FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

PC infecté par "Brontok" Clés USB et Disque Dur idem

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
 Sujet verrouillé
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 mer. 4 sept. 2013 13:00 #59522
Hello,

dans le dossier C:\Documents and Settings\Cléa\Local Settings\Application Data", je vois , avant d'effectuer les restauration, il y a deux fichier avec ces noms:

"Bron.tok.A12.em" (fichier media .bin) 13ko
"Kosong.Bron.tok" (Document texte) 1ko

????
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 mer. 4 sept. 2013 13:15 #59523
J'ai retrouvé le premier fichier (winlogon.exe)
Je l'ai sélectionné, puis cliqué sur "restaurer"..

Le fichier est apparu dans le dossier C:\Documents and Settings\Cléa\Local Settings\Application Data", puis une petite fenêtre "Malwarebytes est apparue en bas a droite de l'écran... je n'ai pas eu le temps de bien lire ce qu'elle disait, mais je crois que c'était qq chose du style Malwarebytes a détecter ou à bloqué ........"

et le fichier (winlogon.exe) a disparu du dossier C:\Documents and Settings\Cléa\Local Settings\Application Data"
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 mer. 4 sept. 2013 17:51 #59556
Voilà le rapport USBFix..avec la version envoyée par 3n-h@ckm@n..

A noter que au lancement en mode normal, une fenetre est apparu qui indiquait "Reboot"

le PC s'est arreté..
J'ai relancé en mode ss echec....
Voici le rapport..

############################## | UsbFix V 7.133 | [Suppression]

Utilisateur: Cléa (Administrateur) # PC-HP-DV5000
Mis à jour le 23/08/2013 par El Desaparecido
Lancé à 17:34:55 | 04/09/2013

Site Web: http://sosvirus.net/
Upload Malware: http://sosvirus.net/viewtopic.php?f=6t=489
Contact: eldesaparecido@sosvirus.net

PC: Hewlett-Packard (HP Pavilion dv5000 (RG009EA#ABF) ) (X86-based PC)
CPU: Genuine Intel(R) CPU T2050 @ 1.60GHz (1596)
RAM - [Total : 510 | Free : 362]
BIOS: Ver 1.00PARTTBL
BOOT: Fail-safe with network boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 6.0.2900.5512

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) - Disque fixe # 66 Go (15 Go libre(s) - 23%) [] # NTFS
D:\ - Disque fixe # 7 Go (1 Go libre(s) - 18%) [HP_RECOVERY] # FAT32

################## | El Desaparecido Section |

HKLM\software | Run|[hpWirelessAssistant] : C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
HKLM\software | Run|[NvCplDaemon] : RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM\software | Run|[NvMediaCenter] : RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM\software | Run|[nwiz] : nwiz.exe /installquiet /nodetect
HKLM\software | Run|[High Definition Audio Property Page Shortcut] : CHDAudPropShortcut.exe
HKLM\software | Run|[SynTPEnh] : C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\software | Run|[QPService] : "C:\Program Files\HP\QuickPlay\QPService.exe"
HKLM\software | Run|[HP Software Update] : C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
HKLM\software | Run|[QlbCtrl] : %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HKLM\software | Run|[Cpqset] : C:\Program Files\HPQ\Default Settings\cpqset.exe
HKLM\software | Run|[RecGuard] : C:\Windows\SMINST\RecGuard.exe
HKLM\software | Run|[HP Component Manager] : "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
HKLM\software | Run|[HPDJ Taskbar Utility] : C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
HKLM\software | Run|[Adobe ARM] : "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\software | Run|[SunJavaUpdateSched] : "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
HKLM\software | RunOnce|[] :
HKLM\software | RunOnce|[USBFix] : C:\UsbFix\Go.exe
HKU\S-1-5-19\software | Run|[CTFMON.EXE] : C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\software | Run|[CTFMON.EXE] : C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\software | Run|[CTFMON.EXE] : C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\software | Run|[Google Update] : "C:\Documents and Settings\Cléa\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\software | Run|[Skype] : "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-18\software | Run|[CTFMON.EXE] : C:\WINDOWS\system32\CTFMON.EXE

##### | Scan zones sensibles |

C:\Documents and Settings\Cléa\Local Settings\Application Data\Bron.tok.A12.em.bin
C:\Documents and Settings\Cléa\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\Documents and Settings\Cléa\ntuser.ini

################## | Processus Stoppés |

(408) -- explorer.exe
(1352) -- wmiprvse.exe

################## | Éléments infectieux |


(!) Fichiers temporaires supprimés.

################## | Réparations registre |

Réparé ! HKCU\Control Panel\Mouse|[DoubleClickSpeed] : 640 - 500
Réparé ! HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS|[Tabs] : - res://ieframe.dll/tabswelcome.htm
Réparé ! HKLM\Software\Microsoft\Internet Explorer\Main|[Search bar] : - http://search.msn.com/spbasic.htm
Réparé ! HKLM\Software\Microsoft\Internet Explorer\Main|[Search page] : http://www.microsoft.com/isapi/redir.dl ... r=iesearch - http://go.microsoft.com/fwlink/?LinkId=54896
Réparé ! HKLM\Software\Microsoft\Internet Explorer\Main|[Start page] : http://www.microsoft.com/isapi/redir.dl ... ER}ar=home - http://fr.msn.com/
Réparé ! HKCU\Software\Microsoft\Internet Explorer\Main|[Default_search_url] : - http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Réparé ! HKCU\Software\Microsoft\Internet Explorer\Main|[Default_page_url] : - http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
Réparé ! HKCU\Software\Microsoft\Internet Explorer\Main|[Search bar] : http://ie.redirect.hp.com/svs/rdr?TYPE= ... npf=laptop - http://go.microsoft.com/fwlink/?linkid=54896
Réparé ! HKCU\Software\Microsoft\Internet Explorer\Main|[Search page] : http://www.microsoft.com/isapi/redir.dl ... r=iesearch - http://go.microsoft.com/fwlink/?LinkId=54896
Réparé ! HKCU\Software\Microsoft\Internet Explorer\Main|[Start page] : http://www.google.fr/ - http://fr.msn.com/
Réparé ! HKCU\Software\Microsoft\Internet Explorer\Main|[Window Title] : - Windows Internet Explorer
Réparé ! HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}|[] : - Live Search
Réparé ! HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}|[DisplayName] : - @ieframe.dll,-12512
Réparé ! HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}|[URL] : - http://search.live.com/results.aspx?q={ ... rer:source?}
Supprimé! HKLM\Software\Microsoft\Command Processor : [AutoRun]

################## | Registre |



################## | Mountpoints2 |



################## | Listing |

[04/09/2013 17:34:55 | A | 6 Ko] - C:\UsbFix [Clean 1] PC-HP-DV5000.txt
[04/04/2010 15:23:16 | N | 0 Ko] - C:\MSDOS.SYS
[04/04/2010 15:23:16 | N | 0 Ko] - C:\IO.SYS
[20/12/2009 16:36:47 | ASH | 1572864 Ko] - C:\pagefile.sys
[30/03/1999 20:17:54 | D | 2866 Ko] - C:\system.sav
[18/07/2013 12:33:43 | D | 0 Ko] - C:\Config.Msi
[28/05/2010 13:00:11 | N | 234 Ko] - C:\hpfr5700.log
[27/03/2006 07:52:36 | N | 0 Ko] - C:\boot.ini
[11/05/2006 02:57:23 | A | 0 Ko] - C:\XP_TV.ini
[11/05/2006 02:57:23 | A | 2 Ko] - C:\hpqp.ini
[29/08/2002 22:00:00 | N | 46 Ko] - C:\ntdetect.com
[05/08/2004 23:00:00 | N | 5 Ko] - C:\Bootfont.bin
[03/09/2013 12:36:37 | A | 1 Ko] - C:\PhysicalDisk0_MBR.bin
[20/12/2009 16:37:30 | SHD | 0 Ko] - C:\System Volume Information
[11/05/2006 02:58:11 | D | 854 Ko] - C:\hp
[20/12/2009 16:45:31 | RHD | 280064 Ko] - C:\MSOCache
[11/05/2006 10:35:06 | D | 468576 Ko] - C:\I386
[29/08/2002 22:00:00 | N | 246 Ko] - C:\ntldr
[01/01/2010 15:57:27 | SHD | 0 Ko] - C:\RECYCLER
[13/03/2010 01:17:41 | D | 46331 Ko] - C:\telecharge
[07/05/2011 16:04:37 | D | 1152 Ko] - C:\b33f533d8ac67bfbabf339ae
[23/11/2005 21:48:12 | D | 2790303 Ko] - C:\SWSETUP
[11/05/2006 10:35:08 | D | 35949736 Ko] - C:\Documents and Settings
[03/09/2013 12:22:41 | D | 309 Ko] - C:\ZHP
[03/09/2013 20:23:26 | D | 951 Ko] - C:\Pre_Scan
[11/05/2006 10:35:08 | D | 4394012 Ko] - C:\Program Files
[04/09/2013 01:56:49 | D | 11669 Ko] - C:\Avenger
[11/05/2006 10:35:11 | D | 4542043 Ko] - C:\WINDOWS
[04/09/2013 15:20:15 | D | 1912 Ko] - C:\UsbFix
[28/07/2001 04:07:38 | N | 0 Ko] - D:\MSDOS.SYS
[28/07/2001 04:07:38 | N | 0 Ko] - D:\CONFIG.SYS
[28/07/2001 04:07:38 | N | 0 Ko] - D:\IO.SYS
[20/12/2009 15:08:03 | SH | 0 Ko] - D:\HPCD.sys
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WIN51IA.SP1
[20/12/2009 15:08:03 | N | 0 Ko] - D:\BLOCK.RIN
[20/12/2009 15:08:06 | N | 1 Ko] - D:\Master.log
[09/01/2002 16:52:30 | N | 0 Ko] - D:\BOOT.INI
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WINBOM.INI
[13/01/2005 22:47:20 | SH | 0 Ko] - D:\Desktop.ini
[30/04/2004 20:01:14 | N | 0 Ko] - D:\Autorun.inf
[30/11/2004 17:01:50 | N | 72 Ko] - D:\Info.exe
[10/09/2002 19:50:18 | N | 177 Ko] - D:\protect.ed
[20/12/2009 15:42:22 | N | 0 Ko] - D:\SAVEFILE.DIR
[25/07/2001 20:00:00 | N | 44 Ko] - D:\NTDETECT.COM
[08/02/2002 21:44:24 | N | 86 Ko] - D:\Warning.bmp
[28/07/2001 04:07:38 | N | 0 Ko] - D:\AUTOEXEC.BAT
[11/05/2006 02:37:52 | N | 0 Ko] - D:\XGA
[18/06/2001 05:31:08 | N | 0 Ko] - D:\GRAPH
[01/10/2005 16:12:52 | N | 0 Ko] - D:\NTFS
[25/01/2002 22:21:24 | N | 0 Ko] - D:\GRAPH16
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WIN51
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WIN51IA
[25/03/2005 20:00:00 | N | 291 Ko] - D:\CMLDR
[25/07/2001 20:00:00 | N | 291 Ko] - D:\NTLDR
[28/09/2005 21:54:00 | D | 8939 Ko] - D:\cmdcons
[28/09/2005 22:14:48 | D | 294626 Ko] - D:\MiniNT
[20/12/2009 15:08:03 | D | 1574 Ko] - D:\I386
[20/12/2009 15:08:06 | SHD | 5879886 Ko] - D:\PRELOAD
[20/12/2009 15:42:48 | SHD | 9 Ko] - D:\System Volume Information
[20/12/2009 16:12:17 | D | 264 Ko] - D:\Réinstallation système
[20/12/2009 16:12:18 | N | 0 Ko] - D:\USER
[01/01/2010 14:57:27 | SHD | 0 Ko] - D:\Recycled

################## | Vaccin |

C:\ - Vaccin créé par UsbFix (El Desaparecido)
D:\ - Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://sosvirus.org |
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 mer. 4 sept. 2013 17:59 #59568
Gabriel..

Je ne suis pas certain de bien saisir le debut du tuto..

J'utilise "Chrome"... et je crois que tous les téléchargements vont direct dans un dossier "telechargement" et pas sur le brx...
Comme il est indiqué "sur votre bureau et pas à un autre endroit".. que dois je faire ???

autre point... comment puis renommer une fichier "Avant de le télécharger, renommez-le en fei.exe " avant de l'avoir téléchargé??

désolé si mes question te sembles stupides!!! :-(
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par 2011N2
 mer. 4 sept. 2013 18:39 #59577
Re,

Il n'y a pas de question stupide ne te fais pas de souci.
Oui, tu le télécharges dans "Téléchargement", puis tu le coupes sur le déplace sur le bureau.
Et pour le renommer, clic droit dessus = Renommer.

Gabriel.
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 mer. 4 sept. 2013 19:14 #59590
Ok c'est tres clair...
J'ai eu un petit pb, peut être serez vous interressé par la description...

Pour USBFix (version "g3n-h@ckm@n")

Il ne se lance pas en mode normal... comme déjà dit ... fenetre "Reboot" apparait..

Je l'ai donc fait en mode "sans echec".. le rapport s'est affiché... je l'ai copié et posté..
quand j'ai fermé le rapport, la fenetre USBfix a disparue en même temps...
j'ai arrété le PC..
quand j'ai voulu le redemarrer en mode normal, il s'est mis a émettre plein de bip aigus avec une fenêtre toute blanche exactement a la place et de la taille de la fen^tre USBfix...

il a aussi ouvert IE et tentait de se conneté...

j'ai du arreter avec le bouton power..
J'ai redémarré normalement...


j'ai relancé un USBFix en mode ss echec, il est passé complétement avec un rapport a la fin... j'ai eu exactement le même phénomène..
Voilà, si cela peut vous servir...
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 mer. 4 sept. 2013 20:18 #59613
Voici le rapport Combofix....

ComboFix 13-09-04.01 - Cléa 04/09/2013 19:52:22.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.510.201 [GMT 2:00]
Lancé depuis: c:\documents and settings\ClÚa\Bureau\fei.exe.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrateur\Local Settings\Application Data\ListHost12.txt
c:\documents and settings\Administrateur\Local Settings\Application Data\Update.12.Bron.Tok.bin
c:\windows\system32\SET34.tmp
c:\windows\system32\SET40.tmp
c:\windows\wininit.ini
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-08-04 au 2013-09-04 ))))))))))))))))))))))))))))))))))))
.
.
2013-09-04 15:31 . 2013-09-04 15:31 -------- d-----w- c:\documents and settings\Cléa\Application Data\Usbfix
2013-09-04 13:20 . 2013-09-04 15:31 -------- d-----w- C:\UsbFix
2013-09-03 21:40 . 2013-09-03 21:40 12393 ----a-w- c:\documents and settings\Cléa\Local Settings\Application Data\Bron.tok.A12.em.bin
2013-09-03 21:35 . 2013-09-03 21:35 -------- d-----w- c:\documents and settings\Cléa\Application Data\Malwarebytes
2013-09-03 21:34 . 2013-09-03 21:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2013-09-03 21:34 . 2013-09-03 21:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-09-03 21:34 . 2013-04-04 12:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-09-03 18:23 . 2013-09-03 21:24 -------- d-----w- C:\Pre_Scan
2013-09-03 10:36 . 2013-09-03 10:36 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2013-09-03 10:22 . 2013-09-03 10:48 -------- d-----w- C:\ZHP
2013-09-03 10:22 . 2013-09-03 10:36 -------- d-----w- c:\program files\ZHPDiag
2013-09-02 23:07 . 2013-09-02 23:07 -------- d-----w- c:\documents and settings\Administrateur
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-07-02 00:02 . 2012-09-17 07:32 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-07-02 00:02 . 2011-05-16 06:59 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-25 08:37 . 2013-06-25 08:37 94632 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-06-25 08:37 . 2013-04-11 08:25 144896 ----a-w- c:\windows\system32\javacpl.cpl
2013-06-25 08:37 . 2012-10-19 08:19 867240 ----a-w- c:\windows\system32\npdeployJava1.dll
2013-06-25 08:37 . 2010-12-29 10:19 789416 ----a-w- c:\windows\system32\deployJava1.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-04-19 18678376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 454656]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-15 7561216]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-15 86016]
"nwiz"="nwiz.exe" [2006-04-15 1519616]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-04 761948]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-04-11 102400]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-07 131072]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-07 172032]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2013-03-12 253816]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Démarrage rapide de HP Photosmart Premier.lnk - c:\program files\Hp\Digital Imaging\bin\hpqthb08.exe -s [2005-9-24 73728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Hercules\\Classic Link\\Station2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [03/09/2013 23:34 418376]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [03/09/2013 23:34 701512]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [03/09/2013 23:34 22856]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [28/02/2013 18:45 161384]
S3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [02/04/2010 09:46 98432]
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Exporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\Cléa\Application Data\Mozilla\Firefox\Profiles\haokw4r3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Skype Click to Call: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-09-04 20:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ????X??????(?@???????@
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600
.
CreateFile("\\.\PHYSICALDRIVE0"): Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
device: opened successfully
user: error reading MBR
kernel: MBR read successfully
user != kernel MBR !!!
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2013-09-04 20:12:56
ComboFix-quarantined-files.txt 2013-09-04 18:12
.
Avant-CF: 16 287 997 952 octets libres
Après-CF: 16 799 539 200 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - D452CE19FA70EF023420E6439EF9ECD9
5AE5A393505CFFD37FE98C4A7922908D
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 mer. 4 sept. 2013 22:43 #59663
J e confirme qu'il n'y a pas ce dossier a la racine de C..
comment est ce possible... puisse qu'il est dans le rapport... a t il pu être effacé par la suite .. (exple par combofix??)

Si je retrouve "inetinfo.exe" je fais la même manip que pour les 3 autre cet ap midi??
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 jeu. 5 sept. 2013 01:11 #59697
OUi maintenant, l'option des dossiers apparait bien dans le panneau de conf...


ce qui n'était plus le cas avant hier...

et en ce moment, l'option est bien cochée... je vois les fichiers cachés, mais je ne vois pas le dossier "Avenger" à la racine de C..

le seul dossier qui commence par A à la racine de C est "autorun.inf...
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 jeu. 5 sept. 2013 13:05 #59736
Voici le rapport après avoir lancé "listing" comme demandé..

############################## | UsbFix V 7.133 | [Listing]

Utilisateur: Cléa (Administrateur) # PC-HP-DV5000
Mis à jour le 23/08/2013 par El Desaparecido
Lancé à 12:59:23 | 05/09/2013

Site Web: http://sosvirus.net/
Upload Malware: http://sosvirus.net/viewtopic.php?f=6t=489
Contact: eldesaparecido@sosvirus.net

PC: Hewlett-Packard (HP Pavilion dv5000 (RG009EA#ABF) ) (X86-based PC)
CPU: Genuine Intel(R) CPU T2050 @ 1.60GHz (1596)
RAM - [Total : 510 | Free : 123]
BIOS: Ver 1.00PARTTBL
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 6.0.2900.5512

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) - Disque fixe # 66 Go (16 Go libre(s) - 24%) [] # NTFS
D:\ - Disque fixe # 7 Go (1 Go libre(s) - 18%) [HP_RECOVERY] # FAT32

################## | Listing |

[04/09/2013 17:34:55 | A | 9 Ko] - C:\UsbFix [Clean 1] PC-HP-DV5000.txt
[04/09/2013 18:13:59 | A | 7 Ko] - C:\UsbFix [Clean 2] PC-HP-DV5000.txt
[04/09/2013 20:12:56 | A | 10 Ko] - C:\ComboFix.txt
[05/09/2013 12:59:23 | A | 1 Ko] - C:\UsbFix [Listing 1 ] PC-HP-DV5000.txt
[04/04/2010 15:23:16 | N | 0 Ko] - C:\MSDOS.SYS
[04/04/2010 15:23:16 | N | 0 Ko] - C:\IO.SYS
[20/12/2009 16:36:47 | ASH | 1572864 Ko] - C:\pagefile.sys
[04/09/2013 18:25:16 | ASH | 522356 Ko] - C:\hiberfil.sys
[30/03/1999 20:17:54 | D | 2866 Ko] - C:\system.sav
[18/07/2013 12:33:43 | D | 0 Ko] - C:\Config.Msi
[28/05/2010 13:00:11 | N | 234 Ko] - C:\hpfr5700.log
[27/03/2006 07:52:36 | RASH | 0 Ko] - C:\boot.ini
[11/05/2006 02:57:23 | A | 0 Ko] - C:\XP_TV.ini
[11/05/2006 02:57:23 | A | 2 Ko] - C:\hpqp.ini
[04/09/2013 18:23:07 | RAD | 0 Ko] - C:\Autorun.inf
[29/08/2002 22:00:00 | N | 46 Ko] - C:\ntdetect.com
[05/08/2004 23:00:00 | N | 5 Ko] - C:\Bootfont.bin
[03/09/2013 12:36:37 | A | 1 Ko] - C:\PhysicalDisk0_MBR.bin
[04/09/2013 19:35:57 | A | 0 Ko] - C:\Boot.bak
[04/09/2013 19:35:52 | RASH | 257 Ko] - C:\cmldr
[20/12/2009 16:37:30 | SHD | 5256741 Ko] - C:\System Volume Information
[11/05/2006 02:58:11 | D | 854 Ko] - C:\hp
[20/12/2009 16:45:31 | RD | 280064 Ko] - C:\MSOCache
[11/05/2006 10:35:06 | D | 468576 Ko] - C:\I386
[29/08/2002 22:00:00 | N | 246 Ko] - C:\ntldr
[13/03/2010 01:17:41 | D | 46331 Ko] - C:\telecharge
[07/05/2011 16:04:37 | D | 1152 Ko] - C:\b33f533d8ac67bfbabf339ae
[23/11/2005 21:48:12 | D | 2790303 Ko] - C:\SWSETUP
[11/05/2006 10:35:08 | D | 35438527 Ko] - C:\Documents and Settings
[03/09/2013 12:22:41 | D | 309 Ko] - C:\ZHP
[03/09/2013 20:23:26 | D | 951 Ko] - C:\Pre_Scan
[11/05/2006 10:35:08 | D | 4394013 Ko] - C:\Program Files
[04/09/2013 15:20:15 | D | 1912 Ko] - C:\UsbFix
[04/09/2013 19:35:49 | RASHD | 8716 Ko] - C:\cmdcons
[04/09/2013 19:31:27 | D | 2657 Ko] - C:\Qoobox
[11/05/2006 10:35:11 | D | 4606320 Ko] - C:\WINDOWS
[28/07/2001 04:07:38 | N | 0 Ko] - D:\IO.SYS
[28/07/2001 04:07:38 | N | 0 Ko] - D:\CONFIG.SYS
[28/07/2001 04:07:38 | N | 0 Ko] - D:\MSDOS.SYS
[20/12/2009 15:08:03 | SH | 0 Ko] - D:\HPCD.sys
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WIN51IA.SP1
[20/12/2009 15:08:03 | N | 0 Ko] - D:\BLOCK.RIN
[20/12/2009 15:08:06 | N | 1 Ko] - D:\Master.log
[09/01/2002 16:52:30 | N | 0 Ko] - D:\BOOT.INI
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WINBOM.INI
[13/01/2005 22:47:20 | SH | 0 Ko] - D:\Desktop.ini
[04/09/2013 18:23:07 | RAD | 0 Ko] - D:\Autorun.inf
[30/11/2004 17:01:50 | N | 72 Ko] - D:\Info.exe
[10/09/2002 19:50:18 | N | 177 Ko] - D:\protect.ed
[20/12/2009 15:42:22 | N | 0 Ko] - D:\SAVEFILE.DIR
[25/07/2001 20:00:00 | N | 44 Ko] - D:\NTDETECT.COM
[08/02/2002 21:44:24 | N | 86 Ko] - D:\Warning.bmp
[28/07/2001 04:07:38 | N | 0 Ko] - D:\AUTOEXEC.BAT
[11/05/2006 02:37:52 | N | 0 Ko] - D:\XGA
[18/06/2001 05:31:08 | N | 0 Ko] - D:\GRAPH
[01/10/2005 16:12:52 | N | 0 Ko] - D:\NTFS
[25/01/2002 22:21:24 | N | 0 Ko] - D:\GRAPH16
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WIN51
[20/12/2009 15:42:22 | N | 0 Ko] - D:\WIN51IA
[25/03/2005 20:00:00 | N | 291 Ko] - D:\CMLDR
[25/07/2001 20:00:00 | N | 291 Ko] - D:\NTLDR
[28/09/2005 21:54:00 | D | 8939 Ko] - D:\cmdcons
[28/09/2005 22:14:48 | D | 294626 Ko] - D:\MiniNT
[20/12/2009 15:08:03 | D | 1574 Ko] - D:\I386
[20/12/2009 15:08:06 | D | 5879886 Ko] - D:\PRELOAD
[20/12/2009 15:42:48 | SHD | 12 Ko] - D:\System Volume Information
[20/12/2009 16:12:18 | N | 0 Ko] - D:\USER
[01/01/2010 14:57:27 | D | 0 Ko] - D:\Recycled

################## | E.O.F |
Avatar du membre

PC infecté par "Brontok" Clés USB et Disque Dur idem

par grisouille78
 jeu. 5 sept. 2013 14:21 #59758
Bonjour,

Ok pour le dossier "Avenger".... sais tu ce que c'était???
Pour la mise à jour de Windows, je les fait très régulièrement .. l'update me propose juste une maj pour explorer 6..et 4 autres maj de sécurité..

Il me propose aussi d'installer un outil pour suppression de logiciel malveillant Windows.. depuis quelques temps, mais je ne l'ai jamais installé.. est il nécessaire de le faire ??
 Sujet verrouillé
 Retourner vers « Désinfection »
remplacement alimentation pc fixe

Bonjour à tous, Je possede une config pc […]

FLTL_READ_MORE
Problème écran s'éteint inopinémant

Modèle 16R5 pour être précis. […]

FLTL_READ_MORE
atteindre mon site web wordpress sur synology DSM via freebox revolution et serveur TENDA AS 3000

je passe par un routeur intermediare TENDA entre f[…]

FLTL_READ_MORE
Logiciel 3D aménagement de jardin

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]

FLTL_READ_MORE
FLTL_VIEW_MORE_TOPICS