S'abonner :  Newsletters    Magazines
Avis sur les produits Avis sur les logiciels Avis sur les jeux Actualités A propos de 01net
677 utilisateurs connectés
Forum de 01net / Sécurité / System Security Version 4.51 (RESOLU)
page précédente  1 - 2
ou aller à la page
 page suivante

System Security Version 4.51 (RESOLU)

Duskin le 25 mai 2009 à 04h52
:hello: Bonjour

Je suis aux prises avec system security Version 4.51 J'ai déja passe malwarebytes qui a aidé mais je suis encore pris avec le bug.

Quelqu'un veut m'aider ?

Merci a l'Avance :)
-->Message édité par Duskin le 09/06/2009 02:31:02<--
répondre
dédétraqué le 25 mai 2009 à 04h56
Salut Duskin


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++ :)
répondre
Duskin le 26 mai 2009 à 00h54

dédétraqué a écrit :
salut duskin


on va vérifier cela, télécharge rsit (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/rsit.exe

- double clique sur rsit.exe qui est sur le bureau
- clique sur continue dans la fen&ecirc;tre
- rsit téléchargera hijackthis si il n’est pas présent o&ugrave; détecté, alors il faudra accepter la licence
- poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des t&acirc;ches) à la fin de l’analyse

les rapports sont dans le dossier ici c:\rsit


@++ :)




Salut dedtraque, merci de bien vouloir m'aider.

Je ne peux pas faire rouler aucun logiciel en mode normal. Je réussi seulement a faire demarrer les logiciels en mode SafeMode. J'ai sauvegarder sur le bureau, redemarrer en mode sans echec et post les rapports.
répondre
Duskin le 26 mai 2009 à 01h14
duskin a écrit :





salut dedtraque, merci de bien vouloir m'aider.

je ne peux pas faire rouler aucun logiciel en mode normal. je réussi seulement a faire demarrer les logiciels en mode safemode. j'ai sauvegarder sur le bureau, redemarrer en mode sans echec et post les rapports.



Resalut

Je n'arrive pas a rouvrir les rapport pour les poster. AU secours!! :pt1cable: Que faire maintenant?


répondre
dédétraqué le 26 mai 2009 à 01h28
Salut Duskin


Utilise le cadre réponse en bas de page et non pas le bouton répondre du dernier poste.

Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Il te sera demandé d’installer la console si elle n’est pas installer, clique sur NON

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\ Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
répondre
Duskin le 26 mai 2009 à 01h45
Salut

Je n'arrive toujours pas a faire quoi que ce soit. Dès que j'essai de faire tourner n'importe lequel logiciel, on me donne un message qui dit que je ne peux pas lancer le logiciel en question. De sorte que tous les rapports que je peux produire, je ne peux pas utiliser de logiciel (notepad ou autre du genre) pour les ouvrir et copier coller ici. De meme, j'arrive a telecharger et enregistrer sur mon ordi des logiciel comme combofix mais pour les lancer je dois etre en mode sans echec.

Est ce que je dois le faire en mode sans echec ?
répondre
dédétraqué le 26 mai 2009 à 01h51
Salut Duskin


Oui le faire en mode sans échec


@++ :)
répondre
Duskin le 26 mai 2009 à 02h24
Salut

WOW Ca marche !!! MErci Voila le rapport combofix.

ComboFix 09-05-25.05 - Eric 2009-05-25 19:58.2 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.2.1033.18.255.128 [GMT -4:00]
Running from: c:\documents and settings\Eric\My Documents\ComboFix.exe
AV: Norton AntiVirus *On-access scanning disabled* (Outdated) {B5510F6F-87E1-47F7-A411-360BC453007C}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\16599224
c:\documents and settings\All Users\Application Data\16599224\16599224.exe
c:\documents and settings\All Users\Application Data\16599224\16599224.glu
c:\documents and settings\All Users\Application Data\16599224\pc16599224cnf
c:\documents and settings\All Users\Application Data\16599224\pc16599224ins
c:\documents and settings\All Users\Start Menu\Programs\Spyware Cease
c:\documents and settings\All Users\Start Menu\Programs\Spyware Cease\Spyware Cease on the Web.lnk
c:\documents and settings\All Users\Start Menu\Programs\Spyware Cease\Spyware Cease.lnk
c:\documents and settings\All Users\Start Menu\Programs\Spyware Cease\Uninstall Spyware Cease.lnk
c:\program files\Spyware Cease
c:\program files\Spyware Cease\AutoUpdate.exe
c:\program files\Spyware Cease\DefendLog.txt
c:\program files\Spyware Cease\hrdb.hrl
c:\program files\Spyware Cease\LSR.lsr
c:\program files\Spyware Cease\md5.dll
c:\program files\Spyware Cease\mtools.dll
c:\program files\Spyware Cease\networkdll.dll
c:\program files\Spyware Cease\opfile.dll
c:\program files\Spyware Cease\RkHitApi.dll
c:\program files\Spyware Cease\SFL.dll
c:\program files\Spyware Cease\spkdll.dll
c:\program files\Spyware Cease\SpywareCease.chm
c:\program files\Spyware Cease\SpywareCease.exe
c:\program files\Spyware Cease\SpywareCease.url
c:\program files\Spyware Cease\swdb.ssk
c:\program files\Spyware Cease\unins000.dat
c:\program files\Spyware Cease\unins000.exe
c:\program files\Spyware Cease\zlib1.dll
c:\windows\odb.exe
c:\windows\system32\drivers\RKHit.sys
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT
-------\Service_RkHit


((((((((((((((((((((((((( Files Created from 2009-04-26 to 2009-05-26 )))))))))))))))))))))))))))))))
.

2009-05-25 23:01 . 2009-05-25 23:01 -------- d-----w c:\program files\trend micro
2009-05-25 23:01 . 2009-05-25 23:01 -------- dc----w C:\rsit
2009-05-21 02:47 . 2009-05-21 04:03 109 --sha-w c:\windows\system32\3971510106.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-26 00:12 . 2006-01-03 18:22 227 ----a-w c:\windows\system.tmp
2009-05-21 03:18 . 2004-08-08 02:58 -------- d-----w c:\program files\iISystem Wiper
2009-04-01 20:00 . 2004-01-17 23:41 -------- d-----w c:\documents and settings\Eric\Application Data\MSN6
2009-03-06 14:22 . 2003-05-27 15:42 284160 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:18 . 2004-02-06 23:05 826368 ----a-w c:\windows\system32\wininet.dll
2004-07-13 02:59 . 2004-07-13 02:58 16706160 ----a-w c:\program files\AdbeRdr60_enu_full.exe
.

------- Sigcheck -------

[-] 2005-05-25 19:07 359936 63FDFEA54EB53DE2D863EE454937CE1E c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2006-01-13 17:07 360448 5562CC0A47B2AEF06D3417B733F3C195 c:\windows\$hf_mig$\KB913446\SP2QFE\tcpip.sys
[-] 2006-04-20 12:18 360576 B2220C618B42A2212A59D91EBD6FC4B4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2007-10-30 16:53 360832 64798ECFA43D78C7178375FCDD16D8C8 c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[7] 2008-06-20 10:44 360960 744E57C99232201AE98C49168B918F48 c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-06-20 11:51 361600 9AEFA14BD6B182D61E3119FA5F436D3D c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 11:59 361600 AD978A1B783B5719720CFF204B666C8E c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 10:45 360320 2A5554FC5B1E04E131230E3CE035C3F9 c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2004-08-04 06:14 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtUninstallKB893066$\tcpip.sys
[-] 2005-05-25 19:04 359808 88763A98A4C26C409741B4AA162720C9 c:\windows\$NtUninstallKB913446$\tcpip.sys
[-] 2006-01-13 02:28 359808 583E063FDC888CA30D05C2724B0D7EF4 c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2006-04-20 11:51 359808 1DBF125862891817F374F407626967F4 c:\windows\$NtUninstallKB941644$\tcpip.sys
[7] 2008-04-13 19:20 361344 93EA8D04EC73A85DB02EB8805988F733 c:\windows\$NtUninstallKB951748$\tcpip.sys
[-] 2007-10-30 17:20 360064 90CAFF4B094573449A0872A0F919B178 c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[-] 2008-04-13 19:20 361344 ACCF5A9A1FFAA490F33DBA1C632B95E1 c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="c:\program files\Spyware Doctor\swdoctor.exe" [2005-11-24 1947872]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2005-12-12 71328]
"QAGENT"="c:\program files\QUICKENW\QAGENT.EXE" [2001-11-14 94208]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-02-16 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2004-12-14 263824]
"Spyware Doctor"="c:\program files\Spyware Doctor\swdoctor.exe" [2005-11-24 1947872]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Assistant Internet.lnk - c:\program files\NetAssistant\bin\matcli.exe [2005-6-5 217088]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RkHit.sys]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"IncrediMail"=c:\program files\IncrediMail\bin\IncMail.exe /c
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroCheck"=c:\windows\system32\NeroCheck.exe
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"IPInSightMonitor 01"="c:\program files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"
"IPInSightLAN 01"="c:\program files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
"SoundMan"=SOUNDMAN.EXE
"Symantec NetDriver Monitor"=c:\progra~1\SYMNET~1\SNDMon.exe /Consumer
"Motive SmartBridge"=c:\progra~1\NETASS~1\SMARTB~1\MotiveSB.exe
"SsAAD.exe"=c:\progra~1\Sony\SONICS~1\SsAAD.exe
"QAGENT"=c:\program files\QUICKENW\QAGENT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Call of Duty\\CoDMP.exe"=
"c:\\Program Files\\Call of Duty\\CoDUOMP.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R4 WinDefend;Windows Defender Service;c:\program files\Windows Defender\MsMpEng.exe [2006-04-03 14032]
S2 mrtRate;mrtRate; [x]


--- Other Services/Drivers In Memory ---

*Deregistered* - ALG
*Deregistered* - Ati HotKey Poller
*Deregistered* - ATI Smart
*Deregistered* - AudioSrv
*Deregistered* - Browser
*Deregistered* - ccEvtMgr
*Deregistered* - ccSetMgr
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - ImapiService
*Deregistered* - IPVNMon
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LexBceS
*Deregistered* - LmHosts
*Deregistered* - mchInjDrv
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - navapsvc
*Deregistered* - NAVENG
*Deregistered* - NAVEX15
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - perc2
*Deregistered* - perc2hib
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - ql1080
*Deregistered* - Ql10wnt
*Deregistered* - ql12160
*Deregistered* - ql1240
*Deregistered* - ql1280
*Deregistered* - RasAcd
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - SAVRT
*Deregistered* - SAVRTPEL
*Deregistered* - SAVScan
*Deregistered* - SBService
*Deregistered* - Schedule
*Deregistered* - SDhelper
*Deregistered* - Secdrv
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Sparrow
*Deregistered* - Spooler
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - SSScsiSV
*Deregistered* - stisvc
*Deregistered* - swenum
*Deregistered* - sym_hi
*Deregistered* - sym_u3
*Deregistered* - Symantec Core LC
*Deregistered* - symc810
*Deregistered* - symc8xx
*Deregistered* - SymEvent
*Deregistered* - symlcbrd
*Deregistered* - SYMTDI
*Deregistered* - SymWSC
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TosIde
*Deregistered* - TrkWks
*Deregistered* - ultra
*Deregistered* - UMWdf
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - viaagp
*Deregistered* - ViaIde
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmXlCore
*Deregistered* - WS2IFSL
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WZCSVC
.
Contents of the 'Scheduled Tasks' folder

2009-05-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 20:42]

2009-05-25 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-04-03 22:12]

2004-03-22 c:\windows\Tasks\Norton AntiVirus - Scan my computer - Eric.job
- c:\progra~1\NORTON~1\NAVW32.EXE [2004-01-03 02:22]

2009-05-16 c:\windows\Tasks\Norton AntiVirus - Scan my computer.job
- c:\progra~1\NORTON~1\Navw32.exe [2004-01-03 02:22]

2009-05-26 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-01-03 17:24]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-odby - c:\windows\odb.exe
HKLM-Run-16599224 - c:\documents and settings\All Users\Application Data\16599224\16599224.exe
HKLM-Run-SpywareCease.exe - c:\program files\Spyware Cease\SpywareCease.exe
SafeBoot-procexp90.Sys


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {18CD2FD8-81CE-44C3-99E1-0822E1C7116C} - hxxp://files.ea.com/downloads/rtpatch/v4/EARTP8X.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-25 20:09
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3277439761-2136417557-3852222622-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(504)
c:\windows\system32\Ati2evxx.dll
c:\program files\Spyware Doctor\Tools\swpg.dat

- - - - - - - > 'lsass.exe'(560)
c:\program files\Spyware Doctor\Tools\swpg.dat

- - - - - - - > 'explorer.exe'(1408)
c:\program files\Spyware Doctor\Tools\swpg.dat
c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\MSVCR80.dll
c:\program files\Common Files\Ahead\Lib\NeroDigitalExt.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

- - - - - - - > 'csrss.exe'(476)
c:\program files\Spyware Doctor\Tools\swpg.dat
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Common Files\Symantec Shared\CCSETMGR.EXE
c:\program files\Norton AntiVirus\NAVAPSVC.EXE
c:\program files\Norton AntiVirus\SAVSCAN.EXE
c:\program files\Spyware Doctor\sdhelp.exe
c:\program files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Lexmark X1100 Series\lxbkbmon.exe
c:\program files\Common Files\Symantec Shared\CCEVTMGR.EXE
c:\windows\system32\mrtMngr.exe
c:\program files\Common Files\Symantec Shared\Security Center\symwsc.exe
c:\program files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-05-26 20:22 - machine was rebooted
ComboFix-quarantined-files.txt 2009-05-26 00:22
ComboFix2.txt 2008-11-13 03:23

Pre-Run: 23 350 538 240 bytes free
Post-Run: 23 146 192 896 bytes free

349 --- E O F --- 2009-05-13 21:05
répondre
dédétraqué le 26 mai 2009 à 02h45
Salut Duskin


Faire un scan de ce fichier 3971510106.dat ici :

http://www.virustotal.com/fr/


Clique sur Parcourir et copie/colle ceci :
c:\windows\system32\3971510106.dat
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.


Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++ :)
répondre
Duskin le 26 mai 2009 à 02h54
Salut

:hello:


Fichier 3971510106.dat reçu le 2009.05.26 00:52:17 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.26 -
AhnLab-V3 5.0.0.2 2009.05.25 -
AntiVir 7.9.0.168 2009.05.25 -
Antiy-AVL 2.0.3.1 2009.05.25 -
Authentium 5.1.2.4 2009.05.25 -
Avast 4.8.1335.0 2009.05.25 -
AVG 8.5.0.339 2009.05.25 -
BitDefender 7.2 2009.05.26 -
CAT-QuickHeal 10.00 2009.05.25 -
ClamAV 0.94.1 2009.05.25 -
Comodo 1199 2009.05.25 -
DrWeb 5.0.0.12182 2009.05.26 -
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6521 2009.05.25 -
F-Prot 4.4.4.56 2009.05.25 -
F-Secure 8.0.14470.0 2009.05.26 -
Fortinet 3.117.0.0 2009.05.25 -
GData 19 2009.05.26 -
Ikarus T3.1.1.49.0 2009.05.26 -
K7AntiVirus 7.10.744 2009.05.25 -
Kaspersky 7.0.0.125 2009.05.26 -
McAfee 5626 2009.05.25 -
McAfee+Artemis 5626 2009.05.25 -
McAfee-GW-Edition 6.7.6 2009.05.25 -
Microsoft 1.4701 2009.05.25 -
NOD32 4103 2009.05.25 -
Norman 6.01.05 2009.05.25 -
nProtect 2009.1.8.0 2009.05.25 -
Panda 10.0.0.14 2009.05.25 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.26 -
Rising 21.31.04.00 2009.05.25 -
Sophos 4.42.0 2009.05.26 -
Sunbelt 3.2.1858.2 2009.05.25 -
Symantec 1.4.4.12 2009.05.26 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.25 -
VBA32 3.12.10.6 2009.05.26 -
ViRobot 2009.5.25.1751 2009.05.25 -
VirusBuster 4.6.5.0 2009.05.25 -
Information additionnelle
File size: 109 bytes
MD5...: 6caf49e845f4059eab06f937e89d6f18
SHA1..: f478e7af9e89eb535723670f7313dadb0e64b469
SHA256: 18bcb1461f6bd03630e6e42d61d1089c28bc4f784385a6a0bd454d9aabb40d60
ssdeep: 3:f+zNZr7Wk2cEc8p/sEXFTK/tZr:mzLvL+Kr

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
répondre
dédétraqué le 26 mai 2009 à 03h04
Salut Duskin


Télécharge SDFix par AndyManchesta sur le Bureau :

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe


Double clic sur SDFix.exe sur le bureau et clic sur Install , choisi le bureau pour l’intallation et un dossier sera créer sur le bureau.


Redémarre ton PC en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur.


Ouvre le dossier SDFix sur le bureau et double clique sur RunThis.bat, appuie sur Y pour lancer le nettoyage.

Il y aura redémarrage, quand Finished s’affichera appuie sur un touche pour terminer.

Poste le rapport qui se trouve dans le dossier SDFix sous le nom de Report.txt dans ta prochaine réponse.


@++ :)
répondre
Duskin le 26 mai 2009 à 03h46
Salut Dede

Voici le rapport demandé.


SDFix: Version 1.240
Run by Eric on 2009-05-25 at 21:22

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-25 21:38:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Call of Duty\\CoDMP.exe"="C:\\Program Files\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"
"C:\\Program Files\\Call of Duty\\CoDUOMP.exe"="C:\\Program Files\\Call of Duty\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"="C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\system32\\dxdiag.exe"="C:\\WINDOWS\\system32\\dxdiag.exe:*:Enabled:Microsoft DirectX Diagnostic Tool"
"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Sun 25 Jan 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 6 Mar 2004 401 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"
Thu 15 May 2003 43,008 ...H. --- "C:\Program Files\Common Files\Adobe\ESD\DLMCleanup.exe"
Sun 28 Mar 2004 19,456 ...H. --- "C:\Documents and Settings\Eric\Application Data\Microsoft\Word\~WRL0003.tmp"
Fri 20 Feb 2004 33,792 ...H. --- "C:\Documents and Settings\Eric\Application Data\Microsoft\Word\~WRL0004.tmp"
Fri 20 Feb 2004 36,864 ...H. --- "C:\Documents and Settings\Eric\Application Data\Microsoft\Word\~WRL1085.tmp"
Sun 28 Mar 2004 22,016 ...H. --- "C:\Documents and Settings\Eric\Application Data\Microsoft\Word\~WRL2213.tmp"
Sun 28 Mar 2004 21,504 ...H. --- "C:\Documents and Settings\Eric\Application Data\Microsoft\Word\~WRL2290.tmp"
Sun 25 Jan 2004 4,348 ...H. --- "C:\Documents and Settings\Owner\My Documents\My Music\License Backup\drmv1key.bak"
Sat 6 Mar 2004 401 A..H. --- "C:\Documents and Settings\Owner\My Documents\My Music\License Backup\drmv1lic.bak"
Sun 25 Jan 2004 312 ...H. --- "C:\Documents and Settings\Owner\My Documents\My Music\License Backup\drmv2key.bak"
Sat 6 Mar 2004 24,576 A..H. --- "C:\Documents and Settings\Owner\My Documents\My Music\License Backup\drmv2lic.bak"

Finished!

répondre
dédétraqué le 26 mai 2009 à 03h58
Salut Duskin


On avance bien :super:

-Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php


@++ :)
répondre
Duskin le 26 mai 2009 à 05h33
Salut

1) merci sincerement pour le coup de pouce jusqu'a present
2) Je n'aurai pas acces a mon ordi (celui-ci) avant vendredi soir prochain
3) je dois quitter maintenant avant de pouvoir de poster le rapport.
4) est ce que je peux compter sur toi pour qu'on prenne contact ensemble vendredi pour finaliser?

Merci a l'avance
répondre
dédétraqué le 26 mai 2009 à 05h38
Salut Duskin


Pas de problème, je suis présent tous les jours.


@++ :)
répondre
Duskin le 26 mai 2009 à 05h39
Merci encore. Tu es super!!

J'imagine que tu es du Quebec si tu es en ligne a cet heure ci?

Alors salut et a vendredi. :super:
répondre
dédétraqué le 27 mai 2009 à 03h08
Salut Duskin


Effectivement je suis du Québec, a vendredi alors :p


Bonne semaine


@++ :)
répondre
Duskin le 29 mai 2009 à 13h20
Salut Dedetraque

J'ai roule le rapport de Malware

Le voici

Malwarebytes' Anti-Malware 1.30
Database version: 1395
Windows 5.1.2600 Service Pack 3

2009-05-29 07:06:25
mbam-log-2009-05-29 (07-06-25).txt

Scan type: Full Scan (C:\|)
Objects scanned: 114747
Time elapsed: 3 hour(s), 17 minute(s), 57 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
répondre
dédétraqué le 29 mai 2009 à 22h51
Salut Duskin


- Télécharge GenProc (de narco4 et jean-chretien1) sur ton bureau.

http://www.genproc.com/GenProc.exe

- Double clique sur GenProc.exe télécharger

- Poste le contenu du rapport qui s'ouvre.

Tutoriel : http://www.genproc.com/tutorial_genproc/tutorial_genproc.html


@++ :)
répondre
Duskin le 30 mai 2009 à 03h00
Salut Dedetraque

J'espere que tu vas bien.

Voilal le rapport demande.

Rapport GenProc 2.572 [1]
@ 2009-05-29 à 20:48:07
@ Windows XP Service Pack 3
@ Internet Explorer (7.0.5730.11) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~

# Etape 1/ Télécharge :

- CCleaner http://www.ccleaner.com/download/builds/downloading-slim (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- USBFix http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe (Chiquitine29) sur le Bureau, et procède simplement à son installation.


Redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm ; Choisis ta session courante *** Eric *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir, puis double-clique sur le raccourci UsbFix présent sur ton Bureau : choisis l' option 2 (Suppression), ton bureau disparaitra et le pc redémarrera. Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport UsbFix.txt situé dans C:\ ;
- Un nouveau rapport HijackThis http://tinyurl.com/GenProc-HijackThis ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.572 2009-05-29 à 20:45:25
USBFix:le 2009-05-29 à 20:46:56 "C:\WINDOWS\System32\tmp.txt"
répondre
dédétraqué le 30 mai 2009 à 03h08
Salut Duskin


Télécharge OTMoveIt3 (de Old_Timer) sur le bureau :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe sur le bureau

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation et colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved

:processes
explorer.exe

:files
C:\WINDOWS\System32\tmp.txt

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]


- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTMoveIt3

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.


-----


Important Désactive ton Antivirus avant le scan en ligne :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm


Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
http://www.eset-nod32.fr/scanner.html

Dans le bas de la page clique sur Scanner en ligne >

< inclued picture >


Dans la nouvelle page, coche la case devant OUI, j'accepte les termes du contrat de licence et clique sur Start pour débuter.

< inclued picture >


Dans la nouvelle page(qui est assez longue a charger) tu auras une alerte pour la barre d'information, clique sur Fermé.

Maintenant faire un clique droit dans la barre d'information en jaune dans le haut de la page, et clique sur Installer le contrôle ActiveX.

< inclued picture >


Une boite d'information va s'ouvrir, clique sur Installer

< inclued picture >


Dans la nouvelle page clique en bas sur Démarrer, le téléchargement de la base des signatures de virus va débuter.
Après le scan du PC va débuter, patience le temps du scan, ne pas faire de navigation durant le scan, on a désactivé l'Antivirus.


Une fois le scan fini, cliqué sur Terminé et fermé la page.

Ouvrir l'explorateur Windows et retrouver le rapport qui est dans ce répertoire :

C:\Program Files\ESET\ESET Online Scanner\log.txt

Copie/colle le contenue de ce rapport log.txt


@++ :)
répondre
Duskin le 30 mai 2009 à 04h24
Salut

Le premier rapport

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\System32\tmp.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Eric\LOCALS~1\Temp\Perflib_Perfdata_51c.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\6N0HTHU9\messages-1[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05292009_211150

Files moved on Reboot...
File C:\DOCUME~1\Eric\LOCALS~1\Temp\Perflib_Perfdata_51c.dat not found!
C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\6N0HTHU9\messages-1[2].htm moved successfully.
C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# IEXPLORE.EXE=7.00.6000.16827 (vista_gdr.090226-1506)
# OnlineScanner.ocx=1.0.0.5863
# api_version=3.0.2
# EOSSerial=ff085e3ff2f5f548aeaea11ffdda3af0
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-05-30 02:20:50
# local_time=2009-05-29 10:20:50 (-0500, Eastern Daylight Time)
# country="Canada"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3586 41 100 97 831125524266816
# compatibility_mode=5889 61 66 100 995469041682992
# scanned=70671
# found=6
# cleaned=6
# scan_time=2086
C:\Documents and Settings\Eric\My Documents\SpywareCease_Setup.exe Win32/Adware.SpywareCease application (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\16599224\16599224.exe.vir une variante de Win32/Kryptik.PQ cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\Program Files\Spyware Cease\RkHitApi.dll.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\WINDOWS\odb.exe.vir une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\RKHit.sys.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\WINDOWS\system32\ActiveScan\pskavs.dll une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
répondre
Duskin le 30 mai 2009 à 04h26
Salut

Le premier rapport

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\System32\tmp.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Eric\LOCALS~1\Temp\Perflib_Perfdata_51c.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\6N0HTHU9\messages-1[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05292009_211150

Files moved on Reboot...
File C:\DOCUME~1\Eric\LOCALS~1\Temp\Perflib_Perfdata_51c.dat not found!
C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\6N0HTHU9\messages-1[2].htm moved successfully.
C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# IEXPLORE.EXE=7.00.6000.16827 (vista_gdr.090226-1506)
# OnlineScanner.ocx=1.0.0.5863
# api_version=3.0.2
# EOSSerial=ff085e3ff2f5f548aeaea11ffdda3af0
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-05-30 02:20:50
# local_time=2009-05-29 10:20:50 (-0500, Eastern Daylight Time)
# country="Canada"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3586 41 100 97 831125524266816
# compatibility_mode=5889 61 66 100 995469041682992
# scanned=70671
# found=6
# cleaned=6
# scan_time=2086
C:\Documents and Settings\Eric\My Documents\SpywareCease_Setup.exe Win32/Adware.SpywareCease application (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\16599224\16599224.exe.vir une variante de Win32/Kryptik.PQ cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\Program Files\Spyware Cease\RkHitApi.dll.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\WINDOWS\odb.exe.vir une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\RKHit.sys.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\WINDOWS\system32\ActiveScan\pskavs.dll une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
répondre
Duskin le 30 mai 2009 à 04h26
Salut

Le premier rapport

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\System32\tmp.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Eric\LOCALS~1\Temp\Perflib_Perfdata_51c.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\6N0HTHU9\messages-1[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05292009_211150

Files moved on Reboot...
File C:\DOCUME~1\Eric\LOCALS~1\Temp\Perflib_Perfdata_51c.dat not found!
C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\6N0HTHU9\messages-1[2].htm moved successfully.
C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# IEXPLORE.EXE=7.00.6000.16827 (vista_gdr.090226-1506)
# OnlineScanner.ocx=1.0.0.5863
# api_version=3.0.2
# EOSSerial=ff085e3ff2f5f548aeaea11ffdda3af0
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-05-30 02:20:50
# local_time=2009-05-29 10:20:50 (-0500, Eastern Daylight Time)
# country="Canada"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3586 41 100 97 831125524266816
# compatibility_mode=5889 61 66 100 995469041682992
# scanned=70671
# found=6
# cleaned=6
# scan_time=2086
C:\Documents and Settings\Eric\My Documents\SpywareCease_Setup.exe Win32/Adware.SpywareCease application (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\16599224\16599224.exe.vir une variante de Win32/Kryptik.PQ cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\Program Files\Spyware Cease\RkHitApi.dll.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\WINDOWS\odb.exe.vir une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\RKHit.sys.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\WINDOWS\system32\ActiveScan\pskavs.dll une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
répondre
dédétraqué le 30 mai 2009 à 07h17
Salut Duskin


Cela est bon, as-tu d'autre souci?


@++ :)
répondre
Duskin le 30 mai 2009 à 18h10
Salut Dede

J'ai des problemes encore. L'ordi plante tout le temps. Il n'Est pas capable de faire deux choses en meme temps et il rame toujours et me donne un message Not Responsive. J'ai du rebooter au moins 5 fois et ca fait 3 heures que j'essai de revenir. Aussi, je ne peux plus ouvrir le Security center de Microsoft sur l'ordi c'est a dire le Parefeu.

Avant les derniers programmes que tu m'as fait tourner, tout allait bien, je ne sais pas s'il y a un lien.

Voila. Merci de ton aide.
répondre
dédétraqué le 30 mai 2009 à 18h14
Salut Duskin


Faire un nouveau scan avec Combofix et poste le rapport


@++ :)
répondre
Duskin le 30 mai 2009 à 18h42
Salut Dede

ComboFix 09-05-25.05 - Eric 2009-05-30 12:24.3 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.2.1033.18.255.122 [GMT -4:00]
Running from: c:\documents and settings\Eric\My Documents\ComboFix.exe
AV: Norton AntiVirus *On-access scanning disabled* (Outdated) {B5510F6F-87E1-47F7-A411-360BC453007C}
.

((((((((((((((((((((((((( Files Created from 2009-04-28 to 2009-05-30 )))))))))))))))))))))))))))))))
.

2009-05-30 01:43 . 2009-05-30 01:43 -------- d-----w c:\program files\ESET
2009-05-30 01:11 . 2009-05-30 01:11 -------- dc----w C:\_OTMoveIt
2009-05-30 00:44 . 2009-05-30 00:44 -------- dc----w C:\GenProc
2009-05-26 01:21 . 2009-05-26 01:21 578560 -c--a-w c:\windows\system32\dllcache\user32.dll
2009-05-26 01:18 . 2009-05-26 01:19 -------- d-----w c:\windows\ERUNT
2009-05-26 01:13 . 2009-05-26 01:43 -------- dc----w C:\SDFix
2009-05-25 23:01 . 2009-05-25 23:01 -------- d-----w c:\program files\trend micro
2009-05-25 23:01 . 2009-05-25 23:01 -------- dc----w C:\rsit
2009-05-21 02:47 . 2009-05-21 04:03 109 --sha-w c:\windows\system32\3971510106.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 02:26 . 2004-08-08 02:58 -------- d-----w c:\program files\iISystem Wiper
2009-05-26 00:12 . 2006-01-03 18:22 227 ----a-w c:\windows\system.tmp
2009-04-01 20:00 . 2004-01-17 23:41 -------- d-----w c:\documents and settings\Eric\Application Data\MSN6
2009-03-06 14:22 . 2003-05-27 15:42 284160 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:18 . 2004-02-06 23:05 826368 ----a-w c:\windows\system32\wininet.dll
2004-07-13 02:59 . 2004-07-13 02:58 16706160 ----a-w c:\program files\AdbeRdr60_enu_full.exe
.

------- Sigcheck -------

[-] 2005-05-25 19:07 359936 63FDFEA54EB53DE2D863EE454937CE1E c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2006-01-13 17:07 360448 5562CC0A47B2AEF06D3417B733F3C195 c:\windows\$hf_mig$\KB913446\SP2QFE\tcpip.sys
[-] 2006-04-20 12:18 360576 B2220C618B42A2212A59D91EBD6FC4B4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2007-10-30 16:53 360832 64798ECFA43D78C7178375FCDD16D8C8 c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[7] 2008-06-20 10:44 360960 744E57C99232201AE98C49168B918F48 c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-06-20 11:51 361600 9AEFA14BD6B182D61E3119FA5F436D3D c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 11:59 361600 AD978A1B783B5719720CFF204B666C8E c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 10:45 360320 2A5554FC5B1E04E131230E3CE035C3F9 c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2004-08-04 06:14 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtUninstallKB893066$\tcpip.sys
[-] 2005-05-25 19:04 359808 88763A98A4C26C409741B4AA162720C9 c:\windows\$NtUninstallKB913446$\tcpip.sys
[-] 2006-01-13 02:28 359808 583E063FDC888CA30D05C2724B0D7EF4 c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2006-04-20 11:51 359808 1DBF125862891817F374F407626967F4 c:\windows\$NtUninstallKB941644$\tcpip.sys
[7] 2008-04-13 19:20 361344 93EA8D04EC73A85DB02EB8805988F733 c:\windows\$NtUninstallKB951748$\tcpip.sys
[-] 2007-10-30 17:20 360064 90CAFF4B094573449A0872A0F919B178 c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[-] 2008-04-13 19:20 361344 ACCF5A9A1FFAA490F33DBA1C632B95E1 c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-05-26_00.11.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2003-05-27 08:47 . 2009-05-30 12:36 232776 c:\windows\system32\FNTCACHE.DAT
- 2003-05-27 08:47 . 2009-03-11 21:08 232776 c:\windows\system32\FNTCACHE.DAT
+ 2009-05-26 01:19 . 2009-05-26 01:19 151552 c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2009-05-26 01:19 . 2008-08-07 19:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-05-26 01:19 . 2009-05-26 01:19 151552 c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2009-05-26 01:19 . 2008-08-07 19:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-05-26 01:19 . 2009-05-26 01:19 5484544 c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2009-05-26 01:19 . 2009-05-26 01:19 5484544 c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="c:\program files\Spyware Doctor\swdoctor.exe" [2005-11-24 1947872]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"iIWiper"="c:\program files\iISystem Wiper\SystemWiper.exe" [2005-09-11 258048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2005-12-12 71328]
"QAGENT"="c:\program files\QUICKENW\QAGENT.EXE" [2001-11-14 94208]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-02-16 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2004-12-14 263824]
"Spyware Doctor"="c:\program files\Spyware Doctor\swdoctor.exe" [2005-11-24 1947872]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Assistant Internet.lnk - c:\program files\NetAssistant\bin\matcli.exe [2005-6-5 217088]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RkHit.sys]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"IncrediMail"=c:\program files\IncrediMail\bin\IncMail.exe /c
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroCheck"=c:\windows\system32\NeroCheck.exe
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"IPInSightMonitor 01"="c:\program files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"
"IPInSightLAN 01"="c:\program files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
"SoundMan"=SOUNDMAN.EXE
"Symantec NetDriver Monitor"=c:\progra~1\SYMNET~1\SNDMon.exe /Consumer
"Motive SmartBridge"=c:\progra~1\NETASS~1\SMARTB~1\MotiveSB.exe
"SsAAD.exe"=c:\progra~1\Sony\SONICS~1\SsAAD.exe
"QAGENT"=c:\program files\QUICKENW\QAGENT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Call of Duty\\CoDMP.exe"=
"c:\\Program Files\\Call of Duty\\CoDUOMP.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

S2 mrtRate;mrtRate;c:\windows\system32\drivers\MrtRate.sys [2004-01-04 34712]
S4 WinDefend;Windows Defender Service;c:\program files\Windows Defender\MsMpEng.exe [2006-04-03 14032]
.
Contents of the 'Scheduled Tasks' folder

2009-05-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 20:42]

2009-05-30 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-04-03 22:12]

2004-03-22 c:\windows\Tasks\Norton AntiVirus - Scan my computer - Eric.job
- c:\progra~1\NORTON~1\NAVW32.EXE [2004-01-03 02:22]

2009-05-30 c:\windows\Tasks\Norton AntiVirus - Scan my computer.job
- c:\progra~1\NORTON~1\Navw32.exe [2004-01-03 02:22]

2009-05-30 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-01-03 17:24]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {18CD2FD8-81CE-44C3-99E1-0822E1C7116C} - hxxp://files.ea.com/downloads/rtpatch/v4/EARTP8X.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 12:28
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3277439761-2136417557-3852222622-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(212)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-05-30 12:31
ComboFix-quarantined-files.txt 2009-05-30 16:31
ComboFix2.txt 2009-05-26 00:22
ComboFix3.txt 2008-11-13 03:23

Pre-Run: 23 794 511 872 bytes free
Post-Run: 23 805 853 696 bytes free

172 --- E O F --- 2009-05-29 14:39
répondre
Duskin le 30 mai 2009 à 19h05
Salut Dedetraque

Je viens de constater que peut importe ce que j'essai de faire rouler (outre les logiciels du program file) mais des choses du control panel ou ouvrir l'horloge ou des choses du genre on me donne un message d'erreur suivant : C:\windows\system32\rundll32.exe est manquant.
répondre
dédétraqué le 30 mai 2009 à 19h18
Salut Duskin


- Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

- Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :

KillAll::

Driver::
RkHit

File::
c:\windows\system.tmp
c:\windows\system32\drivers\RKHit.sys

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RkHit.sys]


- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l’icône est un lion) :

< inclued picture >

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ ComboFix.txt


@++ :)
répondre
dédétraqué le 30 mai 2009 à 19h23
Salut Duskin


Clique sur le menu démarrer/ Rechercher, clique sur Tous les fichiers et tous les dossiers, dans la première fenêtre du haut tu tape où copie/colle rundll32.exe et dans le bas dans Options avancés clique sur Rechercher dans les fichiers et dossiers cachés.

Après tu clic sur Rechercher

Dis si tu le trouves et dans quel dossier


@++ :)
répondre
Duskin le 30 mai 2009 à 20h28
Salut :D

ComboFix 09-05-25.05 - Eric 2009-05-30 13:43.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.2.1033.18.255.64 [GMT -4:00]
Running from: c:\documents and settings\Eric\My Documents\ComboFix.exe
Command switches used :: c:\documents and settings\Eric\Desktop\CFScript.txt
AV: Norton AntiVirus *On-access scanning disabled* (Outdated) {B5510F6F-87E1-47F7-A411-360BC453007C}

FILE ::
c:\windows\system.tmp
c:\windows\system32\drivers\RKHit.sys
.
The following files were disabled during the run:
c:\program files\Spyware Doctor\Tools\swpg.dat


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system.tmp

.
((((((((((((((((((((((((( Files Created from 2009-04-28 to 2009-05-30 )))))))))))))))))))))))))))))))
.

2009-05-30 01:43 . 2009-05-30 01:43 -------- d-----w c:\program files\ESET
2009-05-30 01:11 . 2009-05-30 01:11 -------- dc----w C:\_OTMoveIt
2009-05-30 00:44 . 2009-05-30 00:44 -------- dc----w C:\GenProc
2009-05-26 01:21 . 2009-05-26 01:21 578560 -c--a-w c:\windows\system32\dllcache\user32.dll
2009-05-26 01:18 . 2009-05-26 01:19 -------- d-----w c:\windows\ERUNT
2009-05-26 01:13 . 2009-05-26 01:43 -------- dc----w C:\SDFix
2009-05-25 23:01 . 2009-05-25 23:01 -------- d-----w c:\program files\trend micro
2009-05-25 23:01 . 2009-05-25 23:01 -------- dc----w C:\rsit
2009-05-21 02:47 . 2009-05-21 04:03 109 --sha-w c:\windows\system32\3971510106.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 02:26 . 2004-08-08 02:58 -------- d-----w c:\program files\iISystem Wiper
2009-04-01 20:00 . 2004-01-17 23:41 -------- d-----w c:\documents and settings\Eric\Application Data\MSN6
2009-03-06 14:22 . 2003-05-27 15:42 284160 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:18 . 2004-02-06 23:05 826368 ----a-w c:\windows\system32\wininet.dll
2004-07-13 02:59 . 2004-07-13 02:58 16706160 ----a-w c:\program files\AdbeRdr60_enu_full.exe
.

------- Sigcheck -------

[-] 2005-05-25 19:07 359936 63FDFEA54EB53DE2D863EE454937CE1E c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2006-01-13 17:07 360448 5562CC0A47B2AEF06D3417B733F3C195 c:\windows\$hf_mig$\KB913446\SP2QFE\tcpip.sys
[-] 2006-04-20 12:18 360576 B2220C618B42A2212A59D91EBD6FC4B4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2007-10-30 16:53 360832 64798ECFA43D78C7178375FCDD16D8C8 c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[7] 2008-06-20 10:44 360960 744E57C99232201AE98C49168B918F48 c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-06-20 11:51 361600 9AEFA14BD6B182D61E3119FA5F436D3D c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 11:59 361600 AD978A1B783B5719720CFF204B666C8E c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 10:45 360320 2A5554FC5B1E04E131230E3CE035C3F9 c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2004-08-04 06:14 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtUninstallKB893066$\tcpip.sys
[-] 2005-05-25 19:04 359808 88763A98A4C26C409741B4AA162720C9 c:\windows\$NtUninstallKB913446$\tcpip.sys
[-] 2006-01-13 02:28 359808 583E063FDC888CA30D05C2724B0D7EF4 c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2006-04-20 11:51 359808 1DBF125862891817F374F407626967F4 c:\windows\$NtUninstallKB941644$\tcpip.sys
[7] 2008-04-13 19:20 361344 93EA8D04EC73A85DB02EB8805988F733 c:\windows\$NtUninstallKB951748$\tcpip.sys
[-] 2007-10-30 17:20 360064 90CAFF4B094573449A0872A0F919B178 c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[-] 2008-04-13 19:20 361344 ACCF5A9A1FFAA490F33DBA1C632B95E1 c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-05-26_00.11.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2003-05-27 08:47 . 2009-05-30 12:36 232776 c:\windows\system32\FNTCACHE.DAT
- 2003-05-27 08:47 . 2009-03-11 21:08 232776 c:\windows\system32\FNTCACHE.DAT
+ 2009-05-26 01:19 . 2009-05-26 01:19 151552 c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2009-05-26 01:19 . 2008-08-07 19:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-05-26 01:19 . 2009-05-26 01:19 151552 c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2009-05-26 01:19 . 2008-08-07 19:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-05-26 01:19 . 2009-05-26 01:19 5484544 c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2009-05-26 01:19 . 2009-05-26 01:19 5484544 c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="c:\program files\Spyware Doctor\swdoctor.exe" [2005-11-24 1947872]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"iIWiper"="c:\program files\iISystem Wiper\SystemWiper.exe" [2005-09-11 258048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2005-12-12 71328]
"QAGENT"="c:\program files\QUICKENW\QAGENT.EXE" [2001-11-14 94208]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-02-16 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2004-12-14 263824]
"Spyware Doctor"="c:\program files\Spyware Doctor\swdoctor.exe" [2005-11-24 1947872]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Assistant Internet.lnk - c:\program files\NetAssistant\bin\matcli.exe [2005-6-5 217088]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"IncrediMail"=c:\program files\IncrediMail\bin\IncMail.exe /c
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroCheck"=c:\windows\system32\NeroCheck.exe
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"IPInSightMonitor 01"="c:\program files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"
"IPInSightLAN 01"="c:\program files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l
"SoundMan"=SOUNDMAN.EXE
"Symantec NetDriver Monitor"=c:\progra~1\SYMNET~1\SNDMon.exe /Consumer
"Motive SmartBridge"=c:\progra~1\NETASS~1\SMARTB~1\MotiveSB.exe
"SsAAD.exe"=c:\progra~1\Sony\SONICS~1\SsAAD.exe
"QAGENT"=c:\program files\QUICKENW\QAGENT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Call of Duty\\CoDMP.exe"=
"c:\\Program Files\\Call of Duty\\CoDUOMP.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 mrtRate;mrtRate;c:\windows\system32\drivers\MrtRate.sys [2004-01-04 34712]
S4 WinDefend;Windows Defender Service;c:\program files\Windows Defender\MsMpEng.exe [2006-04-03 14032]

--- Other Services/Drivers In Memory ---

*Deregistered* - IPVNMon
*Deregistered* - mchInjDrv
.
Contents of the 'Scheduled Tasks' folder

2009-05-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 20:42]

2009-05-30 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-04-03 22:12]

2004-03-22 c:\windows\Tasks\Norton AntiVirus - Scan my computer - Eric.job
- c:\progra~1\NORTON~1\NAVW32.EXE [2004-01-03 02:22]

2009-05-30 c:\windows\Tasks\Norton AntiVirus - Scan my computer.job
- c:\progra~1\NORTON~1\Navw32.exe [2004-01-03 02:22]

2009-05-30 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-01-03 17:24]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {18CD2FD8-81CE-44C3-99E1-0822E1C7116C} - hxxp://files.ea.com/downloads/rtpatch/v4/EARTP8X.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 13:49
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc22.tmp"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3277439761-2136417557-3852222622-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\windows\system32\Ati2evxx.dll
c:\program files\Spyware Doctor\Tools\swpg.dat

- - - - - - - > 'lsass.exe'(568)
c:\program files\Spyware Doctor\Tools\swpg.dat

- - - - - - - > 'explorer.exe'(2736)
c:\program files\Spyware Doctor\Tools\swpg.dat

- - - - - - - > 'csrss.exe'(476)
c:\program files\Spyware Doctor\Tools\swpg.dat
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\windows\system32\ati2evxx.exe
c:\program files\Common Files\Symantec Shared\CCSETMGR.EXE
c:\program files\Norton AntiVirus\NAVAPSVC.EXE
c:\program files\Norton AntiVirus\SAVSCAN.EXE
c:\program files\Spyware Doctor\sdhelp.exe
c:\program files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Common Files\Symantec Shared\CCEVTMGR.EXE
c:\program files\Common Files\Symantec Shared\Security Center\symwsc.exe
c:\windows\system32\wscntfy.exe
c:\program files\Lexmark X1100 Series\lxbkbmon.exe
c:\program files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
c:\windows\system32\mrtMngr.exe
.
**************************************************************************
.
Completion time: 2009-05-30 14:01 - machine was rebooted
ComboFix-quarantined-files.txt 2009-05-30 18:00
ComboFix2.txt 2009-05-30 16:31
ComboFix3.txt 2009-05-26 00:22
ComboFix4.txt 2008-11-13 03:23

Pre-Run: 23 537 631 232 bytes free
Post-Run: 23 526 612 992 bytes free

212 --- E O F --- 2009-05-29 14:39


J,ai fait la recherche. 2 resultats
c\windows\$NTservicepackuninstall$
c\windows\servicepackfiles\i386
répondre
dédétraqué le 30 mai 2009 à 20h34
Salut Duskin


Autoriser l'affichage des fichiers et dossiers cachés :

Sur le bureau double clique sur le Poste de travail en haut clique sur Outils/Option des dossiers… clique sur l’onglet Affichage :

Maintenant tu :

Coches : Afficher les Fichiers et dossiers cachés

Décoches : Masquer les extensions dont le type est connu

Décoches : Masquer les fichiers protégés du système d'exploitation (recommandé)

Clique sur Appliquer pour valider les changements et clique sur Ok


-----


Maintenant faire un copier/coller du fichier rundll32.exe que tu auras trouvé dans le dossier i386 dans le dossier c:\windows\system32.

Dis moi si cela fonctionne, j'analyse ton rapport


@++ :)
répondre
Duskin le 30 mai 2009 à 20h41
Salut Dede

WOW TRes fort !!! Tout fonctionne pour le RUNDLL.exe MErci :youpi:
répondre
dédétraqué le 30 mai 2009 à 20h45
Salut Duskin


On va vérifier si rien de caché :

Fais un scan en ligne ici :
http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)

[:blue_fire:9] Désactive ton Antivirus avant le scan en ligne
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

  • Sur la page du scan en bas à droite clique sur Démarrer Online-scanner et dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
  • Accepte les Contrôle ActivX
  • Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)
  • Poste le contenue du rapport


    • Aide pour l'utilisation du scan en ligne :
    http://forum.pcastuces.com/kaspersky_online_scanner___tutoriel-f31s10.htm

    P.S. : Si tu as un problème pour l'installation du Contrôle ActivX lis ceci :
    http://www.inoculer.com/activex.php3

    NOTE : Si tu reçoit le message "La licence de Kaspersky On-line Scanner est périmée"
    Via Ajout/Suppression de programmes supprime Kaspersky Online Scanner et refaire l’installation.


    @++ :)
    répondre
    Duskin le 30 mai 2009 à 23h39
    Salut

    Le Kaspersky est fait mais je ne sais pas comment generer le rapport ?
    répondre
    dédétraqué le 30 mai 2009 à 23h42
    Salut Duskin


    Tu n'as pas en bas de page Enregistrer rapport sous?

    Sinon a t-il détecté quelque chose?


    @++ :)
    répondre
    Duskin le 31 mai 2009 à 00h45
    Salut

    je n'ai pas Enregistre sous. Il a detecte 12 virus et 24 objet infectes et 2 suspect!!!
    répondre
    dédétraqué le 31 mai 2009 à 02h46
    Salut Duskin


    Important Désactive ton Antivirus avant le scan en ligne :
    http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm


    Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
    http://www.eset-nod32.fr/scanner.html

    Dans le bas de la page clique sur Scanner en ligne >

    < inclued picture >


    Dans la nouvelle page, coche la case devant OUI, j'accepte les termes du contrat de licence et clique sur Start pour débuter.

    < inclued picture >


    Dans la nouvelle page(qui est assez longue a charger) tu auras une alerte pour la barre d'information, clique sur Fermé.

    Maintenant faire un clique droit dans la barre d'information en jaune dans le haut de la page, et clique sur Installer le contrôle ActiveX.

    < inclued picture >


    Une boite d'information va s'ouvrir, clique sur Installer

    < inclued picture >


    Dans la nouvelle page clique en bas sur Démarrer, le téléchargement de la base des signatures de virus va débuter.
    Après le scan du PC va débuter, patience le temps du scan, ne pas faire de navigation durant le scan, on a désactivé l'Antivirus.


    Une fois le scan fini, cliqué sur Terminé et fermé la page.

    Ouvrir l'explorateur Windows et retrouver le rapport qui est dans ce répertoire :

    C:\Program Files\ESET\ESET Online Scanner\log.txt

    Copie/colle le contenue de ce rapport log.txt


    @++ :)
    répondre
    Duskin le 31 mai 2009 à 03h53
    Salut Dede

    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=6
    # IEXPLORE.EXE=7.00.6000.16827 (vista_gdr.090226-1506)
    # OnlineScanner.ocx=1.0.0.5863
    # api_version=3.0.2
    # EOSSerial=ff085e3ff2f5f548aeaea11ffdda3af0
    # end=finished
    # remove_checked=true
    # archives_checked=false
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2009-05-30 02:20:50
    # local_time=2009-05-29 10:20:50 (-0500, Eastern Daylight Time)
    # country="Canada"
    # lang=1036
    # osver=5.1.2600 NT Service Pack 3
    # compatibility_mode=3586 41 100 97 831125524266816
    # compatibility_mode=5889 61 66 100 995469041682992
    # scanned=70671
    # found=6
    # cleaned=6
    # scan_time=2086
    C:\Documents and Settings\Eric\My Documents\SpywareCease_Setup.exe Win32/Adware.SpywareCease application (supprimé - mis en quarantaine) 00000000000000000000000000000000
    C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\16599224\16599224.exe.vir une variante de Win32/Kryptik.PQ cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\Qoobox\Quarantine\C\Program Files\Spyware Cease\RkHitApi.dll.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\Qoobox\Quarantine\C\WINDOWS\odb.exe.vir une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\RKHit.sys.vir Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\WINDOWS\system32\ActiveScan\pskavs.dll une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    # version=6
    # IEXPLORE.EXE=7.00.6000.16827 (vista_gdr.090226-1506)
    # OnlineScanner.ocx=1.0.0.5863
    # api_version=3.0.2
    # EOSSerial=ff085e3ff2f5f548aeaea11ffdda3af0
    # end=finished
    # remove_checked=true
    # archives_checked=false
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2009-05-31 01:48:20
    # local_time=2009-05-30 09:48:20 (-0500, Eastern Daylight Time)
    # country="Canada"
    # lang=1036
    # osver=5.1.2600 NT Service Pack 3
    # compatibility_mode=3586 41 100 97 831970026782816
    # compatibility_mode=5889 61 66 100 996313544198992
    # scanned=75643
    # found=10
    # cleaned=10
    # scan_time=2385
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP175\A0012690.exe une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP175\A0012691.exe une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP175\A0012692.exe une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP175\A0012695.exe une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP175\A0012704.exe une variante de Win32/Kryptik.PQ cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP177\A0013780.dll Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP177\A0013786.exe une variante de Win32/Kryptik.PU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP177\A0013787.sys Win32/Adware.SpywareCease application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP177\A0013793.exe une variante de Win32/Kryptik.PQ cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    C:\System Volume Information\_restore{6E44B633-715E-4720-8328-23F13F97683B}\RP182\A0015044.dll une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
    répondre
    page précédente  1 - 2
    ou aller à la page
    		 page suivante


    PRODUITS

    TÉLÉCHARGER - LOGICIELS

    JEUX VIDÉOS

    LOISIRS

    01NET PRO

    AVIS ET COMMENTAIRES

    A PROPOS DE 01NET

    Forum de 01net / Sécurité / System Security Version 4.51 (RESOLU)
    publicité
    > Promotion :
    Web to Date 5
    Profitez de -50% jusqu'au 15 novembre !

    Service 01net
    Newsletters 01net
    abonnez vous gratuitement !
    Actus
    Voir le dernier numéro
    Entreprise
    Voir le dernier numéro
      
    01Informatique
    01 INFORMATIQUE
    L'hebdo de référence des décideurs informatiques.
    Micro Hebdo
    MICRO HEBDO
    L'hebdo qui vous simplifie la micro
    et Internet.
    L'Ordinateur Individuel
    L'ORDINATEUR INDIVIDUEL
    Le mensuel informatique qui vous informe et vous conseille.
    Nous contacter  |  Charte de confiance  |  Voir notice légale

    01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
    Tous droits réservés © 1999 - 2009 Internext - 01net.