analyse de logs ComboFix
Dernière réponse : dans Sécurité
Bonjour,
En allumant mon PC ce matin, les icones de avast ont disparu sous mes yeux.
J'ai déjà eu ce problème, il y a 2 ans. Donc j'ai su que c'était un virus.
- Impossible de réinstaller avast
- Impossible de lancer ELi BAGLE
- Impossible de lancer Hijack THIS
Tous => message : "Application non valide ..."
J'ai donc trouvé sur le site "Comment ça marche" une procédure
avec l'utilisation de ComboFix.
Mais il y a une analyse de log à faire qui dépasse largement mes compétences.
Y aurait il un utilitaire comme hijackthis pour cette analyse?
Merci de votre aide.
En allumant mon PC ce matin, les icones de avast ont disparu sous mes yeux.
J'ai déjà eu ce problème, il y a 2 ans. Donc j'ai su que c'était un virus.
- Impossible de réinstaller avast
- Impossible de lancer ELi BAGLE
- Impossible de lancer Hijack THIS
Tous => message : "Application non valide ..."
J'ai donc trouvé sur le site "Comment ça marche" une procédure
avec l'utilisation de ComboFix.
Mais il y a une analyse de log à faire qui dépasse largement mes compétences.
Y aurait il un utilitaire comme hijackthis pour cette analyse?
Merci de votre aide.
Autres pages sur : analyse logs combofix
Lassé par la pub ? Créez un compte
Je post mon log ComboFix :
ComboFix 08-11-05.02 - laug 2008-11-07 11:35:13.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.573 [GMT 1:00]
Lancé depuis: c:\documents and settings\laug\Bureau\antibagle.exe
Commutateurs utilisés :: c:\documents and settings\laug\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-07 au 2008-11-07 ))))))))))))))))))))))))))))))))))))
.
2008-11-07 08:07 . 2008-11-07 10:02 7,168 --a------ c:\windows\system32\drivers\srosa2.sys
2008-10-17 20:49 . 2008-10-17 20:49 3,527 --a------ C:\RECUP1.DOC
2008-10-16 08:02 . 2008-10-16 08:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 14:44 --------- d-----w c:\program files\TortoiseCVS
2008-09-22 14:44 --------- d-----w c:\program files\CVSNT
2008-09-12 09:09 --------- d-----w c:\program files\PLSQL Developer
.
((((((((((((((((((((((((((((( snapshot@2008-11-07_10.30.47.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-07 09:23:51 64,362 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-07 10:14:53 64,362 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-07 09:23:51 77,520 ----a-w c:\windows\system32\perfc00C.dat
+ 2008-11-07 10:14:53 77,520 ----a-w c:\windows\system32\perfc00C.dat
- 2008-11-07 09:23:51 405,736 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-07 10:14:53 405,736 ----a-w c:\windows\system32\perfh009.dat
- 2008-11-07 09:23:51 473,098 ----a-w c:\windows\system32\perfh00C.dat
+ 2008-11-07 10:14:53 473,098 ----a-w c:\windows\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-03-04 185896]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-07 78008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2006-02-27 581693]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2006-01-12 14:05 49152 c:\windows\system32\DeviceNP.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 setuid
Notification Packages REG_MULTI_SZ scecli AsWlnPkg
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Shutdown\0\0]
"Script"=releaseip.bat
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\0\0]
"Script"=AjoutGrpDansAdministrateursLocaux.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-3620\Scripts\Logon\0\0]
"Script"=login.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-3620\Scripts\Logon\1\0]
"Script"=pushprinterconnections.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-5137\Scripts\Logon\0\0]
"Script"=login.vbs
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"d:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=
"c:\\Program Files\\Aptana\\Aptana Studio\\jre\\bin\\javaw.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R1 sK9Ou0s;sK9Ou0s;c:\windows\system32\drivers\srosa2.sys [2008-11-07 7168]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe [2004-08-19 14336]
R2 OracleORACLE92Agent;OracleORACLE92Agent;d:\oracle\bin\agntsrvc.exe [2002-04-26 28944]
R2 OracleORACLE92HTTPServer;OracleORACLE92HTTPServer;d:\oracle\Apache\Apache\apache.exe [2002-04-18 4096]
R2 OracleORACLE92TNSListener;OracleORACLE92TNSListener;d:\oracle\BIN\TNSLSNR [ ]
R3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2006-04-25 36608]
S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe [2004-08-19 14336]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [ ]
S3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2003-07-29 182101]
S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\system32\flcdlock.exe [2006-02-28 155733]
S3 GTF32BUS;GT F32 BUS;c:\windows\system32\DRIVERS\gtf32bus.sys [2005-09-01 32000]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys [2006-04-06 88192]
S3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2005-09-01 7936]
S3 GTSCSER;GT SC SER;c:\windows\system32\DRIVERS\gtscser.sys [2005-08-29 18944]
S3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2003-07-24 5689]
S3 OracleClientCache80;OracleClientCache80;c:\oracle\BIN\ONRSD80.EXE [2001-05-17 101136]
S3 OracleORACLE92ClientCache;OracleORACLE92ClientCache;d:\oracle\BIN\ONRSD.EXE [2002-04-26 242328]
S3 OracleORACLE92PagingServer;OracleORACLE92PagingServer;D:\Oracle/bin/pagntsrv.exe [2002-08-20 49152]
S3 OracleORACLE92SNMPPeerEncapsulator;OracleORACLE92SNMPPeerEncapsulator;d:\oracle\BIN\ENCSVC.EXE [2002-02-13 187392]
S3 OracleORACLE92SNMPPeerMasterAgent;OracleORACLE92SNMPPeerMasterAgent;d:\oracle\BIN\AGNTSVC.EXE [2002-02-13 254464]
S3 OracleServiceORLAU;OracleServiceORLAU;d:\oracle\bin\ORACLE.EXE ORLAU [ ]
S3 wampapache;wampapache;d:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635]
S3 wampmysqld;wampmysqld;d:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2796b939-6a4a-11db-924a-806d6172696f}]
\Shell\AutoRun\command - e:\swsetup\APPINSTL\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6931a927-e56f-11da-b547-806d6172696f}]
\Shell\AutoRun\command - E:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec7f910b-7209-11da-a937-806d6172696f}]
\Shell\AutoRun\command - e:\swsetup\APPINSTL\setup.exe
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 11:41:50
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\OracleORACLE92PagingServer]
"ImagePath"="D:\Oracle/bin/pagntsrv.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\OracleORACLE92TNSListener]
"ImagePath"="d:\oracle\BIN\TNSLSNR "
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\scardsvr.exe
c:\windows\system32\netdde.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\msiexec.exe
d:\oracle\bin\TNSLSNR.EXE
d:\oracle\bin\dbsnmp.exe
c:\windows\system32\tlntsvr.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Windows Media Player\wmpnetwk.exe
d:\oracle\jdk\bin\java.exe
d:\oracle\jdk\bin\java.exe
d:\oracle\bin\isqlplus
c:\progra~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
.
**************************************************************************
.
Heure de fin: 2008-11-07 11:44:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-07 10:44:45
ComboFix2.txt 2008-11-07 10:16:06
ComboFix3.txt 2008-11-07 09:33:19
Avant-CF: 19,046,690,816 octets libres
Après-CF: 19,023,388,672 octets libres
140
_____________________________________
_____________________________________
Log Hijackthis
___________________________________
___________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:51, on 2008-11-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Oracle\bin\agntsrvc.exe
D:\Oracle\Apache\Apache\apache.exe
C:\WINDOWS\system32\cmd.exe
D:\Oracle\BIN\TNSLSNR.exe
D:\Oracle\bin\dbsnmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
D:\Oracle\Apache\Apache\apache.exe
D:\Oracle\jdk\bin\java.exe
D:\Oracle\jdk\bin\java.exe
d:\oracle\bin\isqlplus
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\laug\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinsta...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ouest.gfi.fr
O17 - HKLM\Software\..\Telephony: DomainName = ouest.gfi.fr
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: CVSNT Locking Service 2.5.03.2382 (cvslock) - Unknown owner - C:\Program Files\CVSNT\cvslock.exe
O23 - Service: CVSNT Dispatch service 2.5.03.2382 (cvsnt) - March Hare Software Ltd - C:\Program Files\CVSNT\cvsservice.exe
O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - c:\WINDOWS\system32\flcdlock.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\shared\hpqwmi.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\Oracle\BIN\ONRSD80.EXE
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\Oracle\bin\omtsreco.exe
O23 - Service: OracleORACLE92Agent - Oracle Corporation - D:\Oracle\bin\agntsrvc.exe
O23 - Service: OracleORACLE92ClientCache - Unknown owner - D:\Oracle\BIN\ONRSD.EXE
O23 - Service: OracleORACLE92HTTPServer - Unknown owner - D:\Oracle\Apache\Apache\apache.exe
O23 - Service: OracleORACLE92PagingServer - Unknown owner - D:\Oracle/bin/pagntsrv.exe
O23 - Service: OracleORACLE92SNMPPeerEncapsulator - Unknown owner - D:\Oracle\BIN\ENCSVC.EXE
O23 - Service: OracleORACLE92SNMPPeerMasterAgent - Unknown owner - D:\Oracle\BIN\AGNTSVC.EXE
O23 - Service: OracleORACLE92TNSListener - Unknown owner - D:\Oracle\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORLAU - Oracle Corporation - d:\oracle\bin\ORACLE.EXE
O23 - Service: wampapache - Apache Software Foundation - D:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
--
End of file - 7743 bytes
MErci de votre aide.
Je suis en train d'exécuter : Malwarebytes' Anti-Malware mais en mode normale, il refuse en mode sans échec
ComboFix 08-11-05.02 - laug 2008-11-07 11:35:13.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.573 [GMT 1:00]
Lancé depuis: c:\documents and settings\laug\Bureau\antibagle.exe
Commutateurs utilisés :: c:\documents and settings\laug\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-07 au 2008-11-07 ))))))))))))))))))))))))))))))))))))
.
2008-11-07 08:07 . 2008-11-07 10:02 7,168 --a------ c:\windows\system32\drivers\srosa2.sys
2008-10-17 20:49 . 2008-10-17 20:49 3,527 --a------ C:\RECUP1.DOC
2008-10-16 08:02 . 2008-10-16 08:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 14:44 --------- d-----w c:\program files\TortoiseCVS
2008-09-22 14:44 --------- d-----w c:\program files\CVSNT
2008-09-12 09:09 --------- d-----w c:\program files\PLSQL Developer
.
((((((((((((((((((((((((((((( snapshot@2008-11-07_10.30.47.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-07 09:23:51 64,362 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-07 10:14:53 64,362 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-07 09:23:51 77,520 ----a-w c:\windows\system32\perfc00C.dat
+ 2008-11-07 10:14:53 77,520 ----a-w c:\windows\system32\perfc00C.dat
- 2008-11-07 09:23:51 405,736 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-07 10:14:53 405,736 ----a-w c:\windows\system32\perfh009.dat
- 2008-11-07 09:23:51 473,098 ----a-w c:\windows\system32\perfh00C.dat
+ 2008-11-07 10:14:53 473,098 ----a-w c:\windows\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-03-04 185896]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-07 78008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2006-02-27 581693]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2006-01-12 14:05 49152 c:\windows\system32\DeviceNP.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 setuid
Notification Packages REG_MULTI_SZ scecli AsWlnPkg
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Shutdown\0\0]
"Script"=releaseip.bat
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\0\0]
"Script"=AjoutGrpDansAdministrateursLocaux.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-3620\Scripts\Logon\0\0]
"Script"=login.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-3620\Scripts\Logon\1\0]
"Script"=pushprinterconnections.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-5137\Scripts\Logon\0\0]
"Script"=login.vbs
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"d:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=
"c:\\Program Files\\Aptana\\Aptana Studio\\jre\\bin\\javaw.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R1 sK9Ou0s;sK9Ou0s;c:\windows\system32\drivers\srosa2.sys [2008-11-07 7168]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe [2004-08-19 14336]
R2 OracleORACLE92Agent;OracleORACLE92Agent;d:\oracle\bin\agntsrvc.exe [2002-04-26 28944]
R2 OracleORACLE92HTTPServer;OracleORACLE92HTTPServer;d:\oracle\Apache\Apache\apache.exe [2002-04-18 4096]
R2 OracleORACLE92TNSListener;OracleORACLE92TNSListener;d:\oracle\BIN\TNSLSNR [ ]
R3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2006-04-25 36608]
S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe [2004-08-19 14336]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [ ]
S3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2003-07-29 182101]
S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\system32\flcdlock.exe [2006-02-28 155733]
S3 GTF32BUS;GT F32 BUS;c:\windows\system32\DRIVERS\gtf32bus.sys [2005-09-01 32000]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys [2006-04-06 88192]
S3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2005-09-01 7936]
S3 GTSCSER;GT SC SER;c:\windows\system32\DRIVERS\gtscser.sys [2005-08-29 18944]
S3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2003-07-24 5689]
S3 OracleClientCache80;OracleClientCache80;c:\oracle\BIN\ONRSD80.EXE [2001-05-17 101136]
S3 OracleORACLE92ClientCache;OracleORACLE92ClientCache;d:\oracle\BIN\ONRSD.EXE [2002-04-26 242328]
S3 OracleORACLE92PagingServer;OracleORACLE92PagingServer;D:\Oracle/bin/pagntsrv.exe [2002-08-20 49152]
S3 OracleORACLE92SNMPPeerEncapsulator;OracleORACLE92SNMPPeerEncapsulator;d:\oracle\BIN\ENCSVC.EXE [2002-02-13 187392]
S3 OracleORACLE92SNMPPeerMasterAgent;OracleORACLE92SNMPPeerMasterAgent;d:\oracle\BIN\AGNTSVC.EXE [2002-02-13 254464]
S3 OracleServiceORLAU;OracleServiceORLAU;d:\oracle\bin\ORACLE.EXE ORLAU [ ]
S3 wampapache;wampapache;d:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635]
S3 wampmysqld;wampmysqld;d:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2796b939-6a4a-11db-924a-806d6172696f}]
\Shell\AutoRun\command - e:\swsetup\APPINSTL\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6931a927-e56f-11da-b547-806d6172696f}]
\Shell\AutoRun\command - E:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec7f910b-7209-11da-a937-806d6172696f}]
\Shell\AutoRun\command - e:\swsetup\APPINSTL\setup.exe
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 11:41:50
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\OracleORACLE92PagingServer]
"ImagePath"="D:\Oracle/bin/pagntsrv.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\OracleORACLE92TNSListener]
"ImagePath"="d:\oracle\BIN\TNSLSNR "
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\scardsvr.exe
c:\windows\system32\netdde.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\msiexec.exe
d:\oracle\bin\TNSLSNR.EXE
d:\oracle\bin\dbsnmp.exe
c:\windows\system32\tlntsvr.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Windows Media Player\wmpnetwk.exe
d:\oracle\jdk\bin\java.exe
d:\oracle\jdk\bin\java.exe
d:\oracle\bin\isqlplus
c:\progra~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
.
**************************************************************************
.
Heure de fin: 2008-11-07 11:44:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-07 10:44:45
ComboFix2.txt 2008-11-07 10:16:06
ComboFix3.txt 2008-11-07 09:33:19
Avant-CF: 19,046,690,816 octets libres
Après-CF: 19,023,388,672 octets libres
140
_____________________________________
_____________________________________
Log Hijackthis
___________________________________
___________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:51, on 2008-11-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Oracle\bin\agntsrvc.exe
D:\Oracle\Apache\Apache\apache.exe
C:\WINDOWS\system32\cmd.exe
D:\Oracle\BIN\TNSLSNR.exe
D:\Oracle\bin\dbsnmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
D:\Oracle\Apache\Apache\apache.exe
D:\Oracle\jdk\bin\java.exe
D:\Oracle\jdk\bin\java.exe
d:\oracle\bin\isqlplus
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\laug\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinsta...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ouest.gfi.fr
O17 - HKLM\Software\..\Telephony: DomainName = ouest.gfi.fr
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: CVSNT Locking Service 2.5.03.2382 (cvslock) - Unknown owner - C:\Program Files\CVSNT\cvslock.exe
O23 - Service: CVSNT Dispatch service 2.5.03.2382 (cvsnt) - March Hare Software Ltd - C:\Program Files\CVSNT\cvsservice.exe
O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - c:\WINDOWS\system32\flcdlock.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\shared\hpqwmi.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\Oracle\BIN\ONRSD80.EXE
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\Oracle\bin\omtsreco.exe
O23 - Service: OracleORACLE92Agent - Oracle Corporation - D:\Oracle\bin\agntsrvc.exe
O23 - Service: OracleORACLE92ClientCache - Unknown owner - D:\Oracle\BIN\ONRSD.EXE
O23 - Service: OracleORACLE92HTTPServer - Unknown owner - D:\Oracle\Apache\Apache\apache.exe
O23 - Service: OracleORACLE92PagingServer - Unknown owner - D:\Oracle/bin/pagntsrv.exe
O23 - Service: OracleORACLE92SNMPPeerEncapsulator - Unknown owner - D:\Oracle\BIN\ENCSVC.EXE
O23 - Service: OracleORACLE92SNMPPeerMasterAgent - Unknown owner - D:\Oracle\BIN\AGNTSVC.EXE
O23 - Service: OracleORACLE92TNSListener - Unknown owner - D:\Oracle\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORLAU - Oracle Corporation - d:\oracle\bin\ORACLE.EXE
O23 - Service: wampapache - Apache Software Foundation - D:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
--
End of file - 7743 bytes
MErci de votre aide.
Je suis en train d'exécuter : Malwarebytes' Anti-Malware mais en mode normale, il refuse en mode sans échec
bonjour,
mon rapport MAM:
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1371
Windows 5.1.2600 Service Pack 2
2008-11-07 12:44:41
mbam-log-2008-11-07 (12-44-41).txt
Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 218690
Temps écoulé: 48 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.
mon rapport MAM:
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1371
Windows 5.1.2600 Service Pack 2
2008-11-07 12:44:41
mbam-log-2008-11-07 (12-44-41).txt
Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 218690
Temps écoulé: 48 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.
Re,
[#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précédemment copié.
Sauvegarde ce fichier sous le nom de "CFScript.txt" [#ff0000](les guillemets sont importantes)[/#f].
Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme dans l'image ci-dessous :
![]()
Cela va relancer ComboFix. Après redémarrage, poste le contenu du rapport (C:\combofix.txt*) accompagné d'un rapport HijackThis.
[#ff0000]NOTE : S'il n'y a pas de redémarrage, poste quand même les rapports demandés.[/#f]
* le nom de la partition peut changer
[#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
Driver::
sK9Ou0s
File::
c:\windows\system32\drivers\srosa2.sys
Registry::
sK9Ou0s
File::
c:\windows\system32\drivers\srosa2.sys
Registry::
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précédemment copié.
Sauvegarde ce fichier sous le nom de "CFScript.txt" [#ff0000](les guillemets sont importantes)[/#f].
Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme dans l'image ci-dessous :
Cela va relancer ComboFix. Après redémarrage, poste le contenu du rapport (C:\combofix.txt*) accompagné d'un rapport HijackThis.
[#ff0000]NOTE : S'il n'y a pas de redémarrage, poste quand même les rapports demandés.[/#f]
* le nom de la partition peut changer
Lassé par la pub ? Créez un compte
