|resolu|TROJAN WIN 32 Boaxxe.E

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

|resolu|TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

Bonjour,

Voilà ma situation, depuis plusieurs mois mon adresse IP est blacklistée par spamhaus. Apparemment mon ordi envoie des spams sans mon autorisation (évidemment).
Parallèlement, j'ai de nombreux trojan dont un qui ne veut pas partir le TROJAN WIN 32 Boaxxe.E... malgré mes nombreuses tentatives de le supprimer avec microsoft security essentials.
Je suis au bout de mes capacités..
Alors si qqn peut m'aider !

Merci

le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10:04:19, on 11/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C89629E-CAB1-48B2-9B33-495C48558007} - c:\windows\system32\icttmmx.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10a.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10a.exe (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://msn.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{11E285B3-F259-4930-9E69-4D183BB88DD3}: Domain = ville.lyon.fr
O17 - HKLM\System\CS1\Services\Tcpip\..\{11E285B3-F259-4930-9E69-4D183BB88DD3}: Domain = ville.lyon.fr
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Program Files\FileZilla Server\FileZilla Server.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 6801 bytes


MERCIII

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30610
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: TROJAN WIN 32 Boaxxe.E

Message par angelique »

certainement ça :

O2 - BHO: (no name) - {1C89629E-CAB1-48B2-9B33-495C48558007} - c:\windows\system32\icttmmx.dll
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll


tu coches les 2 lignes ci dessus uniquement avec hijackthis , tu fermes ton navigateur et tu clic fixchecked

puis :

telecharge au choix http://oldtimer.geekstogo.com/OTL.exe sur ton bureau
ou
http://oldtimer.geekstogo.com/OTL.com
http://ottools.noahdfear.net/OTL.com
http://oldtimer.geekstogo.com/OTL.scr
http://ottools.noahdfear.net/OTL.scr

lançe le (clic droit executer en tant qu'administrateur sous vista|seven)

coche les cases lop & purity check ainsi que en haut all users et minimal output

Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personalisation":
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

# Cliques sur l'icône "Analyse" (en haut à gauche) .
# Laisse le scan aller à son terme sans te servir du PC
# A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
# Copie et colle le contenu de OTL.Txt dans ta prochaine réponse
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

Re: TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

Merci, j'essaye ce que tu m'as dit et je le poste lundi/

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30610
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: TROJAN WIN 32 Boaxxe.E

Message par angelique »

ah!ok pas avant ? lol
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

Re: TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

Bonjour Angélique,

Comme prévu, nous sommes lundi je t'envoie le rapport en pièce-jointe.
Merci
OTL.Txt
P.J
(76.08 Kio) Téléchargé 26 fois

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30610
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: TROJAN WIN 32 Boaxxe.E

Message par angelique »

• relançe OTL , Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation", et cette fois ci clic "correction":
:OTL
SRV - (FileZilla Server) -- File not found
SRV - (bicgubwe) -- C:\WINDOWS\system32\icttmmx.dll (Microsoft Corporation)
DRV - (k) -- C:\WINDOWS\system32\o.sys ()
DRV - (yzfkwfgi) -- C:\WINDOWS\system32\drivers\yzfkwfgi.sys (Intel(R) Corporation)
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_France Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.as ... earchTerms}"
[2010/03/16 18:11:42 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\searchplugins\conduit.xml
O2 - BHO: () - {1C89629E-CAB1-48B2-9B33-495C48558007} - C:\WINDOWS\system32\icttmmx.dll (Microsoft Corporation)
O20 - Winlogon\Notify\cbssreg: DllName - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll ()
O33 - MountPoints2\{f4fca14d-ebb4-11de-b271-000c76ddd46e}\Shell\AutoRun\command - "" = G:\t8g.exe -- File not found
O33 - MountPoints2\{f4fca14d-ebb4-11de-b271-000c76ddd46e}\Shell\open\Command - "" = G:\t8g.exe -- File not found
MsConfig - StartUpReg: ewrgetuj - hkey= - key= - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\geurge.exe File not found
MsConfig - StartUpReg: FileZilla Server Interface - hkey= - key= - C:\Program Files\FileZilla Server\FileZilla Server Interface.exe File not found
MsConfig - StartUpReg: OpAgent - hkey= - key= - File not found
MsConfig - StartUpReg: YVIBBBHA8C - hkey= - key= - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zdx.exe File not found
[2010/06/14 09:28:27 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010/06/07 20:30:31 | 000,062,976 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\gbrpvgoy.sys
NetSvcs: bicgubwe - C:\WINDOWS\system32\icttmmx.dll (Microsoft Corporation)
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
:commands
[emptytemp]

» un rapport apparaitra au redemarrage que tu posteras

» refait un nouveau rapport OTL de la meme maniere et poste le
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

Re: TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

voici
J'espère que c'est le bon.
06142010_104202.log
(9.09 Kio) Téléchargé 26 fois

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30610
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: TROJAN WIN 32 Boaxxe.E

Message par angelique »

refait un nouveau rapport OTL comme la premiere fois et poste le
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

Re: TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

OTL2.Txt
(66.75 Kio) Téléchargé 22 fois
le voici

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30610
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: TROJAN WIN 32 Boaxxe.E

Message par angelique »

on va utiliser un autre outils plus puissant parceque ça va pas dégager sinon

Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!!


http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Image
http://imagesup.org/images/1238940640-cfdl.jpg

Image
http://imagesup.org/images/1238940687-cfren.jpg




Les Antivirus couinent parfois sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

* Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.
* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt


tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix:
http://www.bleepingcomputer.com/combofi ... r-combofix
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

Re: TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

le voici
log.txt
(15.95 Kio) Téléchargé 41 fois

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30610
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: TROJAN WIN 32 Boaxxe.E

Message par angelique »

bon il a quasi tout fait tout seul lol ,ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Code : Tout sélectionner

RENV::
c:\program files\Fichiers communs\Ahead\Lib\NeroCheck .exe
c:\program files\Fichiers communs\Java\Java Update\jusched .exe
c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd .exe
c:\program files\Nero\Nero 7\InCD\InCD .exe
c:\program files\Nero\Nero 7\InCD\NBHGui .exe
c:\windows\system32\VTTimer .exe
File::
c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{EA7CD25E-1CE6-35AF-040A-153D6DC4843D}-cbss.dll
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001
[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


Image


* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt , ne met pas le rapport en piece jointe mais copie_colle le contenu dans ta prochaine reponse
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

Re: TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

ComboFix 10-06-13.04 - Administrateur 14/06/2010 12:14:50.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1247.673 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\COlaF.exe
AV: Microsoft Security Essentials *On-access scanning enabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-14 au 2010-06-14 ))))))))))))))))))))))))))))))))))))
.

2010-06-14 09:37 . 2010-06-14 09:40 -------- d-----w- C:\COlaF
2010-06-14 08:42 . 2010-06-14 08:42 -------- d-----w- C:\_OTL
2010-06-11 08:02 . 2010-06-11 08:02 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-06-11 08:02 . 2010-06-11 08:18 -------- d-----w- c:\program files\TrendMicro
2010-06-11 07:59 . 2010-06-11 07:59 -------- d-----w- c:\program files\Trend Micro
2010-06-10 07:26 . 2010-05-21 12:14 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-06-08 13:10 . 2010-06-08 13:10 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-06-07 20:21 . 2010-06-07 20:21 62976 ----a-w- c:\windows\system32\drivers\CDROM.SYS
2010-06-07 20:21 . 2010-06-07 20:21 34304 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{EA7CD25E-1CE6-35AF-040A-153D6DC4843D}-cbss.dll
2010-06-07 13:48 . 2010-06-07 13:48 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2010-06-07 13:33 . 2010-06-07 13:33 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-06-07 13:30 . 2010-06-07 13:30 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-06-07 13:25 . 2010-04-16 16:07 81920 -c--a-w- c:\windows\system32\dllcache\ieencode.dll
2010-06-07 13:25 . 2010-04-16 16:07 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-06-07 13:22 . 2010-06-07 13:23 -------- d-----w- c:\program files\Microsoft Security Essentials
2010-06-03 07:42 . 2010-06-04 13:38 -------- d-----w- c:\program files\Common Files
2010-06-03 07:39 . 2010-06-03 07:39 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Fighters
2010-06-03 07:39 . 2010-06-03 07:39 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\PackageAware
2010-05-17 07:32 . 2010-05-17 07:32 -------- d-s---w- c:\documents and settings\LocalService\UserData
2010-05-17 07:13 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-05-17 07:13 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-14 09:57 . 2008-11-06 08:50 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-06-14 08:22 . 2008-11-10 10:07 1 ----a-w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-10 15:45 . 2001-09-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-10 15:45 . 2001-09-28 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-10 07:13 . 2010-05-11 13:04 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-08 08:13 . 2010-05-11 08:58 -------- d-----w- c:\program files\Panda Security
2010-05-27 13:38 . 2009-06-16 07:45 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Ahead
2010-05-25 10:22 . 2008-11-10 14:45 -------- d-----w- c:\program files\Paint.NET
2010-05-17 09:56 . 2010-02-04 08:50 -------- d-----w- c:\program files\Sarbacane software
2010-05-11 13:04 . 2010-05-11 13:04 86576 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2010-05-11 13:04 . 2010-05-11 13:04 392728 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2010-05-11 13:04 . 2010-05-11 13:04 135680 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2010-05-11 13:04 . 2010-05-11 13:04 132672 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2010-05-10 14:21 . 2009-03-05 14:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2010-05-02 08:08 . 2001-09-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-30 09:01 . 2009-02-06 09:36 -------- d-----w- c:\program files\CCleaner
2010-04-26 14:21 . 2010-04-23 09:28 112 ----a-w- c:\documents and settings\All Users\Application Data\V02KDj8kv.dat
2010-04-26 11:26 . 2010-04-26 10:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-26 10:32 . 2010-04-26 10:29 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-04-26 10:03 . 2010-04-26 10:01 -------- d-----w- c:\program files\protec
2010-04-25 14:53 . 2010-04-25 14:53 323624 ----a-w- c:\windows\system32\wiaaut.dll
2010-04-23 07:32 . 2010-04-23 07:32 -------- d-----w- c:\documents and settings\NetworkService\Application Data\AdobeUM
2010-04-20 05:30 . 2001-09-28 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 16:07 . 2003-05-16 09:51 671232 ----a-w- c:\windows\system32\wininet.dll
2010-04-02 07:16 . 2009-04-09 08:00 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-22 08:53 . 2010-03-22 08:53 348160 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1caae4d8-n\msvcr71.dll
2010-03-22 08:53 . 2010-03-22 08:53 61440 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-305f3ec6-n\decora-sse.dll
2010-03-22 08:53 . 2010-03-22 08:53 503808 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1caae4d8-n\msvcp71.dll
2010-03-22 08:53 . 2010-03-22 08:53 499712 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1caae4d8-n\jmc.dll
2010-03-22 08:53 . 2010-03-22 08:53 12800 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-305f3ec6-n\decora-d3d.dll
2010-03-18 10:28 . 2008-11-10 12:23 23280 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-16 16:11 . 2010-03-29 10:52 101376 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
2010-03-16 16:11 . 2010-03-29 10:52 52224 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
.

Code : Tout sélectionner

<pre>
c:\program files\Fichiers communs\Ahead\Lib\NeroCheck .exe
c:\program files\Fichiers communs\Java\Java Update\jusched .exe
c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd .exe
c:\program files\Nero\Nero 7\InCD\InCD .exe
c:\program files\Nero\Nero 7\InCD\NBHGui .exe
c:\windows\system32\VTTimer .exe
</pre>
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\System32\Macromed\Flash\FlashUtil10a.exe" [2008-10-05 235936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk]
path=c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-13 18:34 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSSE]
2010-02-21 03:03 1093208 ----a-w- c:\program files\Microsoft Security Essentials\msseces.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 INIDVD;Initio USB DVD Filter Driver;c:\windows\system32\drivers\inidvd.sys [12/06/2009 14:00 7936]
R3 RTPP2K;RTPP2K;c:\windows\system32\drivers\rtpp2k.sys [06/02/2009 10:56 87374]
S3 EN1207D;Accton EN1207D/2242A Adapter Driver;c:\windows\system32\drivers\ACC07D.sys [16/05/2003 11:12 23661]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-14 12:18
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3236)
c:\windows\system32\eappprxy.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
Heure de fin: 2010-06-14 12:20:29
ComboFix-quarantined-files.txt 2010-06-14 10:20
ComboFix2.txt 2010-06-14 09:57

Avant-CF: 7 402 311 680 octets libres
Après-CF: 7 383 515 136 octets libres

- - End Of File - - 701CBD0AD03919C546337AE571366F89

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30610
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: TROJAN WIN 32 Boaxxe.E

Message par angelique »

t'as pas suivi mes instructions , on recommence

• telecharge CFScript.txt en piece jointe en bas sur ton bureau à coté de COlaF

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


Image


* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
Pièces jointes
CFScript.txt
(756 octets) Téléchargé 27 fois
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

A/2/n/e
newbie
newbie
Messages : 10
Inscription : 11 juin 2010 10:35

Re: TROJAN WIN 32 Boaxxe.E

Message par A/2/n/e »

ComboFix 10-06-13.04 - Administrateur 14/06/2010 14:03:45.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1247.794 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\COlaF.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CfScript.txt
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

FILE ::
"c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{EA7CD25E-1CE6-35AF-040A-153D6DC4843D}-cbss.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{EA7CD25E-1CE6-35AF-040A-153D6DC4843D}-cbss.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-14 au 2010-06-14 ))))))))))))))))))))))))))))))))))))
.

2010-06-14 10:13 . 2010-06-14 10:20 -------- d-----w- C:\COlaF27573C
2010-06-14 09:37 . 2010-06-14 09:40 -------- d-----w- C:\COlaF
2010-06-14 08:42 . 2010-06-14 08:42 -------- d-----w- C:\_OTL
2010-06-11 08:02 . 2010-06-11 08:02 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-06-11 08:02 . 2010-06-11 08:18 -------- d-----w- c:\program files\TrendMicro
2010-06-11 07:59 . 2010-06-11 07:59 -------- d-----w- c:\program files\Trend Micro
2010-06-10 07:26 . 2010-05-21 12:14 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-06-08 13:10 . 2010-06-08 13:10 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-06-07 20:21 . 2010-06-07 20:21 62976 ----a-w- c:\windows\system32\drivers\CDROM.SYS
2010-06-07 13:48 . 2010-06-07 13:48 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2010-06-07 13:33 . 2010-06-07 13:33 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-06-07 13:30 . 2010-06-07 13:30 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-06-07 13:25 . 2010-04-16 16:07 81920 -c--a-w- c:\windows\system32\dllcache\ieencode.dll
2010-06-07 13:25 . 2010-04-16 16:07 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-06-07 13:22 . 2010-06-07 13:23 -------- d-----w- c:\program files\Microsoft Security Essentials
2010-06-03 07:42 . 2010-06-04 13:38 -------- d-----w- c:\program files\Common Files
2010-06-03 07:39 . 2010-06-03 07:39 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Fighters
2010-06-03 07:39 . 2010-06-03 07:39 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\PackageAware
2010-05-17 07:32 . 2010-05-17 07:32 -------- d-s---w- c:\documents and settings\LocalService\UserData
2010-05-17 07:13 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-05-17 07:13 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-14 10:55 . 2008-11-10 10:07 1 ----a-w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-14 10:30 . 2008-11-06 08:50 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-06-10 15:45 . 2001-09-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-10 15:45 . 2001-09-28 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-10 07:13 . 2010-05-11 13:04 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-08 08:13 . 2010-05-11 08:58 -------- d-----w- c:\program files\Panda Security
2010-05-27 13:38 . 2009-06-16 07:45 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Ahead
2010-05-25 10:22 . 2008-11-10 14:45 -------- d-----w- c:\program files\Paint.NET
2010-05-17 09:56 . 2010-02-04 08:50 -------- d-----w- c:\program files\Sarbacane software
2010-05-11 13:04 . 2010-05-11 13:04 86576 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2010-05-11 13:04 . 2010-05-11 13:04 392728 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2010-05-11 13:04 . 2010-05-11 13:04 135680 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2010-05-11 13:04 . 2010-05-11 13:04 132672 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2010-05-10 14:21 . 2009-03-05 14:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2010-05-02 08:08 . 2001-09-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-30 09:01 . 2009-02-06 09:36 -------- d-----w- c:\program files\CCleaner
2010-04-26 14:21 . 2010-04-23 09:28 112 ----a-w- c:\documents and settings\All Users\Application Data\V02KDj8kv.dat
2010-04-26 11:26 . 2010-04-26 10:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-26 10:32 . 2010-04-26 10:29 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-04-26 10:03 . 2010-04-26 10:01 -------- d-----w- c:\program files\protec
2010-04-25 14:53 . 2010-04-25 14:53 323624 ----a-w- c:\windows\system32\wiaaut.dll
2010-04-23 07:32 . 2010-04-23 07:32 -------- d-----w- c:\documents and settings\NetworkService\Application Data\AdobeUM
2010-04-20 05:30 . 2001-09-28 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 16:07 . 2003-05-16 09:51 671232 ----a-w- c:\windows\system32\wininet.dll
2010-04-02 07:16 . 2009-04-09 08:00 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-22 08:53 . 2010-03-22 08:53 348160 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1caae4d8-n\msvcr71.dll
2010-03-22 08:53 . 2010-03-22 08:53 61440 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-305f3ec6-n\decora-sse.dll
2010-03-22 08:53 . 2010-03-22 08:53 503808 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1caae4d8-n\msvcp71.dll
2010-03-22 08:53 . 2010-03-22 08:53 499712 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1caae4d8-n\jmc.dll
2010-03-22 08:53 . 2010-03-22 08:53 12800 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-305f3ec6-n\decora-d3d.dll
2010-03-18 10:28 . 2008-11-10 12:23 23280 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-16 16:11 . 2010-03-29 10:52 101376 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
2010-03-16 16:11 . 2010-03-29 10:52 52224 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
.

((((((((((((((((((((((((((((( [email protected]_10.18.11 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-10-04 09:58 . 2003-05-07 14:32 36864 c:\windows\system32\VTTimer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\System32\Macromed\Flash\FlashUtil10a.exe" [2008-10-05 235936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk]
path=c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-13 18:34 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSSE]
2010-02-21 03:03 1093208 ----a-w- c:\program files\Microsoft Security Essentials\msseces.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 INIDVD;Initio USB DVD Filter Driver;c:\windows\system32\drivers\inidvd.sys [12/06/2009 14:00 7936]
R3 RTPP2K;RTPP2K;c:\windows\system32\drivers\rtpp2k.sys [06/02/2009 10:56 87374]
S3 EN1207D;Accton EN1207D/2242A Adapter Driver;c:\windows\system32\drivers\ACC07D.sys [16/05/2003 11:12 23661]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\t2pe68j6.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-14 14:07
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"
.
Heure de fin: 2010-06-14 14:09:48
ComboFix-quarantined-files.txt 2010-06-14 12:09
ComboFix2.txt 2010-06-14 10:20
ComboFix3.txt 2010-06-14 09:57

Avant-CF: 7 372 902 400 octets libres
Après-CF: 7 354 748 928 octets libres

- - End Of File - - EB67EFE38AB69092F06AFAF5A7458F76

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »