Tom's Guide > Forum > Sécurité - Virus > analyse de logs ComboFix

analyse de logs ComboFix

Forum Sécurité - Virus : analyse de logs ComboFix

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
laure44   07-11-2008 à 11:11:44

Bonjour,

En allumant mon PC ce matin, les icones de avast ont disparu sous mes yeux.

J'ai déjà eu ce problème, il y a 2 ans. Donc j'ai su que c'était un virus.

- Impossible de réinstaller avast
- Impossible de lancer ELi BAGLE
- Impossible de lancer Hijack THIS

Tous => message : "Application non valide ..."

J'ai donc trouvé sur le site "Comment ça marche" une procédure
avec l'utilisation de ComboFix.
Mais il y a une analyse de log à faire qui dépasse largement mes compétences.
Y aurait il un utilitaire comme hijackthis pour cette analyse?

Merci de votre aide.

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
laure44   07-11-2008 à 12:04:43
- 0 +

Je post mon log ComboFix :

ComboFix 08-11-05.02 - laug 2008-11-07 11:35:13.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.573 [GMT 1:00]
Lancé depuis: c:\documents and settings\laug\Bureau\antibagle.exe
Commutateurs utilisés :: c:\documents and settings\laug\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-07 au 2008-11-07 ))))))))))))))))))))))))))))))))))))
.

2008-11-07 08:07 . 2008-11-07 10:02 7,168 --a------ c:\windows\system32\drivers\srosa2.sys
2008-10-17 20:49 . 2008-10-17 20:49 3,527 --a------ C:\RECUP1.DOC
2008-10-16 08:02 . 2008-10-16 08:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 14:44 --------- d-----w c:\program files\TortoiseCVS
2008-09-22 14:44 --------- d-----w c:\program files\CVSNT
2008-09-12 09:09 --------- d-----w c:\program files\PLSQL Developer
.

((((((((((((((((((((((((((((( snapshot@2008-11-07_10.30.47.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-07 09:23:51 64,362 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-07 10:14:53 64,362 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-07 09:23:51 77,520 ----a-w c:\windows\system32\perfc00C.dat
+ 2008-11-07 10:14:53 77,520 ----a-w c:\windows\system32\perfc00C.dat
- 2008-11-07 09:23:51 405,736 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-07 10:14:53 405,736 ----a-w c:\windows\system32\perfh009.dat
- 2008-11-07 09:23:51 473,098 ----a-w c:\windows\system32\perfh00C.dat
+ 2008-11-07 10:14:53 473,098 ----a-w c:\windows\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-03-04 185896]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-07 78008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2006-02-27 581693]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2006-01-12 14:05 49152 c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 setuid
Notification Packages REG_MULTI_SZ scecli AsWlnPkg

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Shutdown\0\0]
"Script"=releaseip.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\0\0]
"Script"=AjoutGrpDansAdministrateursLocaux.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-3620\Scripts\Logon\0\0]
"Script"=login.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-3620\Scripts\Logon\1\0]
"Script"=pushprinterconnections.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-117609710-839522115-725345543-5137\Scripts\Logon\0\0]
"Script"=login.vbs

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"d:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=
"c:\\Program Files\\Aptana\\Aptana Studio\\jre\\bin\\javaw.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 sK9Ou0s;sK9Ou0s;c:\windows\system32\drivers\srosa2.sys [2008-11-07 7168]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe [2004-08-19 14336]
R2 OracleORACLE92Agent;OracleORACLE92Agent;d:\oracle\bin\agntsrvc.exe [2002-04-26 28944]
R2 OracleORACLE92HTTPServer;OracleORACLE92HTTPServer;d:\oracle\Apache\Apache\apache.exe [2002-04-18 4096]
R2 OracleORACLE92TNSListener;OracleORACLE92TNSListener;d:\oracle\BIN\TNSLSNR [ ]
R3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2006-04-25 36608]
S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe [2004-08-19 14336]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [ ]
S3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2003-07-29 182101]
S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\system32\flcdlock.exe [2006-02-28 155733]
S3 GTF32BUS;GT F32 BUS;c:\windows\system32\DRIVERS\gtf32bus.sys [2005-09-01 32000]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys [2006-04-06 88192]
S3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2005-09-01 7936]
S3 GTSCSER;GT SC SER;c:\windows\system32\DRIVERS\gtscser.sys [2005-08-29 18944]
S3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2003-07-24 5689]
S3 OracleClientCache80;OracleClientCache80;c:\oracle\BIN\ONRSD80.EXE [2001-05-17 101136]
S3 OracleORACLE92ClientCache;OracleORACLE92ClientCache;d:\oracle\BIN\ONRSD.EXE [2002-04-26 242328]
S3 OracleORACLE92PagingServer;OracleORACLE92PagingServer;D:\Oracle/bin/pagntsrv.exe [2002-08-20 49152]
S3 OracleORACLE92SNMPPeerEncapsulator;OracleORACLE92SNMPPeerEncapsulator;d:\oracle\BIN\ENCSVC.EXE [2002-02-13 187392]
S3 OracleORACLE92SNMPPeerMasterAgent;OracleORACLE92SNMPPeerMasterAgent;d:\oracle\BIN\AGNTSVC.EXE [2002-02-13 254464]
S3 OracleServiceORLAU;OracleServiceORLAU;d:\oracle\bin\ORACLE.EXE ORLAU [ ]
S3 wampapache;wampapache;d:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635]
S3 wampmysqld;wampmysqld;d:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2796b939-6a4a-11db-924a-806d6172696f}]
\Shell\AutoRun\command - e:\swsetup\APPINSTL\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6931a927-e56f-11da-b547-806d6172696f}]
\Shell\AutoRun\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec7f910b-7209-11da-a937-806d6172696f}]
\Shell\AutoRun\command - e:\swsetup\APPINSTL\setup.exe
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 11:41:50
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\OracleORACLE92PagingServer]
"ImagePath"="D:\Oracle/bin/pagntsrv.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\OracleORACLE92TNSListener]
"ImagePath"="d:\oracle\BIN\TNSLSNR "
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\scardsvr.exe
c:\windows\system32\netdde.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\msiexec.exe
d:\oracle\bin\TNSLSNR.EXE
d:\oracle\bin\dbsnmp.exe
c:\windows\system32\tlntsvr.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Windows Media Player\wmpnetwk.exe
d:\oracle\jdk\bin\java.exe
d:\oracle\jdk\bin\java.exe
d:\oracle\bin\isqlplus
c:\progra~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
.
**************************************************************************
.
Heure de fin: 2008-11-07 11:44:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-07 10:44:45
ComboFix2.txt 2008-11-07 10:16:06
ComboFix3.txt 2008-11-07 09:33:19

Avant-CF: 19,046,690,816 octets libres
Après-CF: 19,023,388,672 octets libres

140



_____________________________________
_____________________________________
Log Hijackthis
___________________________________
___________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:51, on 2008-11-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Oracle\bin\agntsrvc.exe
D:\Oracle\Apache\Apache\apache.exe
C:\WINDOWS\system32\cmd.exe
D:\Oracle\BIN\TNSLSNR.exe
D:\Oracle\bin\dbsnmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
D:\Oracle\Apache\Apache\apache.exe
D:\Oracle\jdk\bin\java.exe
D:\Oracle\jdk\bin\java.exe
d:\oracle\bin\isqlplus
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\laug\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/g [...] er_gmn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/micros [...] 8550882906
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 8550126390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ouest.gfi.fr
O17 - HKLM\Software\..\Telephony: DomainName = ouest.gfi.fr
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: CVSNT Locking Service 2.5.03.2382 (cvslock) - Unknown owner - C:\Program Files\CVSNT\cvslock.exe
O23 - Service: CVSNT Dispatch service 2.5.03.2382 (cvsnt) - March Hare Software Ltd - C:\Program Files\CVSNT\cvsservice.exe
O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - c:\WINDOWS\system32\flcdlock.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\shared\hpqwmi.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\Oracle\BIN\ONRSD80.EXE
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\Oracle\bin\omtsreco.exe
O23 - Service: OracleORACLE92Agent - Oracle Corporation - D:\Oracle\bin\agntsrvc.exe
O23 - Service: OracleORACLE92ClientCache - Unknown owner - D:\Oracle\BIN\ONRSD.EXE
O23 - Service: OracleORACLE92HTTPServer - Unknown owner - D:\Oracle\Apache\Apache\apache.exe
O23 - Service: OracleORACLE92PagingServer - Unknown owner - D:\Oracle/bin/pagntsrv.exe
O23 - Service: OracleORACLE92SNMPPeerEncapsulator - Unknown owner - D:\Oracle\BIN\ENCSVC.EXE
O23 - Service: OracleORACLE92SNMPPeerMasterAgent - Unknown owner - D:\Oracle\BIN\AGNTSVC.EXE
O23 - Service: OracleORACLE92TNSListener - Unknown owner - D:\Oracle\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORLAU - Oracle Corporation - d:\oracle\bin\ORACLE.EXE
O23 - Service: wampapache - Apache Software Foundation - D:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

--
End of file - 7743 bytes


MErci de votre aide.

Je suis en train d'exécuter : Malwarebytes' Anti-Malware mais en mode normale, il refuse en mode sans échec

Répondre à laure44
Angeldark   07-11-2008 à 18:56:06
- 0 +

Poste le rapport MBAM après :)

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
laure44   08-11-2008 à 08:49:35
- 0 +

bonjour,

mon rapport MAM:
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1371
Windows 5.1.2600 Service Pack 2

2008-11-07 12:44:41
mbam-log-2008-11-07 (12-44-41).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 218690
Temps écoulé: 48 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.


Répondre à laure44
Angeldark   08-11-2008 à 14:10:14
- 0 +

Re,

! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) !
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Driver::
sK9Ou0s

File::
c:\windows\system32\drivers\srosa2.sys

Registry::



Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précédemment copié.
Sauvegarde ce fichier sous le nom de "CFScript.txt" (les guillemets sont importantes).

Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme dans l'image ci-dessous :
http://membres.lycos.fr/wawaseb8/images/help/cfscript.gif

Cela va relancer ComboFix. Après redémarrage, poste le contenu du rapport (C:\combofix.txt*) accompagné d'un rapport HijackThis.
NOTE : S'il n'y a pas de redémarrage, poste quand même les rapports demandés.
* le nom de la partition peut changer

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > analyse de logs ComboFix
Aller à :

Il y a 1559 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,251 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens