effacer répertoire (profil) sous windows xp [résolu]

grisonnant28 le 04 octobre 2008 à 17h06

Je suis sous windows xp service pack 2 et suite à l'attaque du virus troyan agent qui m'a bousillé mon profil, j'ai du en re-creer un. (j'ai kaspersky version 7 qui m'a bien détécter mon virus mais pas nettoyé).
Dans poste de travail/clic droit/propriété/avancé/profil utilisateur/paramètre/j'ai bien supprimé le profil (viviane) mais quand je vais sous c:\documents and settings\ je ne peux pas supprimer le profil viviane !?! j'ai accès refusé sous windows.
J'ai bien essayé en admin mais j'ai touours accès refusé !
J'ai même été sous cmd pour lancer la commande rmdir mais rien n'y fait
Ma question est la suivante, comment supprimer le profil viviane définitivement car ce dernier doit être plein de virus ?
merci pour vos réponses...
grisonnant28.

-->Message édité par grisonnant28 le 04/11/2008 11:06:56<--

répondre

Master G le 04 octobre 2008 à 18h13

Salut grisonnant :super:

Les profils n'ont de personnel que leur dossier "Mes Documents"(entre autre).
Pour le reste, tout est en commun. Donc, l'infection doit être encore présente.

Télécharge GenProcB sur le bureau : http://freefilehosting.net/download/40cl7

Fais la même manipulation que pour le précedent, et exécute le GenProc.bat.
Poste le rapport.

-->Message édité par Master G le 28/10/2008 16:23:45<--

répondre

grisonnant28 le 04 octobre 2008 à 19h16

bonsoir,

J'ai lancé la procèdure genproc deux fois (je sais c'est pas bon) et elle a reveillé le virus backdoor.win32.netbus.170 (cheval de troie).
Impossible de trouver le rapport du logiciel ?

Ma fille est sur le pc ce soir donc a demain (5/10/2008.

Est-ce qui n'y a pas d'autres procèdures comme hijackthis ?
car on fausse le rapport de genproc quand on le lance plusieurs fois.

Bonne nuit et a demain

répondre

Master G le 05 octobre 2008 à 01h22

Bonsoir,

(ou Bonjour :jap:

)

Fais un scan HijackThis s'il te plaît.

Télécharge Hijackthis V 2.02 sur le bureau :

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

- Double clique sur HJTInstall.exe sur le bureau

- Clique sur Install ensuite sur I Accept

- ferme toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).

- double clique sur le raccourci d'HijackThis sur ton Bureau
(Pour Vista, clique droit sur le raccourci d'HijackThis sur ton Bureau, puis "Exécuter en tant qu'administrateur".
- et clique sur sur Do a system scan and save a logfile pour lancer le scan

Quand le rapport apparaît dans le bloc note, allez dans Edition, puis Sélectionner Tout, le texte est alors sélectionné, retourne dans Edition toujours en laissant le texte sélectionné, et cliquez sur copier.

Dans ta prochaine réponse, faire un clic droit et coller, je procéderai a son analyse.
Ferme le bloc note et la fenêtre de HJT

-->Message édité par Master G le 05/10/2008 01:23:19<--

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 05 octobre 2008 à 11h04

Bonjour master g

Voici le rapport de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:54:13, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://ownbloog.com/phpmyvisites/libs/smarty/internals/core.process_tracking_(...)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

--
End of file - 6086 bytes

répondre

Master G le 05 octobre 2008 à 12h50

Salut,

Passe ces fichiers sur VirusTotal et poste les rapports :jap:

http://www.virustotal.com/fr/

C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
C:\Program Files\Messenger\msmsgs.exe

Coche ces lignes, fais fix-checked :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Vérifie que ces lignes ont disparu en refaisant un scan.
Sinon fais ceci :

Comment utiliser l'outil Supprimer au redémarrage (Delete on Reboot)

Parfois vous pouvez rencontrer un fichier qui refuse obstinément d'être supprimé par les moyens conventionnels. HijackThis inclut, depuis la version 1.98.2, une méthode pour que Windows supprime le fichier lorsqu'il démarre, avant que le fichier n'ait eu la moindre chance de se lancer. Pour ce faire, suivez les étapes suivantes:
Lancez Hijackthis
Cliquez sur le bouton Config
Cliquez sur le bouton Misc Tools (Outils divers)
Cliquez sur le bouton intitulé Delete a file on reboot... (Supprimer un fichier au redémarrage...)
Une nouvelle fenêtre va s'ouvrir, vous demandant de sélectionner le fichier que vous aimeriez supprimer au redémarrage. Naviguez jusqu'au fichier et cliquez dessus une seule fois, puis cliquez sur le bouton Ouvrir (Open).
Il vous sera alors demandé si vous voulez redémarrer votre ordinateur pour supprimer le fichier. Cliquez sur le bouton Oui (Yes) si vous voulez redémarrer tout de suite, ou bien cliquez sur le bouton Non (No) pour redémarrer plus tard.

-->Message édité par Master G le 05/10/2008 12:52:37<--

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 05 octobre 2008 à 13h23

bonne après midi

c'est comme ça qu'on fait ?

Fichier MotiveSB.exe_ reçu le 2008.10.05 13:03:43 (CET)
Situation actuelle: terminé

Résultat: 0/36 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.03 -
AntiVir 7.8.1.34 2008.10.04 -
Authentium 5.1.0.4 2008.10.04 -
Avast 4.8.1248.0 2008.10.04 -
AVG 8.0.0.161 2008.10.04 -
BitDefender 7.2 2008.10.05 -
CAT-QuickHeal 9.50 2008.10.04 -
ClamAV 0.93.1 2008.10.04 -
DrWeb 4.44.0.09170 2008.10.05 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6129 2008.10.04 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.04 -
F-Secure 8.0.14332.0 2008.10.05 -
Fortinet 3.113.0.0 2008.10.04 -
GData 19 2008.10.05 -
Ikarus T3.1.1.34.0 2008.10.05 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.05 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.05 -
NOD32 3495 2008.10.04 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.04 -
Prevx1 V2 2008.10.05 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.05 -
Sophos 4.34.0 2008.10.05 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.05 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.04 -
ViRobot 2008.10.4.1406 2008.10.04 -
VirusBuster 4.5.11.0 2008.10.04 -
Information additionnelle
File size: 438359 bytes
MD5...: f142781aecc684a9ee63f75b2e19862c
SHA1..: a720741f7311ebaa4329c9ed6469917b5f39d8f9
SHA256: 0a9a9339aada06e045ba6449dd79f9b324f2edfcbd4e6c2de32d2a553d4ea82c
SHA512: 607483059a0405537c60836ca79c30aa9e254545afba27c457157e65b9fddb50
3d5c6709f41ff919188c148860351827832a11b9f4b478123e6af801dbdf21b5
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x439c09
timedatestamp.....: 0x430ccfb2 (Wed Aug 24 19:51:14 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4a27e 0x4b000 6.55 aacd9ec75b3a30e60e6e81b2cc26ac68
.rdata 0x4c000 0x11682 0x12000 4.78 64da05e2ff5e7ff34f13d75c2775c642
.data 0x5e000 0xa2e4 0x9000 3.94 b9e7cbee3a213d10e350006f8830c493
.tls 0x69000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x6a000 0x3000 0x3000 4.78 b457a5dcf099fe532c42f92d198d6c55

( 10 imports )
> KERNEL32.dll: GetExitCodeThread, GetFullPathNameA, SetEvent, CreateEventA, GetEnvironmentVariableA, FreeLibrary, ResetEvent, WaitForSingleObject, LeaveCriticalSection, EnterCriticalSection, Sleep, MultiByteToWideChar, lstrlenA, ReleaseMutex, CreateMutexA, FlushInstructionCache, GetCurrentProcess, WideCharToMultiByte, CreateMailslotA, WriteFile, CreateFileA, GlobalFree, ReadFile, GlobalAlloc, ResumeThread, GetCurrentThreadId, InterlockedDecrement, GetCommandLineA, lstrlenW, CloseHandle, CreateThread, lstrcmpiA, lstrcpynA, IsDBCSLeadByte, InitializeCriticalSection, HeapDestroy, DeleteCriticalSection, lstrcpyA, lstrcatA, InterlockedIncrement, SleepEx, LocalFree, LocalAlloc, FormatMessageA, lstrcmpA, GlobalUnlock, GlobalLock, OpenProcess, OutputDebugStringW, SetCurrentDirectoryA, CreateDirectoryA, GetCurrentDirectoryA, GetCurrentProcessId, GetVersionExA, GetModuleHandleA, FindResourceA, SizeofResource, GetFileAttributesA, GetTempPathA, DeleteFileA, CreateProcessA, OutputDebugStringA, GetModuleFileNameA, LoadLibraryA, GetProcAddress, GetShortPathNameA, GetWindowsDirectoryA, LoadResource, LoadLibraryExA, GetMailslotInfo, GetFileSize, ExitProcess, HeapReAlloc, HeapAlloc, GetStartupInfoA, ExitThread, TlsSetValue, GetSystemTimeAsFileTime, GetSystemTime, GetTimeZoneInformation, GetLocalTime, RaiseException, RtlUnwind, HeapFree, LCMapStringA, LCMapStringW, InterlockedExchange, CompareStringA, CompareStringW, GetCPInfo, TlsFree, SetLastError, TlsAlloc, GetCurrentThread, GetACP, TlsGetValue, SetFilePointer, FlushFileBuffers, GetOEMCP, TerminateProcess, HeapSize, SetUnhandledExceptionFilter, VirtualFree, GetVersion, FatalAppExitA, HeapCreate, GetLastError, IsBadWritePtr, SetHandleCount, GetStdHandle, GetFileType, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, SetEnvironmentVariableA, GetLocaleInfoW, SetEndOfFile, SetConsoleCtrlHandler, SetStdHandle, IsBadCodePtr, IsBadReadPtr, GetStringTypeW, GetStringTypeA, GetUserDefaultLCID, EnumSystemLocalesA, VirtualAlloc, IsValidLocale, GetEnvironmentStringsW, GetLocaleInfoA, IsValidCodePage
> USER32.dll: ReleaseDC, SetForegroundWindow, WaitForInputIdle, LoadStringA, SetDlgItemTextA, SendMessageA, IsWindow, GetDlgItem, SetWindowLongA, wsprintfA, EnumWindows, GetWindowTextA, EnumChildWindows, IsWindowEnabled, IsWindowVisible, FindWindowExA, PostMessageA, SetFocus, AttachThreadInput, GetWindowThreadProcessId, IsChild, ShowWindow, MapWindowPoints, SendDlgItemMessageA, EnableWindow, GetDlgItemTextA, SetCursor, GetWindowTextLengthA, RegisterWindowMessageA, InvalidateRgn, InvalidateRect, SetCapture, ReleaseCapture, CreateAcceleratorTableA, GetDesktopWindow, GetClassNameA, RedrawWindow, BeginPaint, GetClientRect, FillRect, EndPaint, GetDC, SystemParametersInfoA, GetParent, KillTimer, IsZoomed, SetWindowPos, SetTimer, SetWindowTextA, GetWindowRect, LoadIconA, GetWindowLongA, MoveWindow, CallWindowProcA, DispatchMessageA, DefWindowProcA, GetMessageA, CreateWindowExA, CharNextA, PostThreadMessageA, RegisterClassExA, GetClassInfoExA, LoadCursorA, DialogBoxParamA, EndDialog, GetActiveWindow, RegisterHotKey, GetForegroundWindow, FindWindowA, BringWindowToTop, DestroyWindow, UnregisterHotKey, GetFocus, IsIconic, MessageBoxA, GetSysColor, GetWindow, PostQuitMessage
> GDI32.dll: DeleteDC, SelectObject, CreateCompatibleDC, CreateCompatibleBitmap, DeleteObject, CreateSolidBrush, GetObjectA, GetStockObject, GetDeviceCaps, BitBlt
> ADVAPI32.dll: RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegQueryInfoKeyA, RegEnumValueA
> SHELL32.dll: FindExecutableA, ShellExecuteA, ShellExecuteExA
> ole32.dll: ProgIDFromCLSID, OleUninitialize, OleInitialize, CreateStreamOnHGlobal, OleLockRunning, StringFromCLSID, CLSIDFromString, OleRun, CoDisconnectObject, CoRevokeClassObject, CoRegisterClassObject, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, CoInitialize, CLSIDFromProgID, CoCreateInstance, CoUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA, VerInstallFileA, VerFindFileA
> httpclient52.dll: _clearConnectionCache@HttpRequestMgr@@SAXXZ, _init@HttpRequestMgr@@SAXXZ, _httpRequest@HttpRequestMgr@@SAPAVHttpRequest@@XZ
> clientutil52.dll: _init@Thread@@SAXXZ, _init@File@@SAXXZ, _init@LogManager@@SAXPBD0@Z, ___7EmptyWriter@@6B@, _init@Runtime@@SAX_N@Z, _init@Prefs@@SAXPADPAPAD@Z, ___7EmptyReader@@6B@, ___7IReader@@6B@, __1MWriter@@UAE@XZ, __1EmptyReader@@UAE@XZ, _init@UnicodeString@@SAXXZ, __0MWriter@@QAE@K@Z, __1EmptyWriter@@UAE@XZ, __1_$Enumeration@D@@UAE@XZ, __1_$Enumeration@VUnicodeString@@@@UAE@XZ

( 0 exports )

répondre

grisonnant28 le 05 octobre 2008 à 13h26

File size: 167936 bytes
MD5...: 6418c89e29ea5d8462a73522da9d5440
SHA1..: e1ac73a70d4d91f62d1c5e2a1e5a29a9e651ab0b
SHA256: 895cf518f528f46d8c6d91f3c252b97c351c6f2274823783b98aa2b091628790
SHA512: 93fc58840525f1b60f19ce68b68b0bf2cca899085f99ad807d4c4ab1435afffd
a4cd502d732f64222448f0c95cf7d58a9f77b1c6003e3d4bacf8739c904190b7
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x411b16
timedatestamp.....: 0x3c5af113 (Fri Feb 01 19:48:35 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1df62 0x1e000 6.60 7fe80c8896ae5f4b3ce4ce3239c0cf8f
.rdata 0x1f000 0x31ee 0x4000 4.02 6d087513296d25a4dfcc5eff4330d0eb
.data 0x23000 0x8da0 0x5000 3.26 e152bbb2509fbdcc9914575e9d1491d5
.rsrc 0x2c000 0x390 0x1000 0.94 cc1b4fc193e67c19800b503e97d64656

( 7 imports )
> KERNEL32.dll: GetCurrentThreadId, LeaveCriticalSection, EnterCriticalSection, InterlockedDecrement, InterlockedIncrement, lstrlenA, CreateSemaphoreA, LocalFree, TerminateThread, CreateThread, GetExitCodeThread, LocalAlloc, WaitForMultipleObjects, InitializeCriticalSection, GlobalAlloc, GetSystemDirectoryA, GetVersionExA, SetEvent, WaitForSingleObject, CreateEventA, OpenEventA, ResetEvent, SetLastError, GlobalFree, GetLastError, LoadLibraryA, IsBadWritePtr, IsBadReadPtr, OutputDebugStringA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetProcAddress, GetComputerNameA, ReleaseSemaphore, Sleep, ExitProcess, TerminateProcess, DeleteCriticalSection, LCMapStringW, LCMapStringA, HeapSize, RaiseException, DeviceIoControl, FlushFileBuffers, GetStringTypeW, GetStringTypeA, IsBadCodePtr, SetUnhandledExceptionFilter, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, CloseHandle, FreeLibrary, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetOEMCP, SetEndOfFile, SetStdHandle, SetFilePointer, GetModuleHandleA, HeapAlloc, VirtualAlloc, VirtualFree, HeapCreate, HeapReAlloc, GetStartupInfoA, GetCommandLineA, GetModuleFileNameA, UnhandledExceptionFilter, GetEnvironmentVariableA, ReadFile, GetVersion, TlsGetValue, RtlUnwind, ResumeThread, TlsSetValue, ExitThread, HeapFree, HeapDestroy, GetCurrentProcess, GetCPInfo, GetACP, WriteFile, TlsAlloc, GetFileAttributesA, GetFileType, CreateFileA
> USER32.dll: LoadStringA, GetDlgItem, ReleaseDC, GetDC, SetDlgItemTextA, GetWindowTextA, ShowWindow, EndDialog, LoadBitmapA, wsprintfA, IsDlgButtonChecked, DialogBoxParamA, SetWindowPos, GetDesktopWindow, SetFocus, EnableWindow, SetWindowTextA, GetWindowRect
> GDI32.dll: CreateCompatibleDC, BitBlt, DeleteDC, DeleteObject, SetBkColor, CreateBitmap, GetDeviceCaps, GetObjectA, GetPixel, SelectObject
> WINSPOOL.DRV: GetPrinterDriverA, EnumPortsA, EnumPrintersA, GetPrinterDriverDirectoryA, SetJobA, GetPrinterA, OpenPrinterA, EnumJobsA, GetJobA, GetPrinterDataA, SetPrinterA, ClosePrinter
> ADVAPI32.dll: InitializeSecurityDescriptor, RegCreateKeyExA, RegCloseKey, RegSetValueExA, RegOpenKeyExA, SetSecurityDescriptorDacl, RegQueryValueExA, RegDeleteValueA, RegQueryInfoKeyA, RegEnumKeyA, RegEnumKeyW, RegEnumValueA, RegEnumValueW, RegFlushKey
> ole32.dll: CoUninitialize, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )

répondre

grisonnant28 le 05 octobre 2008 à 13h32

Information additionnelle
File size: 217088 bytes
MD5...: be7a49ab1f7238c8a5e0b4681adbbb17
SHA1..: cb0d324917fb9f9abb835aa96516f36b122c3235
SHA256: 6c65b258f39b7c48990d0942117165cffa12282e90aa0aafc60cb5745718254e
SHA512: 87039fa666db79e10171400ab30779767f598651eae5dae751e58f2c1acdee3f
edd7732fc0b25beaa69849c952eb8c1763b7e98f128fd870d735a46e7b7b3ea7
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41890e
timedatestamp.....: 0x42a0657f (Fri Jun 03 14:13:19 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2341e 0x24000 6.33 1e06e08e9c7fadc70cb75779c3b1fe65
.rdata 0x25000 0x3e3a 0x4000 5.26 9a826db484612a04ae4ab2df12d4acca
.data 0x29000 0xcc84 0xb000 4.46 2ae96b240a42f5b64b2185a220eef41a
.rsrc 0x36000 0x4d8 0x1000 1.29 7d85534424a3dc4274ff5de8cf517fc9

( 4 imports )
> USER32.dll: IsWindow, IsWindowEnabled, GetWindowTextA, IsIconic, SetActiveWindow, EnumWindows, FindWindowExA, EnumChildWindows, ShowWindow, AttachThreadInput, SetFocus, PostMessageA, GetClassNameA, CharUpperBuffA, OpenWindowStationA, SetProcessWindowStation, FindWindowA, CloseWindowStation, OpenDesktopA, SetThreadDesktop, CloseDesktop, IsWindowVisible, GetProcessWindowStation, GetThreadDesktop, GetUserObjectInformationA, WaitForInputIdle, SetForegroundWindow, DestroyWindow, RegisterClassA, CreateWindowExA, SetWindowLongA, GetMessageA, TranslateMessage, DispatchMessageA, GetWindowLongA, PostQuitMessage, DefWindowProcA, SendMessageA, GetWindowThreadProcessId
> clientutil52.dll: _exists@File@@SA_NABVUnicodeString@@@Z, _dirname@File@@QBEPAVUnicodeString@@XZ, __0UnicodeString@@QAE@PBV0@@Z, __0File@@QAE@ABVUnicodeString@@@Z, __0UnicodeString@@QAE@PBD@Z, _logv@Logger@@QAEXHPBDPAD@Z, _mkdirs@File@@QBE_NXZ, _copy@File@@QAE_NPBV1@@Z, _move@File@@QAE_NPBV1@@Z, _isDirectory@File@@QBE_NXZ, _isAbsolute@File@@QBE_NXZ, _getParentFile@File@@QAE_AV1@XZ, _getName@File@@QBEPBVUnicodeString@@XZ, _getPath@File@@QBEPBVUnicodeString@@XZ, _log@Logger@@QAAXHPBDZZ, _appendFile@File@@QAEAAV1@PBD@Z, _exists@File@@QBE_NXZ, __BFile@@QBEPBDXZ, _append@File@@QAEAAV1@PBD@Z, _length@File@@QBEJXZ, _setValue@Prefs@@SA_NPBDPAD@Z, _getInterp@Machine@@SAPBDXZ, freeStrsplit, _getMotiveRoot@Prefs@@SAXPADH@Z, strsplit, _getLogger@LogManager@@SAPAVLogger@@PBD@Z, _getValue@Prefs@@SA_NPBDPA_N_N@Z, _unlock@SimpleMutex@@UAEXXZ, _lock@SimpleMutex@@UAEXXZ, _remove@File@@QBE_N_N@Z, __0THREAD_HANDLE@@QAE@XZ, __BTHREAD_HANDLE@@QBEPAXXZ, __8THREAD_HANDLE@@QBE_NABQAX@Z, _detach@Thread@@SAXVTHREAD_HANDLE@@@Z, _join@Thread@@SAKVTHREAD_HANDLE@@PAKKPAPAVMotiveException@@@Z, _getDesc@MotiveException@@QBEPBDXZ, _INVALID_THREAD_HANDLE@@3VTHREAD_HANDLE@@A, __0THREAD_HANDLE@@QAE@ABV0@@Z, _newThread@Thread@@SA_AVTHREAD_HANDLE@@P6AKPAX@Z0@Z, __4THREAD_HANDLE@@QAEAAV0@ABV0@@Z, __1THREAD_HANDLE@@QAE@XZ, __1UnicodeString@@QAE@XZ, __3UnicodeString@@SAXPAX@Z, __0File@@QAE@PBD@Z, _basename@File@@QBEPAVUnicodeString@@XZ, _getBytes@UnicodeString@@QBEPADXZ, __1File@@QAE@XZ, _getThreadName@Thread@@SAPBDXZ, _logError@LogManager@@SAXHPBD0ZZ, __1SimpleMutex@@QAE@XZ, __0SimpleMutex@@QAE@XZ, __0AutoLock@@QAE@AAVSimpleMutex@@@Z, __1AutoLock@@QAE@XZ, _init@Runtime@@SAX_N@Z, _init@Prefs@@SAXPAUHINSTANCE__@@PAPAD@Z, _init@File@@SAXXZ, _setThreadName@Thread@@SAXPBD@Z, __0FileInputStream@@QAE@PAX@Z, _read@FileInputStream@@QAEHPADHH@Z, _getValue@Prefs@@SAHPBDPADH0@Z, _log@LogManager@@SAXHPBDZZ, _getValue@Prefs@@SA_NPBDPAHH@Z, _reinit@Prefs@@SAXPADPAPAD@Z, _setMaxSize@Logger@@QAEXJ@Z, _setMaxBackups@Logger@@QAEXH@Z, _setLogLevel@Logger@@QAEHH@Z, _setLogStdout@Logger@@QAEX_N@Z, _expandMacros@File@@SAXPBD0PADHZZ, _getVendorValue@Prefs@@SAHPBD0PADH0@Z, _ShellExecuteA@Runtime@@SA_NPAD0@Z, _isService@Runtime@@SA_NPA_NPAXPAPAX@Z, _getKeys@Prefs@@SAPAVStringEnumeration@@PBD_N@Z, _addKey@Prefs@@SAXPBD0@Z, _checkKey@Prefs@@SAHPBD0@Z, _setValue@Prefs@@SA_NPBD0@Z, _removeKey@Prefs@@SAXPBD@Z, _removeSection@Prefs@@SAXPBD@Z, _getVendorValue@Prefs@@SA_NPBD0PA_N_N@Z, _FormatError@ExplicitLoadLib@@UBEPADHPADI@Z, _getLoadError@ExplicitLoadLib@@UBEPBDXZ, _LoadSymbol@ExplicitLoadLib@@UBEPAXPBD@Z, __BExplicitLoadLib@@UBE_NXZ, __1ExplicitLoadLib@@UAE@XZ, __0ExplicitLoadLib@@QAE@PBD@Z, _isUserProcess@Runtime@@SA_NPA_NPAXPAPAX@Z, _getVendorKeys@Prefs@@SAPAVStringEnumeration@@PBD0_N@Z, _exceptionType@MotiveException@@UBEPBDXZ, __3MotiveException@@SAXPAX@Z, __0MotiveException@@QAE@KPBD@Z, __2MotiveException@@SAPAXI@Z, __1MotiveException@@UAE@XZ, _getLogger@LogManager@@SAPAVLogger@@PBD0_N@Z, _init@LogManager@@SAXPBD0@Z, _logv2@Logger@@QAEXHPBD0PAD@Z, _isWin9x@Machine@@SA_NXZ, _init@UnicodeString@@SAXXZ, _init@Thread@@SAXXZ
> KERNEL32.dll: FlushFileBuffers, CreateFileMappingA, MapViewOfFile, SetEndOfFile, GetLocaleInfoW, SetEnvironmentVariableA, CompareStringW, CompareStringA, SetStdHandle, SetFilePointer, GetOEMCP, GetACP, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, ReadFile, IsBadWritePtr, VirtualAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetStartupInfoA, GetFileType, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapSize, GetUserDefaultLCID, EnumSystemLocalesA, GetLocaleInfoA, IsValidCodePage, IsValidLocale, GetCPInfo, DeleteCriticalSection, InitializeCriticalSection, TlsGetValue, GetModuleHandleA, TlsAlloc, TlsSetValue, HeapReAlloc, RaiseException, InterlockedIncrement, InterlockedDecrement, GetLocalTime, GetSystemTime, GetTimeZoneInformation, LeaveCriticalSection, EnterCriticalSection, HeapAlloc, HeapFree, GetVersion, GetCommandLineA, GetCurrentProcess, TerminateProcess, ExitProcess, RtlUnwind, GetVersionExA, GetTickCount, LoadLibraryA, GetProcAddress, SetLastError, GlobalAddAtomA, UnmapViewOfFile, GlobalDeleteAtom, CreateFileA, MultiByteToWideChar, WideCharToMultiByte, FormatMessageW, FormatMessageA, LocalFree, FreeLibrary, LoadLibraryExA, CreateProcessA, CreateSemaphoreA, CloseHandle, WaitForSingleObject, GetCurrentThreadId, GetModuleFileNameA, ReleaseSemaphore, GetLastError, Sleep, WaitForMultipleObjects, OpenProcess, GetStdHandle
> ADVAPI32.dll: GetTokenInformation, ImpersonateLoggedOnUser, RevertToSelf, CreateProcessAsUserA, RegCloseKey, LookupAccountSidA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA

( 0 exports )

répondre

grisonnant28 le 05 octobre 2008 à 13h35

bonsoir,

J'y comprend rien y a pas un truc plus simple ?

merci de vos réponses

répondre

grisonnant28 le 05 octobre 2008 à 14h06

Bonsoir,

Je suis entrain de faire toutes les manips par hijackthis.

Je poste après un rapport hijackthis pour controle

A tout à l'heure

grisonnant28

répondre

grisonnant28 le 05 octobre 2008 à 14h43

bonsoir Master G

Voici mon rapport après avoir utilisé hijakthis
Y a t'il encore des traces d'infection ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:15, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://ownbloog.com/phpmyvisites/libs/smarty/internals/core.process_tracking_(...)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

--
End of file - 5958 bytes

répondre

Master G le 05 octobre 2008 à 15h05

Salut,

Comme indiqué précedemment il y a des points à éclaircir.

Fais la manip' VirusTotal pour les autres stp (je n'ai besoin que de la 1ere page avec la liste des antivirus, pour chaque fichier ci-dessous)

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
C:\Program Files\Messenger\msmsgs.exe

-->Message édité par Master G le 05/10/2008 15:06:28<--

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 05 octobre 2008 à 15h14

Bonsoir,

Je ne comprend pas normalement j'ai effacé ces fichiers via hijackthis.
(reboot and delete)
Ils sont encore sur le système ?

merci

grisonnant28

répondre

Master G le 05 octobre 2008 à 15h18

Salut,

On dirait qu'il reste quelques traces.

Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau et ferme ton antivirus et ton antispyware le temps du scan:

https://europe.f-secure.com/exclude/blacklight/index.shtml

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

-->Message édité par Master G le 05/10/2008 15:36:22<--

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 05 octobre 2008 à 16h12

bonsoir,

Voici le rapport ci:dessous: qu'en penses-tu ?
ComboFix 08-10-04.07 - admin 2008-10-05 15:38:33.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.116 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\admin\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\k_urlmon.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-05 au 2008-10-05 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 12:10 . 2008-10-05 12:10 <REP> d-------- C:\Documents and Settings\admin\Contacts
2008-10-05 10:53 . 2008-10-05 10:53 <REP> d-------- C:\Program Files\Trend Micro
2008-10-05 10:53 . 2008-10-05 10:53 268 --ah----- C:\sqmdata06.sqm
2008-10-05 10:53 . 2008-10-05 10:53 244 --ah----- C:\sqmnoopt06.sqm
2008-10-04 18:36 . 2008-10-04 18:37 <REP> d-------- C:\nettoyage
2008-10-04 16:06 . 2008-10-04 16:06 268 --ah----- C:\sqmdata05.sqm
2008-10-04 16:06 . 2008-10-04 16:06 244 --ah----- C:\sqmnoopt05.sqm
2008-09-28 16:51 . 2008-10-05 14:28 <REP> d--h----- C:\Documents and Settings\admin\Voisinage réseau
2008-09-28 16:51 . 2007-12-28 16:35 <REP> d--h----- C:\Documents and Settings\admin\Voisinage d'impression
2008-09-28 16:51 . 2007-12-28 15:47 <REP> d--h----- C:\Documents and Settings\admin\Modèles
2008-09-28 16:51 . 2008-10-05 12:13 <REP> dr------- C:\Documents and Settings\admin\Mes documents
2008-09-28 16:51 . 2007-12-28 16:35 <REP> dr------- C:\Documents and Settings\admin\Menu Démarrer
2008-09-28 16:51 . 2008-09-28 16:52 <REP> dr------- C:\Documents and Settings\admin\Favoris
2008-09-28 16:51 . 2008-10-05 15:33 <REP> d-------- C:\Documents and Settings\admin\Bureau
2008-09-28 16:51 . 2008-10-05 12:10 <REP> d-------- C:\Documents and Settings\admin
2008-09-27 22:19 . 2008-09-27 22:19 268 --ah----- C:\sqmdata04.sqm
2008-09-27 22:19 . 2008-09-27 22:19 244 --ah----- C:\sqmnoopt04.sqm
2008-09-27 20:14 . 2008-09-27 20:14 268 --ah----- C:\sqmdata03.sqm
2008-09-27 20:14 . 2008-09-27 20:14 244 --ah----- C:\sqmnoopt03.sqm
2008-09-27 20:03 . 2008-09-27 20:03 268 --ah----- C:\sqmdata02.sqm
2008-09-27 20:03 . 2008-09-27 20:03 244 --ah----- C:\sqmnoopt02.sqm
2008-09-27 19:39 . 2008-09-27 19:39 268 --ah----- C:\sqmdata01.sqm
2008-09-27 19:39 . 2008-09-27 19:39 244 --ah----- C:\sqmnoopt01.sqm
2008-09-27 19:10 . 2008-10-04 19:04 <REP> d-------- C:\Documents and Settings\vhurel
2008-09-27 19:06 . 2008-09-27 19:08 <REP> d-------- C:\Documents and Settings\Administrateur\amsn
2008-09-27 14:55 . 2008-09-27 14:55 268 --ah----- C:\sqmdata00.sqm
2008-09-27 14:55 . 2008-09-27 14:55 244 --ah----- C:\sqmnoopt00.sqm
2008-09-27 13:29 . 2008-09-27 13:29 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-09-27 13:27 . 2007-12-28 16:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-09-27 13:27 . 2007-12-28 16:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-27 13:27 . 2007-12-28 15:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-09-27 13:27 . 2008-09-27 13:29 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-27 13:27 . 2007-12-28 16:35 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-09-27 13:27 . 2007-12-28 16:35 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-27 13:27 . 2007-12-28 16:35 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-27 13:27 . 2008-09-27 19:06 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-27 12:09 . 2008-09-27 12:30 16 --a------ C:\WINDOWS\system32\drivers\ksdevice.sys
2008-09-27 12:09 . 2008-09-27 12:30 16 --a------ C:\WINDOWS\system32\drivers\KeenSense.sys
2008-09-18 19:13 . 2008-09-19 12:45 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-18 19:13 . 2008-09-19 12:45 <REP> d-------- C:\WINDOWS\system32\bits
2008-09-18 19:13 . 2008-09-19 12:42 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-18 18:38 . 2004-08-19 16:09 4,290,048 --a------ C:\WINDOWS\system32\dllcache\wmm2res.dll
2008-09-18 18:37 . 2004-08-19 16:11 4,190,352 --a------ C:\WINDOWS\system32\dllcache\luna.mst
2008-09-18 18:36 . 2005-09-10 03:55 2,067,968 --a------ C:\WINDOWS\system32\dllcache\cdosys.dll
2008-09-18 18:35 . 2007-04-18 18:14 2,854,400 --a------ C:\WINDOWS\system32\dllcache\msi.dll
2008-09-18 18:34 . 2007-10-25 18:43 8,516,608 --a------ C:\WINDOWS\system32\dllcache\shell32.dll
2008-09-18 18:33 . 2007-02-28 18:02 2,182,400 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-09-13 16:04 . 2008-09-13 16:04 121 --a------ C:\WINDOWS\Winchat.ini
2008-09-06 22:18 . 2008-09-06 22:19 <REP> d-------- C:\Program Files\aMSN
2008-09-06 13:22 . 2008-09-06 13:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-06 10:58 . 2008-09-13 11:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-06 10:58 . 2008-09-06 10:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-06 10:58 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-06 10:58 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 13:53 13,796,640 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-05 13:51 644,640 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-05 13:49 62,504 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-05 13:49 188,936 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-05 13:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-09-06 10:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-16 17:34 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-08-06 18:37 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-07-20 17:52 10,050 ----a-w C:\WINDOWS\system32\shutdown.zip
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2006-12-09 19:11 71,357 ----a-w C:\Program Files\Love-Test(www.MsnTrucAstuce.fr).plsc
2006-11-17 17:22 284,139 ----a-w C:\Program Files\Ultimate(biensur)www.MsnTrucAstuce.fr).plsc
2006-10-12 15:46 2,201 ----a-w C:\Program Files\Huhu Leet 1.0(www.MsnTrucAstuce.free.fr).plsc
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"\\\\C000273\\Diablo\\Diablo.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\French\\setup.exe"=
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Program Files\\aMSN\\bin\\wish.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 G200;G200;C:\WINDOWS\system32\DRIVERS\G200m.sys [2001-08-23 320512]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
.
Contenu du dossier 'Tâches planifiées'

2008-07-16 C:\WINDOWS\Tasks\!cid_605.job
- C:\Documents and Settings\viviane\Mes documents\Mes images\!cid_605.jpg []
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-ares - C:\Program Files\Ares\Ares.exe
HKLM-Run-NeroFilterCheck - C:\WINDOWS\system32\NeroCheck.exe
HKLM-Run-Motive SmartBridge - C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
HKLM-Run-BJCFD - C:\Program Files\BroadJump\Client Foundation\CFD.exe
HKLM-Run-StandardInstall - (no file)
HKLM-Run-NWEReboot - (no file)
Notify-dimsntfy - (no file)

.
------- Examen supplémentaire -------
.

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 15:53:17
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
.
**************************************************************************
.
Heure de fin: 2008-10-05 16:05:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-05 14:05:12

Avant-CF: 3 242 774 528 octets libres
Après-CF: 3,220,918,272 octets libres

173 --- E O F --- 2008-09-19 21:49:34

répondre

Master G le 05 octobre 2008 à 16h39

Il y a encore du boulot !

Je t'écris ce qu'il faut faire, ca va prendre un peu de temps.

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 05 octobre 2008 à 18h36

Bonsoir,

Il est dimanche soir et je vais me coucher comme les poules car je travaille à paris tous les jours et je me lève a 5 heures du matin.

A demain soir 20 heures et bonne nuit à tous

grisonnant28

ps:ca doit être une infection sévére !?!?

répondre

Master G le 05 octobre 2008 à 19h37

Bonsoir,

Bah maintenant toutes les infections sont sévères...

Ok

, bonne nuit et à demain

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 06 octobre 2008 à 11h33

Bonjour,

Je suis au boulot alors je vais faire bref.

Peux-tu me donner les instructions dans la journée pour que ce soir je fasse la manipulation dès en arrivant vers 20 heures.

D'avance merci

grisonnant28 qui compte sur vous

répondre

Master G le 06 octobre 2008 à 12h28

Salut grisonnant28, :fume:

Je suis également au boulot, et n'ayant pas un accès complet au net, je ne peux effectuer de recherche sur les fichiers présents dans le log.

Tu peux en attendant faire ces manipulations :

http://bibou0007.com/outils-specifiques-f78/tutorial-fixnavilog1-t122.htm

Oublie pas le rapport :jap:

Smitfraudfix

-- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 - mirroir http://72.232.135.12/siri/SmitfraudFix.php
(Si tu as un antivirus et/ou un antispyware, désactive les)
-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix
-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)
-- Choisis l'option 1 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier
-- Copie/colle le contenu du rapport ici

Décris-moi l'infection que tu avais eu précedemment. :super:

-->Message édité par Master G le 06/10/2008 14:42:28<--

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 06 octobre 2008 à 15h59

Bonsoir,

Je fais les deux manipulations ou seulement la première ou la deuxieme ?

Merci de me répondre....

Si on y arrive pas à supprimer ces virus j'ai tout ce qu'il faut pour formatter

et réinstaller le système sous XP mais je le ferai pendant mes vacances.

Grisonnant28

répondre

Master G le 06 octobre 2008 à 17h51

Non, on va y arriver ! :super:

Fais les deux manipulations et dis-moi comment va ton pc après.

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 06 octobre 2008 à 20h31

Bonsoir,

Voici le 1er rapport de fixnavilog1: qu'en penses-tu ?

Search Navipromo version 3.6.6 commencé le 06/10/2008 à 20:20:07,53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "admin"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\admin\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\admin\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\admin\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\admin\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\admin\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 06/10/2008 à 20:27:32,58 ***

répondre

grisonnant28 le 06 octobre 2008 à 20h37

Bonsoir,

Pour l'adresse http://72.232.135.12/siri/smitfraudfix.php j'ai Internet Explorer ne peut pas afficher cette page Web

Je vais me coucher alors à demain

grisonnant28

répondre

Master G le 06 octobre 2008 à 22h43

Bonsoir,

Désolé le lien était erroné. :sweat:

Voici le bon : http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches(...)

Bon courage ! :jap:

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 07 octobre 2008 à 09h22

Bonjour,

Alerte le programme smitfraudfix contient un cheval de troie qui s'appelle:

Generic.dx

Mon antivirus a supprimé le fichier

Il faut le trouver autre part à mon avis ou lancer autre chose.......

Ou alors désinfecter le fichier sur telecharger.com
A + Grisonnant28

répondre

Master G le 07 octobre 2008 à 09h57

Salut,

Pour Navilog1 c'est normal, puisque ton infection est différente. Néanmoins, on est sur qu'il n'y a rien de ce côté là.
Comme tous les programmes de désinfections du genre, SmitFraudFix est pris pour un virus. N'en tiens pas compte et continue la manipulation (désactive ton antivirus et antispyware, en mode sans échec, et lance le scan).

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 07 octobre 2008 à 10h07

Bonjour,

Je fais la manipulation ce soir vers 20 heures en mode sans echec = ok a faire

Pour navilog j'ai eu beaucoup d'accès refusés sur le scan . Est-ce normal ?

Le rapport est-t'il bon ?

au plaisir de te lire

Grisonnant28 et a++

répondre

Master G le 07 octobre 2008 à 10h10

Salut,

Comment ca des accès refusés? :sweat:

-->Message édité par Master G le 07/10/2008 10:10:58<--

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 07 octobre 2008 à 10h25

Bonjour,

L'ors du scan sous c:\documents an settings\admin\ par moment je crois que le scan ne pouvait pas se faire correctement.

Ni d'ailleurs c:\documents and settings\vhurel

Ni d'ailleurs sous c:\documents and settings\viviane

Le virus doit etre bien encré et difficile d'y accédé pour le nettoyer.

Même kaspersky n'accède pas à c:\documents and settings\vhurel

En tout cas le répertoire c:\documents ans settings\vhurel est en lecture seule

et j'ai essayé de l'enlever (la lecture seule mais sans succès)

au plaisir de te lire..... (j'ai 4 PC(s)en réseau. est-ce un virus réseau ?

a+ Grisonnant28

répondre

Master G le 07 octobre 2008 à 10h29

Bonjour,

Pour l'instant je ne peux pas m'avancer. Mais tant que tu ne fais pas de transfert entre ton pc infecté et les 3 autres, tout devrait bien se passer.

Dans le pire des cas, on fera la désinfection à la main.

-->Message édité par Master G le 07/10/2008 10:30:56<--

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 07 octobre 2008 à 20h42

bonsoir,

Voici le rapport.

NB: ça commence à devenir long à désinfecter un ordinateur !

SmitFraudFix v2.356

Rapport fait à 20:29:09,68, 07/10/2008
Executé à partir de C:\Documents and Settings\admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\admin\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\admin\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FF600AC4-C866-46B4-9E78-96354CE381C2}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FF600AC4-C866-46B4-9E78-96354CE381C2}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FF600AC4-C866-46B4-9E78-96354CE381C2}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

répondre

Master G le 07 octobre 2008 à 22h18

Bonsoir,

Télécharge, installe et mets à jour Malwarebytes Anti-malware:
http://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm ;
puis, fais un scan et poste le rapport.

PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 08 octobre 2008 à 11h20

Bonjour,

J'ai donné les consignes à mon fils pour qu'il passe Malwarebytes Anti-malware en mode sans echec.
Ensuite il postera le compte rendu à la suite pour analyse.

En attendant les consignes suivantes à bientôt

Grisonnant28

répondre

grisonnant28 le 08 octobre 2008 à 11h56

Bonjour

Voici le rapport de l'antimalware en mode sans échec

Malwarebytes' Anti-Malware 1.28
Database version: 1241
Windows 5.1.2600 Service Pack 2

08/10/2008 11:44:26
mbam-log-2008-10-08 (11-44-26).txt

Scan type: Full Scan (C:\|)
Objects scanned: 75918
Time elapsed: 35 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

répondre

Master G le 08 octobre 2008 à 12h03

Salut,

Refais un scan HijackThis, s'il te plaît.

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 08 octobre 2008 à 12h04

Re-bonjour Master G

Malwarebytes Anti-malware n'a rien trouvé comme tu peux le remarquer.

Le seul logiciel qui avait trouvé des virus est Genproc.

Est-ce que je peux le relancer ?

Ou alors je compte sur toi pour de nouvelles consignes .....

A bientôt de te lire Master G

Grisonnant28

répondre

Master G le 08 octobre 2008 à 12h06

Refais un scan de HijackThis, poste le résultat.
Lance GenProc et poste le rapport dans ta prochaine réponse.

-------
Soyez patient je suis bénévole

- Ne partez pas quand les symptomes disparaissent,attendez la confirmation de la désinfection par un helper.

répondre

grisonnant28 le 08 octobre 2008 à 12h19

Bonjour

Voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:07, on 08/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://ownbloog.com/phpmyvisites/libs/smarty/internals/core.process_tracking_(...)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

--
End of file - 5004 bytes

répondre

effacer répertoire (profil) sous windows xp [résolu]

PRODUITS

TÉLÉCHARGER - LOGICIELS

JEUX VIDÉOS

LOISIRS

01NET PRO

AVIS ET COMMENTAIRES

A PROPOS DE 01NET

		Packaging La vogue des produits collectors.