Ce forum n'est plus mis à jour, passez sur notre site http://www.donnemoilinfo.com/
Pour des raisons de confidentialité tous les comptes ont été supprimés. |
| | tentative d'intrusion bloquée | |
| | Auteur | Message |
---|
Amande Invité
| Sujet: tentative d'intrusion bloquée Jeu 23 Juil 2009, 18:26 | |
| Bonjour,
Je viens juste d'installer kerio et j'ai déjà des soucis!!!
cette fenêtre s'affiche à l'ouverture de firefox et je n'arrive pas à trouver d'infos sur ce problème spécifique. Voici un copié collé des info de la fenêtre (j'ai fait un scan avec avast mais ça n'a rien donné): Détails techniques sur l'intrusion :
Application injectrice : C:\documents and settings\amande\local settings\application data\camee.exe(new line) Description : entre-tuions(new line) Version du fichier : 3, 7, 5, 7(new line) Produit : s'amuïsse(new line) Version du produit : 3, 7, 5, 7(new line) Créé le : 2009/4/8, 12:24:30(new line) Modifié le : 2009/4/8, 12:24:32(new line) Dernier accès le : 2009/7/22, 22:00:00
Application cible : C:\Program Files\Mozilla Firefox\firefox.exe(new line) Description : Firefox(new line) Version du fichier : 1.9.1.1(new line) Produit : Firefox(new line) Version du produit : 3.5.1(new line) Créé le : 2009/7/23, 13:59:45(new line) Modifié le : 2009/7/15, 22:31:52(new line) Dernier accès le : 2009/7/22, 22:00:00
Adresse de l'injection : 0x036F0000
Est ce que c'est un peu plus clair pour quelqu'un que pour moi? :gné2: |
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 09:40 | |
| | |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 13:30 | |
| Bonjour, et merci pour ta réponse.
Hier soir j'ai fait un scan avec dr.Web et de nouveau je n'ai eu aucun résultat montrant un virus. J'ai bien tenté aussi avec Virus total mais je n'arrive pas à le faire fonctionner. |
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 14:01 | |
| VirusTotal ne t'aidera pas pour ça, et les antivirus sur ce genre d'infections ne suppriment pas tout .. seul moyen rapide et facile et de passer par le lien que je t 'ai donné et utiliser le logiciel indiqué | |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 14:04 | |
| En fait, je n'arrive pas à trouver ce fichier sur mon PC en parcourant depuis Virus total. Je n'arrive à le trouver qu'en faisant une recherche avec l'assistant de recherche Windows et je ne peux rien faire de plus. (c'est un fichier caché) |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 14:07 | |
| Zut, ne tiens pas compte de mon message je l'ai écris en même temps que le tien!
Je n'avais pas "vu" le deuxième lien, je cherchais seulement sur le premier. merci, je tente... |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 14:24 | |
| Voilà c'est fait, mais ça fait peur, j'ai pourtant Avast installé depuis pas mal de temps... - Citation :
- Fix Navipromo version 4.0.1 commencé le 24/07/2009 13:09:22,37
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2 X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ ) BIOS : Phoenix - AwardBIOS v6.00PG USER : Amande ( Administrator ) BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1335 [VPS 090724-0] 4.8.1335 (Activated) Firewall : Sunbelt Personal Firewall 4.6.1861 T (Activated)
C:\ (Local Disk) - FAT32 - Total:149 Go (Free:117 Go) D:\ (CD or DVD) E:\ (Local Disk) - FAT - Total:0 Go (Free:0 Go) F:\ (USB) G:\ (USB) H:\ (USB) I:\ (USB)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\WINDOWS\System32\lgfivq.exe supprimé ! C:\WINDOWS\msskinner supprimé ! C:\Program Files\Instant Access supprimé ! C:\Program Files\Mailskinner supprimé ! C:\WINDOWS\tmlpcert2007 supprimé ! C:\WINDOWS\system32\msegcompid.dll supprimé ! C:\WINDOWS\prefetch\camee*.pf supprimé ! C:\WINDOWS\system32\gluavujmt.dat supprimé ! C:\WINDOWS\system32\gluavujmt_nav.dat supprimé ! C:\WINDOWS\system32\gluavujmt_navps.dat supprimé ! C:\WINDOWS\system32\gluavujmt_navup.dat supprimé ! C:\WINDOWS\system32\ryoikm.dat supprimé ! C:\WINDOWS\system32\ryoikm_navps.dat supprimé ! C:\WINDOWS\system32\ryoikm_nav.dat supprimé ! C:\Documents and Settings\Amande\locals~1\applic~1\camee.exe supprimé ! C:\Documents and Settings\Amande\locals~1\applic~1\camee.dat supprimé ! C:\Documents and Settings\Amande\locals~1\applic~1\camee_nav.dat supprimé ! C:\Documents and Settings\Amande\locals~1\applic~1\camee_navps.dat supprimé ! C:\DOCUME~1\FABRICE\locals~1\applic~1\aiagu.dat supprimé ! C:\DOCUME~1\FABRICE\locals~1\applic~1\aiagu_nav.dat supprimé ! C:\DOCUME~1\FABRICE\locals~1\applic~1\aiagu_navps.dat supprimé !
Nettoyage contenu C:\WINDOWS\Temp effectué ! Nettoyage contenu C:\Documents and Settings\Amande\locals~1\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
Certificat Egroup supprimé !
*** Fichiers suspects non supprimés par Navilog1 *** !! Fichiers légitimes possibles, à contrôler avant suppression !!
Fichiers suspects dans "C:\WINDOWS\system32" :
abmojddasf.exe trouvé ! bugbhhtsoq.exe trouvé ! hxsqmrbgl.exe trouvé ! lbwvxur.exe trouvé ! mtnvkjn.exe trouvé ! pjzsrkqo.exe trouvé ! ptkcbh.exe trouvé ! qiqbapm.exe trouvé ! sguoxajoxh.exe trouvé ! skpoddyql.exe trouvé ! tbfman.exe trouvé ! ufbtncr.exe trouvé ! wsyeyltrt.exe trouvé ! xxhmwinlp.exe trouvé ! ybblqdstj.exe trouvé !
*** Scan terminé 24/07/2009 13:18:38,68 ***
Que faut-il faire maintenant? est ce que je désinstalle de suite Navilog? |
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 16:08 | |
| Ah ok, j'avais pas compris pour VirusTotal, quand c'est comme ça, dans le champs de recherche chez Virustotal et si tu connais le chemin d'accès direct au fichier tu peux l'entrer dans le champs vide à côté du bouton choisir. Par exemple tu auras copié ceci : C:\documents and settings\amande\local settings\application data\camee.exe Bon là ça va plus marcher, car l'intrus a été supprimé. Ton ordinateur est encore infecté malheuresement. Ton infection vient d'un programme installé Mailskinner qui contient l'intrus, mais aussi apparemment de programmes provenant de sites pornos et apparemment pas tout récent, ça doit faire un moment qu'ils sont là. Tu peux supprimer Navilog, pour se faire : Clic sur Démarrer, Poste de travail, Disque Local C:, tu trouveras un dossier Navilog, fais un clic droit dessus puis choisir Supprimer. On va débarasser ton ordinateur des autres fichiers suspects. Pour cela suis ceci : Télécharge ComboFix ---> http://download.bleepingcomputer.com/sUBs/ComboFix.exeSi ton antivirus t 'alerte, désactive-le, le temps de la manipulation. Ferme ton navigateur web avant d'exécuter ce programme Double-clic dessus et appuye sur "1" pour continuer Attends quelques minutes.. ton ordinateur peut avoir besoin de redémarrer, c'est normal. Un rapport va s'ouvrir enregistre son contenu, puis copie et colle le ici, le rapport peut être long si tel est le cas copie le en deux fois | |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 18:21 | |
| Voilà, c'est fait. J'ai un peu galèrer car j'ai un nouveau souci avec kerio depuis que j'ai utilisé navilog. Je n'y ai plus accès par la barre des tâches et lorsque j'essaye par le menu demarrer, il me demande un mot de passe et un hôte??? du coup je n'ai pas pu l'arreter. donc voiçi le rapport: - Spoiler:
- Citation :
- ComboFix 09-07-23.04 - Amande 24/07/2009 17:04.2.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.205 [GMT 2] Running from: c:\documents and settings\Amande\Mes documents\Téléchargements\ComboFix.exe AV: avast! antivirus 4.8.1335 [VPS 090724-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} FW: Sunbelt Personal Firewall *enabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! .
((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . c:\windows\system32\Ati2evxx.dll
. ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) .
-------\Legacy_IPRIP -------\Service_Iprip
((((((((((((((((((((((((( Files Created from 2009-06-24 to 2009-07-24 ))))))))))))))))))))))))))))))) .
2009-07-24 12:58 . 2009-07-24 12:58 -------- d-----w- c:\documents and settings\Fabrice\Local Settings\Application Data\Mozilla 2009-07-24 11:08 . 2009-07-24 11:08 -------- d-----w- c:\program files\Navilog1 2009-07-23 20:47 . 2009-07-23 20:47 -------- d-----w- c:\documents and settings\Amande\DoctorWeb 2009-07-23 14:29 . 2008-06-21 02:54 65576 ----a-w- c:\windows\system32\drivers\SbFwIm.sys 2009-07-23 14:29 . 2008-10-31 05:09 270888 ----a-r- c:\windows\system32\drivers\SbFw.sys 2009-07-23 14:29 . 2009-07-23 14:29 -------- d-----w- c:\program files\Sunbelt Software 2009-07-23 14:00 . 2009-07-23 14:00 0 ----a-w- c:\windows\nsreg.dat 2009-07-23 14:00 . 2009-07-23 14:00 -------- d-----w- c:\documents and settings\Amande\Local Settings\Application Data\Mozilla 2009-07-18 21:30 . 2009-07-18 21:30 -------- d-----w- c:\program files\DIFX 2009-07-18 21:30 . 2009-07-18 21:30 -------- d-----w- c:\windows\system32\DRVSTORE 2009-07-01 08:24 . 2009-07-01 08:24 -------- d--h--w- c:\documents and settings\Amande\Application Data\Apple Computer
. (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-05 09:19 . 2009-01-01 09:25 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT 2009-07-05 08:59 . 2009-01-01 09:27 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT 2009-07-15 22:31 . 2009-07-23 13:59 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll .
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{65FDC3CC-D885-9A17-D34A-39EB48D98A29}"= "Shaitan1678.dll" [BU]
[HKEY_CLASSES_ROOT\clsid\{65fdc3cc-d885-9a17-d34a-39eb48d98a29}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360] "WareOut"="c:\program files\WareOut\WareOut.exe" [BU] "PhotoShow Deluxe Media Manager"="c:\progra~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe" [BU] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-16 68856] "AdobeUpdater"="c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [BU] "syspanel"="EXE32EXE.exe" [BU] "bingo9"="uio.exe" [BU] "Dest068"="install2.exe" [BU]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-10 136600] "dmpbo.exe"="c:\windows\system32\dmpbo.exe" [BU] "hwiper.exe"="c:\windows\system32\hwiper.exe" [BU] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 81408] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-12-11 286720] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363] "DXDllRegExe"="dxdllreg.exe" [BU] "lpt"="systemdll.exe" [BU] "XTermInit"="CToolBar.exe" [BU] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-10-08 57344]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624] D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728] Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2008-6-5 479232]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoBandCustomize"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpofxm08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hposfx08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqscnvw.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqkygrp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqCopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpfccopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpzwiz01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpoews01.exe"= "c:\\Program Files\\Innovator\\pcs0321.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3587:TCP"= 3587:TCP:Groupement homologue Windows "3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1)
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [06/12/2005 16:11 35328] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [10/04/2008 14:36 114768] R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [23/07/2009 16:29 270888] R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 04:54 66600] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/04/2008 14:36 20560] R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31/10/2008 07:24 95528] R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31/10/2008 07:24 1365288] R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [23/07/2009 16:29 65576] S2 MGE Service module;MGE Service module;c:\windows\system32\MGE\RunSC.exe [16/10/2006 15:37 122880] S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [17/12/2008 14:38 33752] S3 RCRadio;RCRadio;\??\c:\program files\IPACS\AeroFly\RCRadio.sys --> c:\program files\IPACS\AeroFly\RCRadio.sys [?] S3 SQTECH907B;EZCam(PID_907B_00);c:\windows\system32\Drivers\Capt907B.sys --> c:\windows\system32\Drivers\Capt907B.sys [?] S3 Winacusb;Winacusb;c:\windows\system32\DRIVERS\winacusb.sys --> c:\windows\system32\DRIVERS\winacusb.sys [?]
|
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 18:22 | |
| Et la suite... - Spoiler:
- Citation :
- --- Other Services/Drivers In Memory ---
*NewlyCreated* - SISPORT *Deregistered* - SiSPort
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . Contents of the 'Scheduled Tasks' folder
2009-07-23 c:\windows\Tasks\HPpromotions journeysoftware.job - c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36] . . ------- Supplementary Scan ------- . uStart Page = hxxp://portail.free.fr/ uInternet Connection Wizard,ShellNext = iexplore IE: Traduire cette page - c:\windows\WEB\powertoy.htm DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Amande\Application Data\Mozilla\Firefox\Profiles\thhu5prr.default\ FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
---- FIREFOX POLICIES ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", " .
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, Rootkit scan 2009-07-24 17:11 Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
scanning hidden files ...
scan completed successfully hidden files: 0
************************************************************************** . Completion time: 2009-07-24 17:14 ComboFix-quarantined-files.txt 2009-07-24 15:14
Pre-Run: 128 681 476 096 octets libres Post-Run: 128 660 242 432 octets libres
203 --- E O F --- 2009-02-21 14:09
|
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Ven 24 Juil 2009, 20:56 | |
| C'est Sunbelt qui te demande un mot de passe, c'est ça ? S'il te pose encore des ennuis désinstalle-le et réinstalle-le car c'est la première fois que j'entends parlé de ça Désactive Avast le temps de la manipulation. Télécharge ce fichier CFScript sur ton bureau : pour l'enregistrer fais un clic droit sur le texte "Télécharger ce fichier" puis choisis Enregistrer sous -> Bureau http://dl.free.fr/p5m4X60xIFais un glisser déposer de ce fichier sur Combofix comme sur l'image ci-dessous Une fenêtre va apparaître, valide et laisse le logiciel faire son travail, ne touche à rien. Dès qu'il a terminé un rapport va s'ouvrir, envoi le moi S'il ne s'ouvre pas il se trouve ici C:\Qoobox\ComboFix(2).txt | |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Sam 25 Juil 2009, 12:16 | |
| Bonjour, ce matin au redémarrage de windows, kerio était de nouveau dans la barre des tâches, mais depuis que j'ai réutilisé ComboFix, il me demande à nouveau un mot de passe: Bon, autrement, voici le nouveau rapport: - Citation :
- ComboFix 09-07-24.01 - Amande 25/07/2009 10:49.3.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.216 [GMT 2:00] Running from: c:\documents and settings\Amande\Mes documents\Téléchargements\ComboFix.exe Command switches used :: c:\documents and settings\Amande\Bureau\CFScript(2).txt AV: avast! antivirus 4.8.1335 [VPS 090724-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} FW: Sunbelt Personal Firewall *enabled* {82B1150E-9B37-49FC-83EB-D52197D900D0} * Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE :: "c:\windows\system32\abmojddasf.exe" "c:\windows\system32\bugbhhtsoq.exe" "c:\windows\system32\ctoolbar.exe" "c:\windows\system32\hxsqmrbgl.exe" "c:\windows\system32\lbwvxur.exe" "c:\windows\system32\mtnvkjn.exe" "c:\windows\system32\pjzsrkqo.exe" "c:\windows\system32\ptkcbh.exe" "c:\windows\system32\qiqbapm.exe" "c:\windows\system32\sguoxajoxh.exe" "c:\windows\system32\skpoddyql.exe" "c:\windows\system32\systemdll.exe" "c:\windows\system32\tbfman.exe" "c:\windows\system32\ufbtncr.exe" "c:\windows\system32\wsyeyltrt.exe" "c:\windows\system32\xxhmwinlp.exe" "c:\windows\system32\ybblqdstj.exe" .
((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) .
c:\windows\system32\abmojddasf.exe c:\windows\system32\bugbhhtsoq.exe c:\windows\system32\hxsqmrbgl.exe c:\windows\system32\lbwvxur.exe c:\windows\system32\mtnvkjn.exe c:\windows\system32\pjzsrkqo.exe c:\windows\system32\ptkcbh.exe c:\windows\system32\qiqbapm.exe c:\windows\system32\sguoxajoxh.exe c:\windows\system32\skpoddyql.exe c:\windows\system32\tbfman.exe c:\windows\system32\ufbtncr.exe c:\windows\system32\wsyeyltrt.exe c:\windows\system32\xxhmwinlp.exe c:\windows\system32\ybblqdstj.exe
. ((((((((((((((((((((((((( Files Created from 2009-06-25 to 2009-07-25 ))))))))))))))))))))))))))))))) .
2009-07-25 08:44 . 2009-07-25 08:44 400896 ----a-w- c:\windows\system32\CF20236.exe 2009-07-24 12:58 . 2009-07-24 12:58 -------- d-----w- c:\documents and settings\Fabrice\Local Settings\Application Data\Mozilla 2009-07-23 20:47 . 2009-07-23 20:47 -------- d-----w- c:\documents and settings\Amande\DoctorWeb 2009-07-23 14:29 . 2008-06-21 02:54 65576 ----a-w- c:\windows\system32\drivers\SbFwIm.sys 2009-07-23 14:29 . 2008-10-31 05:09 270888 ----a-r- c:\windows\system32\drivers\SbFw.sys 2009-07-23 14:29 . 2009-07-23 14:29 -------- d-----w- c:\program files\Sunbelt Software 2009-07-23 14:00 . 2009-07-23 14:00 0 ----a-w- c:\windows\nsreg.dat 2009-07-23 14:00 . 2009-07-23 14:00 -------- d-----w- c:\documents and settings\Amande\Local Settings\Application Data\Mozilla 2009-07-18 21:30 . 2009-07-18 21:30 -------- d-----w- c:\program files\DIFX 2009-07-18 21:30 . 2009-07-18 21:30 -------- d-----w- c:\windows\system32\DRVSTORE 2009-07-01 08:24 . 2009-07-01 08:24 -------- d--h--w- c:\documents and settings\Amande\Application Data\Apple Computer
. (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-05 09:19 . 2009-01-01 09:25 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT 2009-07-05 08:59 . 2009-01-01 09:27 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT 2009-07-15 22:31 . 2009-07-23 13:59 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll .
(((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\program files\DIFX ----
2009-07-18 21:30 . 2006-11-02 07:22 795104 ----a-w- c:\program files\DIFX\270581355A767BF1\DPInstx86.exe
((((((((((((((((((((((((((((( SnapShot@2009-07-24_14.56.09 ))))))))))))))))))))))))))))))))))))))))) . + 2009-07-25 08:19 . 2009-07-25 08:19 16384 c:\windows\Temp\Perflib_Perfdata_c8.dat + 2009-07-24 18:01 . 2009-07-24 18:01 16384 c:\windows\Temp\Perflib_Perfdata_680.dat - 2009-07-24 14:55 . 2009-07-24 14:55 16384 c:\windows\Temp\Perflib_Perfdata_680.dat + 2009-07-25 08:19 . 2009-07-25 08:19 16384 c:\windows\Temp\Perflib_Perfdata_1c0.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Sam 25 Juil 2009, 12:17 | |
| Et la suite: - Spoiler:
- Citation :
- .
*Note* empty entries & legit default entries are not shown REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360] "PhotoShow Deluxe Media Manager"="c:\progra~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe" [BU] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-16 68856] "AdobeUpdater"="c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [BU]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-10 136600] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 81408] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-12-11 286720] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363] "DXDllRegExe"="dxdllreg.exe" [BU] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-10-08 57344]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624] D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728] Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2008-6-5 479232]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoBandCustomize"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpofxm08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hposfx08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqscnvw.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqkygrp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqCopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpfccopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpzwiz01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpoews01.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1)
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [06/12/2005 16:11 35328] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [10/04/2008 14:36 114768] R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [23/07/2009 16:29 270888] R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 04:54 66600] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/04/2008 14:36 20560] R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31/10/2008 07:24 95528] R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31/10/2008 07:24 1365288] R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [23/07/2009 16:29 65576] S2 MGE Service module;MGE Service module;c:\windows\system32\MGE\RunSC.exe [16/10/2006 15:37 122880] S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [17/12/2008 14:38 33752] S3 RCRadio;RCRadio;\??\c:\program files\IPACS\AeroFly\RCRadio.sys --> c:\program files\IPACS\AeroFly\RCRadio.sys [?] S3 SQTECH907B;EZCam(PID_907B_00);c:\windows\system32\Drivers\Capt907B.sys --> c:\windows\system32\Drivers\Capt907B.sys [?] S3 Winacusb;Winacusb;c:\windows\system32\DRIVERS\winacusb.sys --> c:\windows\system32\DRIVERS\winacusb.sys [?]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . Contents of the 'Scheduled Tasks' folder
2009-07-23 c:\windows\Tasks\HPpromotions journeysoftware.job - c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36] . . ------- Supplementary Scan ------- . uStart Page = hxxp://portail.free.fr/ uInternet Connection Wizard,ShellNext = iexplore IE: Traduire cette page - c:\windows\WEB\powertoy.htm DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Amande\Application Data\Mozilla\Firefox\Profiles\thhu5prr.default\ FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
---- FIREFOX POLICIES ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", " .
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, Rootkit scan 2009-07-25 10:57 Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
scanning hidden files ...
scan completed successfully hidden files: 0
************************************************************************** . Completion time: 2009-07-25 11:00 ComboFix-quarantined-files.txt 2009-07-25 09:00 ComboFix2.txt 2009-07-24 15:14
Pre-Run: 128 626 622 464 octets libres Post-Run: 128 587 235 328 octets libres
222 --- E O F --- 2009-02-21 14:09
Encore merci pour ton aide |
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Sam 25 Juil 2009, 19:23 | |
| C'est déjà mieux bon boulot Par contre un intrus est réapparu ce jour sur ton ordinateur, enfin je dis intrus, je sais pas il va falloir l'analyser car il est suspect Rends toi sur Virustotal http://www.virustotal.com/fr/A la gauche du ton bouton choisir copie et colle cette ligne et clic sur Envoyer le fichier c:\windows\system32\CF20236.exeSi le fichier a déjà été analysé, réanalyse-le. Dès la fin du résultat, copie et colle ici l'URL présente dans ta barre d'adresse afin que je puisse accéder au résultat. Pour Kerio, cette fenête me dit quelque chose, mais quoi ?! Redésinstalle-le, car je pense que l'on va perdre plus de temps à chercher une solution, car le réinstaller. On ne va plus utiliser Combofix que tu peux jeter ainsi que Navilog si tu le retrouves. As-tu vérifier que ton Windows était à jour ? pour la sécurité de ton ordinateur ne pas oublier de la faire, si tu ne sais pas comment exécuter tout ça, regarde le lien ci-dessous https://kerio.probb.fr/matriser-windows-f4/mettre-jour-windows-xp-et-vista-t1238.htm#1 | |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Lun 27 Juil 2009, 16:10 | |
| Bonjour, Désolée d'avoir mis si longtemps à répondre, je n'ai pas eu beaucoup de temps... Voici le lien, mais si je lis bien le rapport, il n'y a pas de souci, non? virustotal.com/fr/analisis/7e649a08c6f684581e60f2122fd88ad2e001deb1316cd9e5bcb0b7fb06a85d9a-1248699598 (j'ai pas mis le début sinon le lien ne s'affiche pas, pourquoi?) Pour les MAJ de windows j'hésite parfois car comme je suis vraiment nulle dans ce domaine (comme t'as pu le constater ) et que j'essaye parfois de lire les licences pour justement comprendre à quoi servent certaines d'entre elles, je me méfie de certains termes où elles parlent de connexions automatiques, bref faut-il vraiment installer toutes les MAJ? |
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Lun 27 Juil 2009, 16:58 | |
| Pas grave, pas grave Oui, il n'y a apparemment pas de souci, mais as-tu réanalysé le fichier ou l'analyse c'est t-elle lancée d'elle-même ? Si ta réponse est la deuxième réponse, il faudrait réanalyser ce fichier d'ici une semaine pour voir, car s'il est tout récent il se peut qu'il ne soit pas encore détecté par les antivirus Pour les mises à jour tu peux les faires sans problèmes elles corrigeront des failles de sécurité et apporterront pour certaines d'entre-elles plus de stabilité à ton système. En général la mise à jour une fois installé ne fait plus parler d'elle et ne génére pas de connexion puisqu'elle vient combler des problèmes. Tu n'es pas obligé de les faire, mais ce serait mieux pour ton ordinateur. Le système ne te proposera que les mises à jour que ton ordinateur a besoin, il peut y en avoir beaucoup ! Pour le lien tu peux pas le mettre en entier, car tu n'es pas membre du forum et pour éviter le spam les liens sont automatiquement supprimé | |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Lun 27 Juil 2009, 17:52 | |
| Et bien merci beaucoup pour ton aide! J'ai fait ce que tu m'as dit, j'ai demandé une deuxième analyse. Je vais faire les MAJ de windows, j'en avais déjà fait régulièrement, donc je devrais pas avoir trop de retard à ce niveau. Merci encore, et je garde ce forum dans mes favoris, au cas où... |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Lun 27 Juil 2009, 23:42 | |
| Bonsoir, J'ai encore une tite question, j'ai lu (je ne sais plus où) qu'il valait mieux désinstaller avast pour mettre Antivir (je crois que c'est ça!) car il était plus réactif. Sur ce site il donnait comme "preuves" les forums d'entraide comme celui-çi ou beaucoup de gens (comme moi ) étaient surpris d'être infectés malgré Avast... Bon, j'ai bien compris qu'un antivirus n'était pas une solution miracle, mais à ton avis, que vaut-il mieux choisir? (il me semble qu'il y avait aussi un truc qui s'appelait AVG 8) Ah oui, en plus d'être nulle dans ce domaine, je ne suis pas non plus très fortiche en anglais, est ce que antivir est simple d'utilisation? |
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Mer 29 Juil 2009, 20:57 | |
| Oui, je vois de quoi tu parles, mais je ne suis pas partisan de certain dire et j'en suis pas le seul. Si tu gardes ton anti-virus actuel + le pare-feu Avast toujours activé et correctement configuré (pas accepter ce que tu ne connais pas par exemple) tu ne devrais pas avoir de problème. Maintenant, si des personnes chez toi utilisent des logiciels de peer to peer tel qu'eMule ou visitent des sites olé-olé, alors mieux vaut changer d'anti-virus. Maintenant, si tu le souhaites tu peux installer AntiVir, il est depuis quelques mois en français et pas plus compliqué qu'Avast à utiliser donc pourquoi pas, pour ce qui est de AVG oublie-le, car il est lourd ! | |
| | | boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
| Sujet: Re: tentative d'intrusion bloquée Jeu 30 Juil 2009, 03:11 | |
| Amande tu es encore là ? Fais ceci, si tu vois que le résultat n'indique rien c'est que c'est bon Rends toi sur Virustotal http://www.virustotal.com/fr/A la gauche du ton bouton choisir copie et colle cette ligne et clic sur Envoyer le fichier c:\windows\system32\Ati2evxx.dll | |
| | | Amande Invité
| Sujet: Re: tentative d'intrusion bloquée Jeu 30 Juil 2009, 13:30 | |
| Bonjour, Merci pour tes réponses et avis. Personne à la maison n'utilise de peer to peer, par contre les sites olé-olé comme tu dis, oui (tu t'en es rendu compte... ) J'ai essayé l'analyse du fichier que tu m'as nommé mais apparemment il est introuvable dans mon PC.. |
| | | Contenu sponsorisé
| Sujet: Re: tentative d'intrusion bloquée | |
| |
| | | | tentative d'intrusion bloquée | |
|
Sujets similaires | |
|
| Permission de ce forum: | Vous ne pouvez pas répondre aux sujets dans ce forum
| |
| |
| |
|