Probleme generic host process for win 32
olai -
pimprenelle27 Messages postés 20857 Date d'inscription Statut Contributeur sécurité Dernière intervention - 21 févr. 2011 à 11:12
pimprenelle27 Messages postés 20857 Date d'inscription Statut Contributeur sécurité Dernière intervention - 21 févr. 2011 à 11:12
A voir également:
- Probleme generic host process for win 32
- Fichier host - Guide
- er for pc - Télécharger - Téléchargement & Transfert
- Power iso 32 bit - Télécharger - Gravure
- 32 bits - Guide
- Process hacker - Télécharger - Divers Utilitaires
15 réponses
Bonjour,
Nous allons faire un petit diagnostic de ton PC pour cela :
==> Télécharge ZHPDiag (de Nicolas Coolman)
==> si ça ne marche pas, essaye de la télécharger ici
==> Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,
==> Si vous êtes sous Vista/Seven pensez à faire clique droit éxécuter en tant qu'istrateur.
clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.
==> Pour XP lancer ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.
==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.
==> Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse,
==> Clique sur l'appareil photo où disquette et enregistre le rapport sur ton Bureau.
Pour me le transmettre clique sur ce lien :
http://www.cit.fr/
==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt
==> Clique sur Ouvrir.
==> Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cit.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
==> Copie ce lien dans ta réponse.
Nous allons faire un petit diagnostic de ton PC pour cela :
==> Télécharge ZHPDiag (de Nicolas Coolman)
==> si ça ne marche pas, essaye de la télécharger ici
==> Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,
==> Si vous êtes sous Vista/Seven pensez à faire clique droit éxécuter en tant qu'istrateur.
clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.
==> Pour XP lancer ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.
==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.
==> Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse,
==> Clique sur l'appareil photo où disquette et enregistre le rapport sur ton Bureau.
Pour me le transmettre clique sur ce lien :
http://www.cit.fr/
==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt
==> Clique sur Ouvrir.
==> Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cit.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
==> Copie ce lien dans ta réponse.
Bonsoir,
Diagnostic n'est pas très bon, mais c'est pas étonnant en faisant du peer to peer d'avoir un PC qui tourne pas rond.
Infection FakeAlert
Infection DNS
Infection Rootkit possible.
En plus tu tourne avec deux antivirus avira et symantec, deux antivirus sur 1 même PC ne font pas bon ménage, car ils font conflit.
1ère chose à faire :
vérification de l'infection rootkit :
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi sur cette page, et clique sur " EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Helper - Contributeur sécurité
Diagnostic n'est pas très bon, mais c'est pas étonnant en faisant du peer to peer d'avoir un PC qui tourne pas rond.
Infection FakeAlert
Infection DNS
Infection Rootkit possible.
En plus tu tourne avec deux antivirus avira et symantec, deux antivirus sur 1 même PC ne font pas bon ménage, car ils font conflit.
1ère chose à faire :
vérification de l'infection rootkit :
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi sur cette page, et clique sur " EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Helper - Contributeur sécurité
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Bon nous allons essayer de retirer de rootkit de ton pc :
Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits istrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.
Voici les principales actions des rootkits :
* Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
* Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.
Ce que tu vas devoir faire :
==> Télécharge BTRK_RunBox Par jeanmimigab sur ton bureau.
==> sous Vista /Seven : Clic-droit sur le raccourci BTKR_RunBox présent sur le bureau et choisis "Exécuter en tant qu'istrateur"
==>Sous XP : Fais un double-clic dessus pour le lancer.
==> Une fenêtre qui s'ouvre, patiente jusqu'au message " OK" et appuie sur une touche comme demandé.
==> Fais le choix 1 et appuie sur la touche "Entrée".
==> Le bloc note ouvre une page, fais un clic-droit à l'intérieure et choisis "Coller".
==> Poste le contenu du rapport qui apparait dans cette page et ferme le.
==> Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".
Helper - Contributeur sécurité
Bon nous allons essayer de retirer de rootkit de ton pc :
Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits istrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.
Voici les principales actions des rootkits :
* Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
* Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.
Ce que tu vas devoir faire :
==> Télécharge BTRK_RunBox Par jeanmimigab sur ton bureau.
==> sous Vista /Seven : Clic-droit sur le raccourci BTKR_RunBox présent sur le bureau et choisis "Exécuter en tant qu'istrateur"
==>Sous XP : Fais un double-clic dessus pour le lancer.
==> Une fenêtre qui s'ouvre, patiente jusqu'au message " OK" et appuie sur une touche comme demandé.
==> Fais le choix 1 et appuie sur la touche "Entrée".
==> Le bloc note ouvre une page, fais un clic-droit à l'intérieure et choisis "Coller".
==> Poste le contenu du rapport qui apparait dans cette page et ferme le.
==> Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".
Helper - Contributeur sécurité
VOICI LE SEUL RAPPORT QUE J'ai
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 15288f155f9b90d37dac7f52fe7acd82
Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 15288f155f9b90d37dac7f52fe7acd82
Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
==> sous Vista /Seven : Clic-droit sur le raccourci BTKR_RunBox présent sur le bureau et choisis "Exécuter en tant qu'istrateur"
==>Sous XP : Fais un double-clic sur l'icône de BTKR_RunBox pour le lancer.
==> Une fenêtre qui s'ouvre, patiente jusqu'au message " OK" et appuie sur une touche comme demandé.
Fais le choix 3 et appuie sur la touche "Entrée".
Dans la nouvelle fenêtre qui s'ouvre, fais le choix 1 et appuie sur la touche "Entrée".
Laisse ton pc redémarrer.
==>Sous XP : Fais un double-clic sur l'icône de BTKR_RunBox pour le lancer.
==> Une fenêtre qui s'ouvre, patiente jusqu'au message " OK" et appuie sur une touche comme demandé.
Fais le choix 3 et appuie sur la touche "Entrée".
Dans la nouvelle fenêtre qui s'ouvre, fais le choix 1 et appuie sur la touche "Entrée".
Laisse ton pc redémarrer.
non non c'est bon , fais ceci maintenant :
▶ Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
▶ Désactivez vos protections et coupez la connexion.
▶ Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'istrateur"
▶ Un rapport sera généré : mbr.log
Poster le rapport
▶ Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
▶ Désactivez vos protections et coupez la connexion.
▶ Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'istrateur"
▶ Un rapport sera généré : mbr.log
Poster le rapport
voici le rapport
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6E040L0 rev.NAR61HA0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
: MBR read successfully
kernel: MBR read successfully
& kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6E040L0 rev.NAR61HA0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
: MBR read successfully
kernel: MBR read successfully
& kernel MBR OK
Bonjour,
Parfais ensuite :
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
si combofix n'a pas installé la console de récupération, suivre ceci pour l'installe et relance combofix ensuite : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html
Parfais ensuite :
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
si combofix n'a pas installé la console de récupération, suivre ceci pour l'installe et relance combofix ensuite : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html
Désolé pour le retard voici le rapport
ComboFix 11-02-13.03 - istrateur 14/02/2011 15:22:43.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.247.94 [GMT 1:00]
Lancé depuis: c:\documents and settings\istrateur\Bureau\combofix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\wiaservb.log
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SYSREST.SYS
-------\Service_sysrest.sys
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-14 au 2011-02-14 ))))))))))))))))))))))))))))))))))))
.
2011-02-14 13:34 . 2010-11-12 15:34 73728 ----a-w- c:\windows\system32\javal.l
2011-02-14 08:46 . 2011-02-14 08:46 1409 ----a-w- c:\windows\QTFont.for
2011-02-09 13:30 . 2010-09-18 06:53 974848 ------w- c:\windows\system32\dllcache\mfc42.dll
2011-02-09 13:30 . 2010-09-18 06:53 954368 ------w- c:\windows\system32\dllcache\mfc40.dll
2011-02-09 13:30 . 2010-09-18 06:53 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
2011-02-09 13:29 . 2010-08-23 16:12 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
2011-02-09 13:27 . 2010-11-02 15:17 40960 ------w- c:\windows\system32\dllcache\ndproxy.sys
2011-02-09 13:11 . 2010-10-11 14:59 45568 ------w- c:\windows\system32\dllcache\wab.exe
2011-02-07 14:06 . 2011-02-07 14:06 -------- d-----w- c:\program files\VS Revo Group
2011-02-07 13:38 . 2010-11-12 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-02-07 09:08 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-07 09:08 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-07 09:08 . 2011-02-07 09:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-02-04 13:20 . 2011-02-04 13:20 -------- d-----w- c:\documents and settings\istrateur\Application Data\TeamViewer
2011-01-26 10:02 . 2011-01-26 10:02 -------- d-----w- c:\documents and settings\istrateur\Local Settings\Application Data\DADSU-CTL-V08R10
2011-01-26 10:01 . 2011-01-26 14:54 -------- d-----w- c:\program files\DADSU-CTL-V08R10
2011-01-24 10:52 . 2011-01-24 10:53 249462616 ----a-w- c:\program files\Sagedirect3.4.0.9.exe
2011-01-24 10:14 . 2011-01-24 10:15 233857243 ----a-w- c:\program files\SagePaieRH1950.exe
2011-01-21 14:44 . 2011-01-21 14:44 441344 ------w- c:\windows\system32\dllcache\shimgvw.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2004-08-05 02:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-05 02:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2004-08-05 02:00 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-05 02:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2004-08-05 02:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2004-08-05 02:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2004-08-05 02:00 1469440 ------w- c:\windows\system32\inetl.l
2010-12-20 17:26 . 2004-08-05 02:00 736768 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-05 02:00 385024 ----a-w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2004-08-05 02:00 743424 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2004-08-05 02:00 2194816 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 15:14 . 2004-08-05 02:00 2071424 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:30 . 2004-08-05 02:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2010-11-18 18:12 . 2004-08-05 02:00 86016 ----a-w- c:\windows\system32\isign32.dll
2010-07-26 15:39 . 2010-07-26 15:38 225800113 ----a-w- c:\program files\SagePaieRH1900.exe
2010-01-21 15:15 . 2010-01-21 15:14 199145750 ----a-w- c:\program files\Sagedirect3.0.0.42.exe
2010-01-21 14:27 . 2010-01-21 14:26 218652391 ----a-w- c:\program files\Sagepaierh1850.exe
2007-01-17 14:22 . 2007-01-17 14:22 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-03-11 114688]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"srmclean"="c:\qs\Scom\srmclean.exe" [2001-07-24 36864]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"StatusClient 2.6"="c:\program files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 61440]
"TomcatStartup 2.5"="c:\program files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 188416]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 49152]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
[HKEY_S\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_CURRENT_\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Program Files\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Sage\\direct\\Sagedirect.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/11/2009 16:42 108289]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [07/02/2011 10:08 38224]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - JAVAQUICKSTARTERSERVICE
.
Contenu du dossier 'Tâches planifiées'
2011-02-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 13:42]
2011-02-14 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-02-09 10:22]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
mSearch Bar = hxxp://go.compaq.com/1Q00CDT/040C/bl8.asp
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
Trusted Zone: sec.com\www
DPF: {A06BE318-C096-11D4-964F-0010A4D06F69} - hxxps://tva.dgi.minefi.gouv.fr/activeX/TeleTVA.tva
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-lphcebej0e5t1 - c:\windows\system32\lphcebej0e5t1.exe
AddRemove-TelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-14 15:42
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_S\S-1-5-21-284466971-1614404884-368477666-500\Software\Microsoft\Internet Explorer\ Preferences]
@Denied: (2) ()
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1c,42,29,d6,3c,5e,2b,43,9d,50,1e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1c,42,29,d6,3c,5e,2b,43,9d,50,1e,\
[HKEY_S\S-1-5-21-284466971-1614404884-368477666-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-02-14 15:51:15
ComboFix-quarantined-files.txt 2011-02-14 14:51
Avant-CF: 19 290 411 008 octets libres
Après-CF: 20 097 896 448 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 11C44CDAE49453BEC4E903F0FF8B6B0B
ComboFix 11-02-13.03 - istrateur 14/02/2011 15:22:43.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.247.94 [GMT 1:00]
Lancé depuis: c:\documents and settings\istrateur\Bureau\combofix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\wiaservb.log
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SYSREST.SYS
-------\Service_sysrest.sys
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-14 au 2011-02-14 ))))))))))))))))))))))))))))))))))))
.
2011-02-14 13:34 . 2010-11-12 15:34 73728 ----a-w- c:\windows\system32\javal.l
2011-02-14 08:46 . 2011-02-14 08:46 1409 ----a-w- c:\windows\QTFont.for
2011-02-09 13:30 . 2010-09-18 06:53 974848 ------w- c:\windows\system32\dllcache\mfc42.dll
2011-02-09 13:30 . 2010-09-18 06:53 954368 ------w- c:\windows\system32\dllcache\mfc40.dll
2011-02-09 13:30 . 2010-09-18 06:53 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
2011-02-09 13:29 . 2010-08-23 16:12 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
2011-02-09 13:27 . 2010-11-02 15:17 40960 ------w- c:\windows\system32\dllcache\ndproxy.sys
2011-02-09 13:11 . 2010-10-11 14:59 45568 ------w- c:\windows\system32\dllcache\wab.exe
2011-02-07 14:06 . 2011-02-07 14:06 -------- d-----w- c:\program files\VS Revo Group
2011-02-07 13:38 . 2010-11-12 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-02-07 09:08 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-07 09:08 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-07 09:08 . 2011-02-07 09:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-02-04 13:20 . 2011-02-04 13:20 -------- d-----w- c:\documents and settings\istrateur\Application Data\TeamViewer
2011-01-26 10:02 . 2011-01-26 10:02 -------- d-----w- c:\documents and settings\istrateur\Local Settings\Application Data\DADSU-CTL-V08R10
2011-01-26 10:01 . 2011-01-26 14:54 -------- d-----w- c:\program files\DADSU-CTL-V08R10
2011-01-24 10:52 . 2011-01-24 10:53 249462616 ----a-w- c:\program files\Sagedirect3.4.0.9.exe
2011-01-24 10:14 . 2011-01-24 10:15 233857243 ----a-w- c:\program files\SagePaieRH1950.exe
2011-01-21 14:44 . 2011-01-21 14:44 441344 ------w- c:\windows\system32\dllcache\shimgvw.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2004-08-05 02:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-05 02:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2004-08-05 02:00 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-05 02:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2004-08-05 02:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2004-08-05 02:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2004-08-05 02:00 1469440 ------w- c:\windows\system32\inetl.l
2010-12-20 17:26 . 2004-08-05 02:00 736768 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-05 02:00 385024 ----a-w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2004-08-05 02:00 743424 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2004-08-05 02:00 2194816 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 15:14 . 2004-08-05 02:00 2071424 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:30 . 2004-08-05 02:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2010-11-18 18:12 . 2004-08-05 02:00 86016 ----a-w- c:\windows\system32\isign32.dll
2010-07-26 15:39 . 2010-07-26 15:38 225800113 ----a-w- c:\program files\SagePaieRH1900.exe
2010-01-21 15:15 . 2010-01-21 15:14 199145750 ----a-w- c:\program files\Sagedirect3.0.0.42.exe
2010-01-21 14:27 . 2010-01-21 14:26 218652391 ----a-w- c:\program files\Sagepaierh1850.exe
2007-01-17 14:22 . 2007-01-17 14:22 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-03-11 114688]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"srmclean"="c:\qs\Scom\srmclean.exe" [2001-07-24 36864]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"StatusClient 2.6"="c:\program files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 61440]
"TomcatStartup 2.5"="c:\program files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 188416]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 49152]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
[HKEY_S\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_CURRENT_\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Program Files\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Sage\\direct\\Sagedirect.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/11/2009 16:42 108289]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [07/02/2011 10:08 38224]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - JAVAQUICKSTARTERSERVICE
.
Contenu du dossier 'Tâches planifiées'
2011-02-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 13:42]
2011-02-14 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-02-09 10:22]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
mSearch Bar = hxxp://go.compaq.com/1Q00CDT/040C/bl8.asp
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
Trusted Zone: sec.com\www
DPF: {A06BE318-C096-11D4-964F-0010A4D06F69} - hxxps://tva.dgi.minefi.gouv.fr/activeX/TeleTVA.tva
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-lphcebej0e5t1 - c:\windows\system32\lphcebej0e5t1.exe
AddRemove-TelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-14 15:42
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_S\S-1-5-21-284466971-1614404884-368477666-500\Software\Microsoft\Internet Explorer\ Preferences]
@Denied: (2) ()
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1c,42,29,d6,3c,5e,2b,43,9d,50,1e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1c,42,29,d6,3c,5e,2b,43,9d,50,1e,\
[HKEY_S\S-1-5-21-284466971-1614404884-368477666-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-02-14 15:51:15
ComboFix-quarantined-files.txt 2011-02-14 14:51
Avant-CF: 19 290 411 008 octets libres
Après-CF: 20 097 896 448 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 11C44CDAE49453BEC4E903F0FF8B6B0B
http://www.cit.fr/cjlink.php?file=cj201102/cijNNpJ6Pe.txt
merci