Il y a actuellement 111 visiteurs
Vendredi 15 Novembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Cheval de Troie Rootkit.gen • page 3

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

Re: Cheval de Troie Rootkit.gen

Message le 08 Avr 2010 11:35

bon très .


Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :
fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0



Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :
killall::

File::
c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\wwwmen32.exe
c:\windows\temp\Perflib_Perfdata_71c.dat

RenV::
c:\program files\QuickTime\qttask .exe




Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:

Image


Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 


Re: Cheval de Troie Rootkit.gen

Message le 08 Avr 2010 12:06

rapport combofix :

ComboFix 10-04-06.03 - Etienne 08/04/2010 12:53:34.8.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.638 [GMT 2:00]
Lancé depuis: c:\documents and settings\Etienne\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Etienne\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\wwwmen32.exe"
"c:\windows\temp\Perflib_Perfdata_71c.dat"
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-08 au 2010-04-08 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-12 20:45 . 2010-05-12 20:45 -------- d-----w- c:\program files\microsoft frontpage
2010-05-12 20:43 . 2010-05-12 20:43 -------- d-----w- c:\program files\Services en ligne
2010-05-12 20:43 . 2010-05-12 20:43 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-04-07 22:16 . 2010-03-25 18:26 -------- d-----w- c:\documents and settings\Etienne\Application Data\uTorrent
2010-04-07 22:01 . 2009-08-26 22:40 -------- d-----w- c:\documents and settings\Etienne\Application Data\vlc
2010-04-07 21:51 . 2009-09-10 08:37 1 ----a-w- c:\documents and settings\Etienne\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-07 21:08 . 2009-12-01 16:12 -------- d-----w- c:\program files\iTunes
2010-04-07 20:55 . 2009-09-10 08:48 -------- d-----w- c:\program files\QuickTime
2010-04-07 20:10 . 2009-08-31 00:07 -------- d-----w- c:\documents and settings\Etienne\Application Data\dvdcss
2010-03-11 07:02 . 2009-06-23 08:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-08 19:48 . 2010-03-08 19:47 -------- d-----w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2010-03-07 12:42 . 2009-08-26 12:50 -------- d-----w- c:\documents and settings\Etienne\Application Data\Skype
2010-03-07 12:41 . 2009-10-12 20:20 -------- d-----w- c:\documents and settings\Etienne\Application Data\skypePM
2010-02-25 06:17 . 2010-05-12 22:32 916480 ------w- c:\windows\system32\wininet.dll
2010-02-23 21:58 . 2009-11-03 12:55 -------- d-----w- c:\documents and settings\Etienne\Application Data\U3
2010-02-18 18:31 . 2009-08-26 22:14 -------- d-----w- c:\program files\Messenger Plus! Live
2010-02-12 10:03 . 2010-03-08 19:49 293376 ------w- c:\windows\system32\browserchoice.exe
.
Code: Tout sélectionner
<pre>
c:\program files\QuickTime\qttask     .exe
</pre>


((((((((((((((((((((((((((((( SnapShot@2010-04-06_16.48.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-08 11:00 . 2010-04-08 11:00 16384 c:\windows\temp\Perflib_Perfdata_7d4.dat
- 2009-06-23 08:08 . 2010-04-06 16:49 37376 c:\windows\system32\igfxpers.exe
+ 2009-06-23 08:08 . 2010-04-07 18:21 37376 c:\windows\system32\igfxpers.exe
+ 2010-04-07 19:45 . 2010-03-29 22:46 38224 c:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-04-07 19:45 . 2010-03-29 22:45 20824 c:\windows\system32\drivers\mbam.sys
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\drivers\cdrom.sys
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\dllcache\cdrom.sys
+ 2009-07-07 01:27 . 2010-04-07 18:27 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-07 01:27 . 2010-04-07 18:27 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2010-04-07 19:44 . 2008-04-13 17:33 1384479 c:\windows\system32\msvbvm60.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2009-08-27 735208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
wwwmen32.exe [2008-4-14 31232]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Données Etienne Eee\\Age Of Empire II\\age2_x1\\age2_x1.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\DreaMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/09/2009 10:44 108289]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/06/2009 09:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/06/2009 09:26 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\ambfilt.sys [23/06/2009 10:11 1684736]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Etienne\Application Data\Mozilla\Firefox\Profiles\b8162q62.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\documents and settings\Etienne\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-08 13:01
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2768)
c:\program files\ASUS\Eee Storage\XPClient.dll
c:\program files\ASUS\Eee Storage\LogicNP.EZShellExtensions.dll
c:\program files\ASUS\Eee Storage\EcaremeDLL.dll
c:\windows\assembly\GAC_MSIL\SqliteShared\1.0.3390.31024__0d0f4b69e50e559b\SqliteShared.dll
c:\windows\assembly\GAC_32\System.Data.SQLite\1.0.60.0__db937bc2d44ff139\System.Data.SQLite.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Heure de fin: 2010-04-08 13:05:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-08 11:05
ComboFix2.txt 2010-04-07 21:19
ComboFix3.txt 2010-04-07 18:24
ComboFix4.txt 2010-04-07 17:02
ComboFix5.txt 2010-04-08 10:52

Avant-CF: 8 640 421 888 octets libres
Après-CF: 8 605 294 592 octets libres

- - End Of File - - 9AAD2DA078E6F806DE1F46FDB9260A3F


comment ça se profile alors stp?
neospirit
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 25
Inscription: 06 Avr 2010 17:11
 

Re: Cheval de Troie Rootkit.gen

Message le 08 Avr 2010 19:00

Bon cela se profile plutôt bien car in ne reste qu'un seul intrus qui résiste.

Fait ceci.

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer. Image

Copie la liste qui se trouve en citation ci-dessous:


:Files
c:\documents and settings\Etienne\Menu Démarrer\Programmes\Démarrage\wwwmen32.exe
:Commands
[purity]
[emptytemp]

[Reboot]


et colle-la dans le cadre de gauche de OTM sous ceci:

Image

Clique sur Image pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.


Ensuite ceci::


Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :
fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0



Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :
killall::

RenV::
c:\program files\QuickTime\qttask .exe



Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:

Image


Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Cheval de Troie Rootkit.gen

Message le 09 Avr 2010 17:57

voici le rapport OTM :

All processes killed
========== FILES ==========
File move failed. c:\documents and settings\Etienne\Menu Démarrer\Programmes\Démarrage\wwwmen32.exe scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Etienne
->Temp folder emptied: 641722 bytes
->Temporary Internet Files folder emptied: 564788 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39324922 bytes
->Flash cache emptied: 2302 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 39,00 mb


OTM by OldTimer - Version 3.1.10.1 log created on 04092010_150001

Files moved on Reboot...
File move failed. c:\documents and settings\Etienne\Menu Démarrer\Programmes\Démarrage\wwwmen32.exe scheduled to be moved on reboot.

Registry entries deleted on Reboot...


et le rapport combofix :

ComboFix 10-04-06.03 - Etienne 09/04/2010 15:23:54.10.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.515 [GMT 2:00]
Lancé depuis: c:\documents and settings\Etienne\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Etienne\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-09 au 2010-04-09 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-12 20:45 . 2010-05-12 20:45 -------- d-----w- c:\program files\microsoft frontpage
2010-05-12 20:43 . 2010-05-12 20:43 -------- d-----w- c:\program files\Services en ligne
2010-05-12 20:43 . 2010-05-12 20:43 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-04-09 13:00 . 2010-05-12 22:32 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-09 13:00 . 2010-05-12 22:32 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-07 22:16 . 2010-03-25 18:26 -------- d-----w- c:\documents and settings\Etienne\Application Data\uTorrent
2010-04-07 22:01 . 2009-08-26 22:40 -------- d-----w- c:\documents and settings\Etienne\Application Data\vlc
2010-04-07 21:51 . 2009-09-10 08:37 1 ----a-w- c:\documents and settings\Etienne\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-07 21:08 . 2009-12-01 16:12 -------- d-----w- c:\program files\iTunes
2010-04-07 20:55 . 2009-09-10 08:48 -------- d-----w- c:\program files\QuickTime
2010-04-07 20:10 . 2009-08-31 00:07 -------- d-----w- c:\documents and settings\Etienne\Application Data\dvdcss
2010-04-07 19:45 . 2010-04-07 19:45 -------- d-----w- c:\documents and settings\Etienne\Application Data\Malwarebytes
2010-04-07 19:45 . 2010-04-07 19:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-07 19:45 . 2010-04-07 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-07 19:16 . 2009-06-23 08:12 -------- d-----w- c:\program files\ASUS
2010-04-07 18:27 . 2010-04-07 18:27 8 ----a-w- c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
2010-04-07 18:21 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxpers.exe
2010-04-06 15:44 . 2010-04-06 15:44 -------- d-----w- c:\documents and settings\All Users\Application Data\avG
2010-04-06 13:37 . 2010-03-25 18:47 -------- d-----w- c:\program files\DreaMule
2010-04-05 10:51 . 2010-04-05 10:51 -------- d-----w- c:\program files\CCleaner
2010-04-02 14:57 . 2010-04-02 14:57 -------- d-----w- c:\program files\uTorrent
2010-03-29 22:46 . 2010-04-07 19:45 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2010-04-07 19:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-11 07:02 . 2009-06-23 08:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-08 19:48 . 2010-03-08 19:47 -------- d-----w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2010-03-07 12:42 . 2009-08-26 12:50 -------- d-----w- c:\documents and settings\Etienne\Application Data\Skype
2010-03-07 12:41 . 2009-10-12 20:20 -------- d-----w- c:\documents and settings\Etienne\Application Data\skypePM
2010-02-25 06:17 . 2010-05-12 22:32 916480 ------w- c:\windows\system32\wininet.dll
2010-02-23 21:58 . 2009-11-03 12:55 -------- d-----w- c:\documents and settings\Etienne\Application Data\U3
2010-02-18 18:31 . 2009-08-26 22:14 -------- d-----w- c:\program files\Messenger Plus! Live
2010-02-12 10:03 . 2010-03-08 19:49 293376 ------w- c:\windows\system32\browserchoice.exe
.
Code: Tout sélectionner
<pre>
c:\program files\QuickTime\qttask     .exe
</pre>


((((((((((((((((((((((((((((( SnapShot@2010-04-06_16.48.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-09 13:28 . 2010-04-09 13:28 16384 c:\windows\temp\Perflib_Perfdata_7e0.dat
- 2010-05-12 22:32 . 2010-03-31 19:17 67646 c:\windows\system32\perfc009.dat
+ 2010-05-12 22:32 . 2010-04-09 13:00 67646 c:\windows\system32\perfc009.dat
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\drivers\cdrom.sys
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\dllcache\cdrom.sys
- 2009-07-07 01:27 . 2010-04-06 15:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-07-07 01:27 . 2010-04-07 18:27 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2010-05-12 22:32 . 2010-04-09 13:00 432690 c:\windows\system32\perfh009.dat
- 2010-05-12 22:32 . 2010-03-31 19:17 432690 c:\windows\system32\perfh009.dat
+ 2010-04-07 19:44 . 2008-04-13 17:33 1384479 c:\windows\system32\msvbvm60.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2009-08-27 735208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Données Etienne Eee\\Age Of Empire II\\age2_x1\\age2_x1.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\DreaMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/09/2009 10:44 108289]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/06/2009 09:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/06/2009 09:26 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\ambfilt.sys [23/06/2009 10:11 1684736]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Etienne\Application Data\Mozilla\Firefox\Profiles\b8162q62.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\documents and settings\Etienne\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 15:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2908)
c:\program files\ASUS\Eee Storage\XPClient.dll
c:\program files\ASUS\Eee Storage\LogicNP.EZShellExtensions.dll
c:\program files\ASUS\Eee Storage\EcaremeDLL.dll
c:\windows\assembly\GAC_MSIL\SqliteShared\1.0.3390.31024__0d0f4b69e50e559b\SqliteShared.dll
c:\windows\assembly\GAC_32\System.Data.SQLite\1.0.60.0__db937bc2d44ff139\System.Data.SQLite.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Heure de fin: 2010-04-09 15:33:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-09 13:33
ComboFix2.txt 2010-04-08 11:05
ComboFix3.txt 2010-04-07 21:19
ComboFix4.txt 2010-04-07 18:24
ComboFix5.txt 2010-04-09 13:09

Avant-CF: 8 595 587 072 octets libres
Après-CF: 8 561 709 056 octets libres

- - End Of File - - A93328E25A27D4A19E966832938186A4
neospirit
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 25
Inscription: 06 Avr 2010 17:11
 

Re: Cheval de Troie Rootkit.gen

Message le 09 Avr 2010 19:26

bon l'intrus du démarrage est cette fois supprimé.

Il reste juste celui-ci..
c:\program files\QuickTime\qttask .exe
qui résiste.


Je vais demander un conseil car cet intrus tiens a rester en place et se n'est pas ce que l'on veux. :oops:
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Cheval de Troie Rootkit.gen

Message le 09 Avr 2010 20:42

Ok me voila avec des nouvelles.

Fait ces deux méthodes.

1-
Téléchargez Dr.Web CureIt! sur votre Bureau.
Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
Choisissez l'onglet Scanner, et décochez Analyse heuristique.
De retour à la fenêtre principale : choisissez Analyse complète.
Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
Cliquez Oui pour Tout si un fichier est détecté.
A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
Fermez Dr.Web CureIt!
Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
Suite au redémarrage, postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans votre prochaine réponse sur votre sujet si vous avez créé un sujet sur le forum Virus/Sécurité.


NB : Dr.Web en version gratuite est un scanner à la demande et n'entre pas en conflit avec votre antivirus résident. Vous pourrez finalement supprimer Dr.Web à la fin des manipulations.



En numéro 2.
Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.
• Téléchargez le scanner portable AVPTool sur votre Bureau.
• Redémarrer en mode sans échec :
• Redémarrez ton PC.
• Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
• Dans le menu d'options avancées, choisissez Mode sans échec.
• Choisissez votre session habituelle.
• Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
• Répondez Oui à la question Do you want to continue installation ?.
• Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
• L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
• Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
• A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
• Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
• Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
• Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.




Dis moi quand tu auras fait ces manips s.t.p
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Cheval de Troie Rootkit.gen

Message le 10 Avr 2010 09:43

neospirit

au besoin le soucis est sur QuickTime
nouveau passage de ComboFix pour la désinstallation de celui-ci.


2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :
killall::

RenV::
c:\program files\QuickTime\qttask .exe

Folder::
c:\program files\QuickTime



Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:

Image


Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


Je pense que cette fois cela devrait mettre propre le pc.

Je pense qu'il est infectué par Virut c'est un dès plus résistant comme intrus :evil:

Avec lui quelques fois seul la formatage résous le soucis.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Cheval de Troie Rootkit.gen

Message le 12 Avr 2010 21:42

ok ok, merci pour toutes ces infos. Il faut que je trouve le temps de faire les manips :S
Je vous posterais les rapports dès que je pourrais.
Merci pour votre aide.
Juste pour savoir, c'est un virus dangereux? Qu'est-ce que ça fait si il reste? Peut-il contaminer d'autres fichiers?
neospirit
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 25
Inscription: 06 Avr 2010 17:11
 

Re: Cheval de Troie Rootkit.gen

Message le 13 Avr 2010 11:44

En désinstallant le dossier "QuickTime" le dernier intrus sera supprimer. c'est la seul que résiste.

Il n'est pas bon de toute façon de garder celui-ci, qui risque de contaminer un peu plus ton pc.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Cheval de Troie Rootkit.gen

Message le 13 Avr 2010 19:28

J'ai désinstallé quick time via ajout/suppression de prog, passe combofix, et voici le rapport :

ComboFix 10-04-06.03 - Etienne 13/04/2010 19:52:31.11.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.551 [GMT 2:00]
Lancé depuis: c:\documents and settings\Etienne\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Etienne\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\QuickTime
c:\program files\QuickTime\Plugins\DeleteMe1.exe
c:\program files\QuickTime\QTSystem\qtplugin.log
c:\program files\QuickTime\qttask .exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-13 au 2010-04-13 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-12 20:45 . 2010-05-12 20:45 -------- d-----w- c:\program files\microsoft frontpage
2010-05-12 20:43 . 2010-05-12 20:43 -------- d-----w- c:\program files\Services en ligne
2010-05-12 20:43 . 2010-05-12 20:43 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-04-13 06:50 . 2010-03-25 18:26 -------- d-----w- c:\documents and settings\Etienne\Application Data\uTorrent
2010-04-12 18:42 . 2009-08-26 22:40 -------- d-----w- c:\documents and settings\Etienne\Application Data\vlc
2010-04-12 18:41 . 2009-08-31 00:07 -------- d-----w- c:\documents and settings\Etienne\Application Data\dvdcss
2010-04-11 09:28 . 2009-09-10 08:37 1 ----a-w- c:\documents and settings\Etienne\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-09 13:00 . 2010-05-12 22:32 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-09 13:00 . 2010-05-12 22:32 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-07 21:08 . 2009-12-01 16:12 -------- d-----w- c:\program files\iTunes
2010-04-07 19:45 . 2010-04-07 19:45 -------- d-----w- c:\documents and settings\Etienne\Application Data\Malwarebytes
2010-04-07 19:45 . 2010-04-07 19:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-07 19:45 . 2010-04-07 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-07 19:16 . 2009-06-23 08:12 -------- d-----w- c:\program files\ASUS
2010-04-07 18:27 . 2010-04-07 18:27 8 ----a-w- c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
2010-04-07 18:21 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxpers.exe
2010-04-06 15:44 . 2010-04-06 15:44 -------- d-----w- c:\documents and settings\All Users\Application Data\avG
2010-04-06 13:37 . 2010-03-25 18:47 -------- d-----w- c:\program files\DreaMule
2010-04-05 10:51 . 2010-04-05 10:51 -------- d-----w- c:\program files\CCleaner
2010-04-02 14:57 . 2010-04-02 14:57 -------- d-----w- c:\program files\uTorrent
2010-03-29 22:46 . 2010-04-07 19:45 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2010-04-07 19:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-11 07:02 . 2009-06-23 08:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-08 19:48 . 2010-03-08 19:47 -------- d-----w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2010-03-07 12:42 . 2009-08-26 12:50 -------- d-----w- c:\documents and settings\Etienne\Application Data\Skype
2010-03-07 12:41 . 2009-10-12 20:20 -------- d-----w- c:\documents and settings\Etienne\Application Data\skypePM
2010-02-25 06:17 . 2010-05-12 22:32 916480 ------w- c:\windows\system32\wininet.dll
2010-02-23 21:58 . 2009-11-03 12:55 -------- d-----w- c:\documents and settings\Etienne\Application Data\U3
2010-02-18 18:31 . 2009-08-26 22:14 -------- d-----w- c:\program files\Messenger Plus! Live
2010-02-12 10:03 . 2010-03-08 19:49 293376 ------w- c:\windows\system32\browserchoice.exe
.

((((((((((((((((((((((((((((( SnapShot@2010-04-06_16.48.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-13 17:57 . 2010-04-13 17:57 16384 c:\windows\temp\Perflib_Perfdata_730.dat
- 2010-05-12 22:32 . 2010-03-31 19:17 67646 c:\windows\system32\perfc009.dat
+ 2010-05-12 22:32 . 2010-04-09 13:00 67646 c:\windows\system32\perfc009.dat
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\drivers\cdrom.sys
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\dllcache\cdrom.sys
- 2009-07-07 01:27 . 2010-04-06 15:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-07-07 01:27 . 2010-04-07 18:27 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2010-05-12 22:32 . 2010-04-09 13:00 432690 c:\windows\system32\perfh009.dat
- 2010-05-12 22:32 . 2010-03-31 19:17 432690 c:\windows\system32\perfh009.dat
+ 2010-04-07 19:44 . 2008-04-13 17:33 1384479 c:\windows\system32\msvbvm60.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2009-08-27 735208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Données Etienne Eee\\Age Of Empire II\\age2_x1\\age2_x1.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\DreaMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/09/2009 10:44 108289]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/06/2009 09:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/06/2009 09:26 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\ambfilt.sys [23/06/2009 10:11 1684736]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Etienne\Application Data\Mozilla\Firefox\Profiles\b8162q62.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\documents and settings\Etienne\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-13 19:58
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2152)
c:\program files\ASUS\Eee Storage\XPClient.dll
c:\program files\ASUS\Eee Storage\LogicNP.EZShellExtensions.dll
c:\program files\ASUS\Eee Storage\EcaremeDLL.dll
c:\windows\assembly\GAC_MSIL\SqliteShared\1.0.3390.31024__0d0f4b69e50e559b\SqliteShared.dll
c:\windows\assembly\GAC_32\System.Data.SQLite\1.0.60.0__db937bc2d44ff139\System.Data.SQLite.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Heure de fin: 2010-04-13 20:02:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-13 18:02
ComboFix2.txt 2010-04-09 13:33
ComboFix3.txt 2010-04-08 11:05
ComboFix4.txt 2010-04-07 21:19
ComboFix5.txt 2010-04-13 17:51

Avant-CF: 46 848 147 456 octets libres
Après-CF: 46 820 839 424 octets libres

- - End Of File - - F01B444BD0DBB6B9A14FE52FD00E78DF
neospirit
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 25
Inscription: 06 Avr 2010 17:11
 

Re: Cheval de Troie Rootkit.gen

Message le 13 Avr 2010 19:45

Très bien cela a supprimer ce dernier intrus. :wink:


Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.
>> Télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

>> Double-clique dessus pour lancer le programme

>> Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

>> Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

>> Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

** Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

**Poste-moi le rapport qui apparait



Ensuite si de ton coté tout va bien.

Maintenant on va mettre la restauration du système propre.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés
ou touche "Windows+Pause"
Cliquez sur l'onglet Restauration du système

Sélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.

Cliquez sur Appliquer puis OUI dans la fenêtre suivante.

Attendre quelques instants puis :

activer la restauration du système de nouveau.


Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés
ou touche "Windows+Pause"
Cliquez sur l'onglet Restauration du système

Désélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs»

Maintenant on crée un nouveau point de restauration.

Démarrer—Exécuter—ou touche "Windows+R" et tapes:
%SystemRoot%\System32\restore\rstrui.exe


Puis coche " Créer un point de restauration" que tu nommes PC- Clean. Valide.

Vous pouvez maintenant fermer toutes les fenêtres.


Il te restera juste après a réinstaller "QuickTime" si tu t'en sert.

A+
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Cheval de Troie Rootkit.gen

Message le 13 Avr 2010 20:07

voici le rapport de suppression :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Documents and Settings\Etienne\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Etienne\Bureau\ComboFix.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Etienne\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Etienne\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !

Fichiers temporaires nettoyés !
neospirit
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 25
Inscription: 06 Avr 2010 17:11
 

Re: Cheval de Troie Rootkit.gen

Message le 13 Avr 2010 20:16

j'ai pu exécuter la commande, un message est apparu disant qu'un point de restauration allait être créé, mais je n'ai pas eu de message afin de le renommer..
Dans propriété système, onglet restauration, la case est coché, comme quoi la restauration du système est désactivée. Normal?
En tout cas, merci beaucoup pour votre aide rapide, et efficace :D :wink:
neospirit
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 25
Inscription: 06 Avr 2010 17:11
 

Re: Cheval de Troie Rootkit.gen

Message le 13 Avr 2010 20:42

Il faut désactivé la restauration système qui est infecté mais surtout après ne pas oublier de recréer un point de restauration qui peux toujours servis pour n'importe quel petit soucis.

PS: tu dois automatiquement avoir la possibilité de nommé ce point de restauration.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Cheval de Troie Rootkit.gen

Message le 13 Avr 2010 20:48

ok ok, donc c'est bon.
Là, je viens de lancer l'anti-virus pour contrôler, et antivir vient de me sortir un fichier dangereux que j'ai mis en quarantaine.. TR/Agent.AO.1009 ?
neospirit
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 25
Inscription: 06 Avr 2010 17:11
 

PrécédenteSuivante


Sujets similaires

Message reconnaitre un cheval de troyes et solution
Bonjour, comment reconnait't'on si notre PC est atteint par un cheval de troyes ? ,
Réponses: 7

Message éliminer un cheval de Troie / virus
Bonjour, Je ne sais pas comment s'est apparu sur mon ordi vu que je n'ai rien téléchargé ces derniers jours mais à chaque fois que j'ouvre internet depuis 3 jours (que ce soit sur chrome ou explorer), ma page d'accueil (qui était google à la base) devient une page "amisites", dans le même ...
Réponses: 8

Message aide pour éliminer un cheval de troie
Bonjour,Je m'excuse d'avance si c'est un peu long mais je vais essayer d'être le plus précis possible.Il y a 10 jours environ, j'ai attrapé un virus en voulant télécharger quelque chose (quelle idée m'a pris !) sur firefox. Des dizaines de pubs s'ouvraient toutes seules sur mon ordi, même lorsque me ...
Réponses: 3

Message Virus Cheval de Troie téléchargeur
Bonjour,Dernièrement mon anti-virus "Microsoft Security Essentials" à détecté un cheval de Troie sur mon PC Portable. Malgré la suppression du virus par l'anti-virus mon PC est tjrs infecté et dès que je vais sur internet j'ai plein de pages indésirables qui s'ouvrent alors que je n'avais ...
Réponses: 8

Message Trojan Rootkit.Boot.Cidox.b
Bonjour,J'ai un problème de virus Trojan cité en objet que Kaspersky n'arrive pas à supprimer. Ce Trojan apparemment a infecté mon disque local C.Aussi je ne sais pas si c'est lié au Trojan mais tous mes fichiers word et excel (Office 2013) et même pdf sont devenus illisibles. Message d'erreur à l'o ...
Réponses: 12

Message Cheval de Troie "collected_c.BEIS"
Bonjour,Mon antivirus AVG reconnait depuis quelque temps le cheval de troie "collected_c.BEIS".Je n'arrive pas à supprimer le virus: à chaque fois, il est mis en quarantaine et ne peut être supprimé par AVG.J'ai cherché sur internet et ai téléchargé le spyware "Spybot". Après ana ...
Réponses: 1

Message Infection Rootkit gen Rtk et Module Complémentaire
Bonjour , je suis infecté par un rootkit gen et avast n'arrive pas a le supprimer .De plus il détecte deux modules complémentaires comme menaces que je n'arrive pas a supprimer (Cbrowser Helper et Vlc active X plugin and ie web plugin).Quels analyse et quel rapport dois-je poster afin d'obtenir de ...
Réponses: 17


Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot] et 14 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.