2cf-5569-4208-97d2-52748e0ef6a0} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{b4a78d29-52b1-4a7b-bac0-1471bedf9836} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{1c56e97b-a95f-47b2-93c0-3feed24479a7} (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.
HKEY_CURRENT_USERSOFTWAREVAV (Rogue.VistaAntivirus2008) -> No action taken.
HKEY_CURRENT_USERSOFTWAREPCPrivacyCleaner (Rogue.PCPrivacyCleaner) -> No action taken.
HKEY_CURRENT_USERSOFTWAREAntiSpywareExpert (Rogue.AntiSpywareExpert) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoft dfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftcontim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftFCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftRemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftVSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOTsqvgnrpx.bpdl (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOTsqvgnrpx.toolbar.1 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftaoprndtws (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunrastk (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{1c56e97b-a95f-47b2-93c0-3feed24479a7} (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerToolbarWebBrowser{1c56e97b-a95f-47b2-93c0-3feed24479a7} (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler{629340b5-8df6-4211-9245-a86563a35792} (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunantispywareexpert (Rogue.AntispywareXP) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadfdxbameg (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:WINDOWSsystem32750623 (Trojan.BHO) -> No action taken.

Fichier(s) infecté(s):
C:WINDOWSsystem32rastk.exe (Trojan.FakeAlert.H) -> No action taken.
C:System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}RP347A0029769.dll (Trojan.Vundo) -> No action taken.
C:System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}RP351A0029919.exe (Trojan.Agent) -> No action taken.
C:System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}RP351A0029920.dll (Trojan.Vundo) -> No action taken.
C:WINDOWSkarna.dat (Trojan.FakeAlert) -> No action taken.
C:WINDOWSsystem32karna.dat (Trojan.FakeAlert) -> No action taken.
C:WINDOWSsystem32mcrh.tmp (Malware.Trace) -> No action taken.
C:WINDOWScookies.ini (Malware.Trace) -> No action taken.
C:WINDOWSsystem32dllcachefigaro.sys (Trojan.Agent) -> No action taken.
C:WINDOWSsystem32driverseep.sys (Fake.Beep.Sys) -> No action taken.
C:WINDOWSsystem32dllcacheeep.sys (Fake.Beep.Sys) -> No action taken.
C:WINDOWSsystem32~.exe (Trojan.Downloader) -> No action taken.
C:WINDOWSrastk.exe (Trojan.FakeAlert) -> No action taken.
C:WINDOWSsystem32wini101977.exe (Trojan.FakeAlert) -> No action taken.
C:Documents and SettingsisabelleApplication DataMicrosoftInternet ExplorerQuick LaunchAntiSpywareExpert.lnk (Rogue.Antispyware) -> No action taken.
C:Documents and SettingsisabelleApplication DataTmpRecentIconsAntiSpywareExpert.lnk (Rogue.Link) -> No action taken.
C:Documents and SettingsisabelleApplication DataTmpRecentIconsPCPrivacyCleaner.lnk (Rogue.Link) -> No action taken.
C:Documents and SettingsisabelleApplication DataTmpRecentIconsVista Antivirus 2008.lnk (Rogue.Link) -> No action taken.
C:Documents and SettingsisabelleApplication DataMicrosoftInternet ExplorerQuick LaunchPCPrivacyCleaner.lnk (Rogue.PCPrivacyCleaner) -> No action taken.

Murielle la puce · le 13 Nov 2008 09:32

le rapport bitdefender !!!

//-----------------------------------------------------------------
//
// Produit BitDefender Internet Security v10
// Produit 10.2
//
// Créé le: 13/11/2008 09:12:10
//
//-----------------------------------------------------------------

Statistiques

Chemin cible: C:
Dossiers : 3556
Fichiers : 63306
Processus Mémoire analysés : 0
Archives : 1158
Fichiers enpaquetés : 4000
Virus trouvés : 1
Fichiers infectés : 1
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 1
Erreurs I/O : 26
Temps d'analyse :=00:17:53
Fichiers/seconde :58

Statistiques Spywares

Registres analysés : 0
Registres infectés : 0
Cookies analysés : 0
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0

Définitions virus : 2150064
Plugins d'analyse : 16
Plugins archives : 43
Plug-ins décompression : 7
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:Documents and SettingsAll UsersApplication DataBitdefenderDesktopProfilesLogsfull_scan1226563930.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies

Résumé:

C:Documents and SettingsisabelleLocal SettingsTemporary Internet FilesContent.IE59154YI42Install[1].exe Infecté: Trojan.FakeAlert.ANE
C:Documents and SettingsisabelleLocal SettingsTemporary Internet FilesContent.IE59154YI42Install[1].exe Désinfection impossible
C:Documents and SettingsisabelleLocal SettingsTemporary Internet FilesContent.IE59154YI42Install[1].exe Déplacé

A votre avis je fais quoi de plus pour être sure d'avoir tout éradiqué !! (à part interdire à mon chef l'accès à internet !!)....

r@in | b0w · le 13 Nov 2008 11:29

Bonjour.

1_ Via HiJackThis, tu supprimes les lignes:

O3 - Toolbar: Internet Service - {1C56E97B-A95F-47B2-93C0-3FEED24479A7} - C:Program FilesWeb Technologiesiebr.dll (file missing)
O3 - Toolbar: sqvgnrpx - {8D52F0EB-21CC-422D-8042-D2F69614D8A6} - C:WINDOWSsqvgnrpx.dll (file missing)
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [AntiSpywareExpert] C:Program FilesAntiSpywareExpertase_fr.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [brastk] C:WINDOWSsystem32rastk.exe
O20 - AppInit_DLLs: karna.dat
O21 - SSODL: fdxbameg - {2D2086C4-27DF-484F-8375-922157AC829B} - C:WINDOWSfdxbameg.dll (file missing)
O22 - SharedTaskScheduler: enation - {629340b5-8df6-4211-9245-a86563a35792} - C:WINDOWSsystem32gnmguxh.dll (file missing)

Franchement, c'est une usine à cochonneries! Le mieux serait de créer une session limitée pour éviter les infections futures.

Et, juste pour préciser, tu n'as pas éradiqué la moitié des menaces encore!

2_ Mbam n'a rien fait, il a détecté plein de choses mais n'a pas travaillé.
Il faut que tu supprimes tout ce qu'il trouve sinon cela n'a pas d'effet.

3_ AntiSpywareExpert est à priori un rogue.

Tu télécharges SmitfraudFix.

Avant de lancer SmitfraudFix, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de SmitfraudFix.

Double-cliques sur l'icône SmitfraudFix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitfraudFix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.

4_ brastk.exe est un trojan.

Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner: SDFix has been extracted to %systemdrive%SDFix (Drive that contains the Windows directory - typically C:SDFix) Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html

Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner: The PC will now restart, SDFix will run again after reboot. Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

5_ Normalement, cela suffira.

Eventuellement, tu rajoutes un coup de ComboFix pour finir tout cela.

Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner: d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:

Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaA®tre à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner: Almost done... This window will close in a short while Please wait a few seconds for the report log to pop up ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

Bon nettoyage :lol:

Murielle la puce · le 13 Nov 2008 11:54

alors hitjack c'est fait !! mais la moitié des lignes avaient déjà disparues suite à mbam je suppose.

pour mbam j'ai fait supprimé à la fin du scan (arrêt puis redémarrage de l'ordi) est ce bon et suffisant ou dois je le relancer !!

pour l'usine à cochonnerie je le sais mais rien à faire mon chef continue à aller avec cet ordi n'importe ou sur le net et c'est l'enfer !!! heureusement j'ai réussi à empêcher l'accès à internet depuis les autres postes !!!

j'attaque smitfraudfix ..

merci et à plus..

Murielle la puce · le 13 Nov 2008 12:02

j'ai un problème avec smitfraudfix impossible de le lancer il me dit que le fichier IDEfix est absent !!

je fais quoi ???

Murielle la puce · le 13 Nov 2008 12:14

voici le rapport SDFix

SDFix: Version 1.240
Run by isabelle on 13/11/2008 at 12:08

Microsoft Windows XP [version 5.1.2600]
Running From: C:sdfix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:Documents and SettingsisabelleMes documentsMy Documents.url - Deleted
C:Documents and SettingsisabelleMes documentsMa musiqueMy Music.url - Deleted
C:Documents and SettingsisabelleMes documentsMes imagesMy Pictures.url - Deleted
C:Documents and SettingsisabelleMes documentsMes vid,osMy Video.url - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-13 12:11:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

File Backups: - C:SDFixackupsackups.zip

Files with Hidden Attributes :

Wed 22 Oct 2008 949,072 A.SHR --- "C:Program FilesSpybot - Search & Destroyadvcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:Program FilesSpybot - Search & DestroySDHelper.dll"
Thu 26 Apr 2007 0 A.SH. --- "C:Documents and SettingsAll UsersDRMCacheIndiv01.tmp"
Thu 26 Apr 2007 9,718 A..H. --- "C:Program FilesMicrosoft OfficeOfficeGestionnaire OfficeOffF.tmp"

Finished!

merci encore pour tout

r@in | b0w · le 13 Nov 2008 12:38

Re.

Ok pour SDFix.

Tu télécharges à nouveau SmitfraudFix et tu t'assures de bien suivre la procédure si ce n'était pas déjà le cas

Pour Mbam, fais une nouvelle analyse histoire de voir.

Murielle la puce · le 13 Nov 2008 12:39

j'ai installé la console de récupération windows depuis le c:/i386.. sans souci (je n'aurais plus à le faire si je veux réutiliser conbofix ??).

voici le rapport combofix

ComboFix 08-11-11.01 - isabelle 2008-11-13 12:23:37.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1606 [GMT 1:00]
Lancé depuis: c:documents and settingsisabelleBureauComboFix.exe
* Un nouveau point de restauration a été créé
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowssystem32\_003405_.tmp.dll
c:windowssystem32\_003406_.tmp.dll
c:windowssystem32\_003407_.tmp.dll
c:windowssystem32\_003408_.tmp.dll
c:windowssystem32\_003415_.tmp.dll
c:windowssystem32\_003416_.tmp.dll
c:windowssystem32\_003417_.tmp.dll
c:windowssystem32\_003418_.tmp.dll
c:windowssystem32\_003420_.tmp.dll
c:windowssystem32\_003421_.tmp.dll
c:windowssystem32\_003424_.tmp.dll
c:windowssystem32\_003425_.tmp.dll
c:windowssystem32\_003427_.tmp.dll
c:windowssystem32\_003428_.tmp.dll
c:windowssystem32\_003429_.tmp.dll
c:windowssystem32\_003431_.tmp.dll
c:windowssystem32\_003432_.tmp.dll
c:windowssystem32\_003434_.tmp.dll
c:windowssystem32\_003435_.tmp.dll
c:windowssystem32\_003439_.tmp.dll
c:windowssystem32\_003440_.tmp.dll
c:windowssystem32\_003442_.tmp.dll
c:windowssystem32\_003444_.tmp.dll
c:windowssystem32\_003445_.tmp.dll
c:windowssystem32\_003447_.tmp.dll
c:windowssystem32\_003448_.tmp.dll
c:windowssystem32\_003449_.tmp.dll
c:windowssystem32\_003450_.tmp.dll
c:windowssystem32\_003451_.tmp.dll
c:windowssystem32\_003454_.tmp.dll
c:windowssystem32\_003455_.tmp.dll
c:windowssystem32\_003456_.tmp.dll
c:windowssystem32\_003457_.tmp.dll
c:windowssystem32\_003458_.tmp.dll
c:windowssystem32\_003463_.tmp.dll
c:windowssystem32\_003465_.tmp.dll
c:windowssystem32lfpsdxkn.ini
c:windowssystem32 YHkmUtv.ini
c:windowssystem32 YHkmUtv.ini2
c:windowssystem32syckurnx.ini
c:windowssystem32uljtphwk.ini
c:windowssystem32wlomxthw.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-13 au 2008-11-13 ))))))))))))))))))))))))))))))))))))
.

2008-11-13 12:07 . 2008-11-13 12:07 <REP> d-------- c:windowsERUNT
2008-11-13 12:02 . 2008-11-13 12:13 <REP> d-------- C:SDFix
2008-11-13 08:24 . 2008-11-13 08:24 <REP> d-------- c:documents and settingsisabelleApplication DataMalwarebytes
2008-11-13 08:24 . 2008-11-13 08:24 <REP> d-------- c:documents and settingsAll UsersApplication DataMalwarebytes
2008-10-19 17:38 . 2008-10-19 17:44 <REP> d-------- c:windowssystem32fr
2008-10-19 17:38 . 2008-10-19 17:44 <REP> d-------- c:windowssystem32its
2008-10-19 17:38 . 2008-10-19 17:41 <REP> d-------- c:windowsl2schemas
2008-10-19 17:24 . 2007-01-04 15:01 1,056,768 --a------ c:windowssystem32dllcachedanim.dll
2008-10-19 17:24 . 2007-01-04 15:01 1,023,488 --a------ c:windowssystem32dllcacherowseui.dll
2008-10-19 17:24 . 2007-01-23 20:31 546,304 --a------ c:windowssystem32dllcachehhctrl.ocx
2008-10-19 17:24 . 2008-02-20 07:51 282,624 --a------ c:windowssystem32dllcachegdi32.dll
2008-10-19 17:24 . 2008-07-07 21:31 253,952 --a------ c:windowssystem32dllcachees.dll
2008-10-19 17:24 . 2007-01-04 15:01 152,064 --a------ c:windowssystem32dllcachecdfview.dll
2008-10-19 17:24 . 2008-06-20 18:41 148,992 --a------ c:windowssystem32dllcachednsapi.dll
2008-10-19 17:24 . 2006-07-21 09:27 72,704 --a------ c:windowssystem32dllcachehlink.dll
2008-10-19 17:24 . 2006-06-22 06:13 69,120 --a------ c:windowssystem32dllcacheciodm.dll
2008-10-19 17:24 . 2008-02-20 06:35 45,568 --a------ c:windowssystem32dllcachednsrslvr.dll
2008-10-19 17:22 . 2007-10-25 17:43 8,516,608 --a------ c:windowssystem32dllcacheshell32.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-13 11:27 81,984 ----a-w c:windowssystem32dod.bin
2008-11-13 08:05 --------- d-----w c:program filesSpybot - Search & Destroy
2008-11-13 08:02 --------- d-----w c:documents and settingsAll UsersApplication DataSpybot - Search & Destroy
2008-11-13 07:59 --------- d-----w c:program filesPowerArchiver
2008-10-24 11:10 453,632 ----a-w c:windowssystem32driversmrxsmb.sys
2008-10-24 11:10 453,632 ----a-w c:windowssystem32dllcachemrxsmb.sys
2008-10-15 16:59 332,800 ----a-w c:windowssystem32dllcache
etapi32.dll
2008-10-03 17:12 6,066,176 ------w c:windowssystem32dllcacheieframe.dll
2008-09-15 15:39 1,846,144 ----a-w c:windowssystem32win32k.sys
2008-09-15 15:39 1,846,144 ----a-w c:windowssystem32dllcachewin32k.sys
2008-09-08 15:58 30,376 ----a-w c:windowssystem32 estscript.tmp
2008-09-04 16:45 1,106,944 ----a-w c:windowssystem32msxml3.dll
2008-09-04 16:45 1,106,944 ----a-w c:windowssystem32dllcachemsxml3.dll
2008-08-29 19:06 1,350,664 ----a-w c:windowssystem32msxml6.dll
2008-08-28 10:04 333,056 ----a-w c:windowssystem32dllcachesrv.sys
2008-08-27 09:11 3,593,216 ----a-w c:windowssystem32dllcachemshtml.dll
2008-08-25 08:39 70,656 ------w c:windowssystem32dllcacheie4uinit.exe
2008-08-25 08:38 13,824 ------w c:windowssystem32dllcacheieudinit.exe
2008-08-23 05:56 635,848 ------w c:windowssystem32dllcacheiexplore.exe
2008-08-23 05:54 161,792 ------w c:windowssystem32dllcacheieakui.dll
2008-08-14 13:39 2,188,032 ----a-w c:windowssystem32dllcache
toskrnl.exe
2008-08-14 13:39 2,144,768 ----a-w c:windowssystem32
toskrnl.exe
2008-08-14 13:39 2,144,768 ----a-w c:windowssystem32dllcache
tkrnlmp.exe
2008-08-14 13:39 2,065,024 ----a-w c:windowssystem32dllcache
tkrnlpa.exe
2008-08-14 13:39 2,022,912 ----a-w c:windowssystem32
tkrnlpa.exe
2008-08-14 13:39 2,022,912 ----a-w c:windowssystem32dllcache
tkrpamp.exe
2008-08-14 09:51 138,368 ----a-w c:windowssystem32dllcacheafd.sys
2007-06-18 06:59 14 ----a-w c:documents and settingsisabellegetfile.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32ctfmon.exe" [2004-08-05 15360]
"PowerArchiver Tray"="c:program filesPowerArchiverPASTARTER.EXE" [2007-03-20 141352]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"NvCplDaemon"="c:windowssystem32NvCpl.dll" [2006-03-21 7204864]
"SunJavaUpdateSched"="c:program filesJavajre1.5.0_06injusched.exe" [2005-11-10 36975]
"IAAnotif"="c:program filesIntelIntel Matrix Storage Manageriaanotif.exe" [2006-04-26 143360]
"DVDLauncher"="c:program filesCyberLinkPowerDVDDVDLauncher.exe" [2005-12-09 49152]
"DLA"="c:windowsSystem32DLADLACTRLW.EXE" [2005-09-08 122940]
"MoneyStartUp10.0"="c:program filesMicrosoft MoneySystemActivation.exe" [2001-07-25 245810]
"BDMCon"="c:program filesSoftwinBitDefender10dmcon.exe" [2007-06-19 290816]
"BDAgent"="c:program filesSoftwinBitDefender10dagent.exe" [2007-03-26 69632]
"VadeRetro Desktop"="c:program filesGoto SoftwareVade RetroVaderetro_Mgr.exe" [2008-05-26 1078272]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-20 c:windowsstsystra.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32CTFMON.EXE" [2004-08-05 15360]

c:documents and settingsAll UsersMenu D,marrerProgrammesD,marrage
D,marrage d'Office.lnk - c:program filesMicrosoft OfficeOfficeOSA.EXE [1997-08-28 51984]
Microsoft Office.lnk - c:program filesMicrosoft OfficeOfficeOSA9.EXE [1999-02-17 65588]
Microsoft Recherche acc,l,r,e.lnk - c:program filesMicrosoft OfficeOfficeFINDFAST.EXE [1997-08-28 111376]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
"AppInit_DLLs"=sockspy.dll

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 ASFIPmon;Broadcom ASF IP Monitor;c:program filesBroadcomASFIPMonAsfIpMon.exe [2006-03-17 65536]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:windowssystem32DRIVERSdfndisf.sys [2007-02-02 71040]
R3 USBSTOR;Pilote de stockage de masse USB;c:windowssystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496]
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-dimsntfy - (no file)

.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
O17 -: HKLMCCSInterface{E396DADF-478E-43B8-94F6-5228AE293B91}: NameServer = 80.10.246.2,80.10.246.129
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-13 12:29:38
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:windowssystem32LEXBCES.EXE
c:windowssystem32LEXPPS.EXE
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:windowssystem32
vsvc32.exe
c:program filesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
c:program filesFichiers communsSoftwinBitDefender Scan Serverdss.exe
c:program filesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
c:program filesSoftwinBitDefender10vsserv.exe
c:windowssystem32imapi.exe
.
**************************************************************************
.
Heure de fin: 2008-11-13 12:34:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-13 11:34:10

Avant-CF: 66 134 560 768 octets libres
Après-CF: 66,045,030,400 octets libres

179 --- E O F --- 2008-11-12 16:02:08

et maintenant je fais quoi ???

Murielle la puce · le 13 Nov 2008 12:45

merci je quitte le boulot et je n'aurais accès à cet ordi que demain matin maintenant ..

j'espère avoir réussi à nettoyer le plus gros... dommage mais je n'arrive pas du tout à faire fonctionne smitfraudfix ... même en faisant un exécuter direct depuis le lien de téléchargement !!!

r@in | b0w · le 13 Nov 2008 14:02

Oui, le plus gros a été fait je pense.

_ Tu supprimes en Mode sans échec le fichier C:WINDOWSkarna.dat ou C:WINDOWSsystem32karna.dat, les deux si tu trouves les deux fichiers.

_ Pour SmitfraudFix, c'est dommage car c'est un outil puissant pour les rogues.

On va en prendre un autre.

Tu télécharges RogueRemover.

Tu le lances ensuite avec un double-clic, une fenêtre d'avertissement s'ouvrira pour chercher des mises-à-jour, tu cliques sur Ok.

S'il y a des MAJ (mises-à-jour) disponibles, tu cliques sur le bouton Ok puis sur Download.
Sinon, simplement Ok.

Tu arriveras sur l'accueil de l'utilitaire, tu cliques sur Scan tout simplement.
A la fin et si des éléments sont détectés, tu les laisses cochés puis tu cliques sur Remove selected.
Une fenêtre d'avertissement t'informera ensuite que tu vas transmettre des informations au sujet de ton infection, tu cliques sur Yes pour le faire, sachant qu'il n'y a pas de données personnelles.

Par la suite, tu vas chercher le rapport ici: C:Program FilesRogueRemover.

Tu copies-colles le rapport dans ton prochain message.

_ Tu n'as pas de pop-ups de publicité? Sinon, j'ai aussi ce qu'il faut :lol:

_ Tu ne veux pas me faire embaucher par ton patron pour faire le ménage de ses ordinateurs?

Murielle la puce · le 14 Nov 2008 07:58

et encore je ne mets jamais le nez sur son portable !!!! je n'ose pas imaginer LOL...

Murielle la puce · le 14 Nov 2008 08:19

alors les 2 fichiers karna ne sont pas là... peut être déjà effacé par l'un ou l'autre des logiciels LOL...

et le dernier logiciel n'a rien trouvé ...

donc je peux crier youpi !!!

merci encore ....

r@in | b0w · le 14 Nov 2008 11:53

Victoire oui

Fais un dernier scan HiJackThis.

un petit probème !!!

un petit probème !!!

Sujets similaires

Qui est en ligne