S'abonner :

Newsletters

Magazines

01men.

Avis sur les produits

Avis sur les logiciels

Avis sur les jeux

Actualités

A propos de 01net

199 utilisateurs connectés

Forum de 01net / Sécurité / Trojan indétronable pour mon niveau d'informatique....!

page précédente

1 - 2

page suivante

Trojan indétronable pour mon niveau d'informatique....!

leunam le 15 janvier 2009 à 13h15

Bonjour à toute l'équipe et bravo pour ce que vous faites !

Voici maintenant 4 jours que je me bats avec un trojan qui se nomme "Trojan-GameThief.Win32.Magania.aspi" et "Trojan-GameThief.Win32.Magania.asju" pour Kaspersky online et impossible de l'éradiquer avec Symantec endpoint 11 !!

Est ce que vous pourriez m'aider pour m'indiquer la marche à suivre pour m'en débarrasser ? merci d'avance

répondre

leunam le 15 janvier 2009 à 14h08

j'ai dit quelque chose que je ne devais pas, ou bien vous êtes surchargés de travail ?

Merci d'avance

répondre

totoftotof le 15 janvier 2009 à 14h13

bonjour

pas d'up à peine 1h après avoir posté votre message, ayez un minimum de patience

répondre

leunam le 15 janvier 2009 à 14h27

Veuillez accepter toutes mes confuses, je ne savais pas !

Je suis rassuré car quelqu'un m'a répondu ...!

Merci et encore pardon !

Je patiente et attends mon tour !

répondre

bzhatao le 15 janvier 2009 à 17h08

Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger-159-hijackthis
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,

A+

Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

répondre

leunam le 16 janvier 2009 à 14h24

Bonjour Bzhato,

Voici comme demandé mon log de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:45, on 16/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\RioMSC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DAEMON Tools Pro\DTProShellHlp.exe
C:\Program Files\Scan\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: PicLens plug-in for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Program Files\PicLensIE\PicLens.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = NDF.local
O17 - HKLM\Software\..\Telephony: DomainName = NDF.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAEEBB25-834B-496F-8A19-B23474ADB2B4}: NameServer = 194.206.126.253,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = NDF.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = NDF.local
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Client de gestion Symantec (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8985 bytes

Merci à vous.

répondre

bzhatao le 16 janvier 2009 à 14h58

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Tu l´installes; mets le a jour...(onglet mise a jour)

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

a+

répondre

leunam le 16 janvier 2009 à 19h45

Coucou Bzhatao,
Voici le scan de MAM :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3

16/01/2009 19:03:16
mbam-log-2009-01-16 (19-02-25).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 142172
Temps écoulé: 1 hour(s), 12 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\afmain1.dll (Trojan.Agent) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\afmain1.dll (Trojan.Agent) -> No action taken.

ainsi que le scan de Kaspersky en ligne si ça peux t'aider ! :

Friday, January 16, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Friday, January 16, 2009 11:13:24
Records in database: 1630661
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
C:\
D:\
E:\
Scan statistics
Files scanned 87249
Threat name 8
Infected objects 20
Suspicious objects 0
Duration of the scan 01:43:04

File name Threat name Threats count
C:\WINDOWS\system32\afmain1.dll/C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.WOW.eka 10
C:\Documents and Settings\informatique\Local Settings\Temporary Internet Files\Content.IE5\M9VY0QXF\help[1].rar Infected: Trojan.Win32.RaMag.a 1
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS\Activation WXPpro WGA Patcher Permanent Kit-1-1-2007\keyfinder.exe Infected: not-a-virus:PSWTool.Win32.RAS.g 1
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS\Activation WXPpro WGA Patcher Permanent Kit-1-1-2007\keyfinder.exe Infected: not-a-virus:PSWTool.Win32.RAS.a 1
C:\iq.bat Infected: Trojan-GameThief.Win32.Magania.asnx 1
C:\ve.exe Infected: Trojan-GameThief.Win32.Magania.asrm 1
C:\WINDOWS\CSC\d4\80001F83 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 3
C:\WINDOWS\system32\afmain0.dll Infected: Trojan-GameThief.Win32.Magania.aspi 1
C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.WOW.eka 1
The selected area was scanned.

merci de ton aide !

répondre

bzhatao le 16 janvier 2009 à 20h33

vas ds la quarentaine de malwarebytes et supprimes tout.

ensuite:

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

répondre

leunam le 16 janvier 2009 à 22h36

coucou Bzhatao,

Comme convenu, le rapport de SDfix:

SDFix: Version 1.240
Run by Informatique on 16/01/2009 at 22:10

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\autorun.inf - Deleted
C:\WINDOWS\expIorer.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 22:20:08
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"u0"=hex:1c,97,90,02,04,00,00,00,00,00,00,00,35,35,30,38,45,34,33,39,35,..
"h0"=dword:00000000
"hdf12"=hex:c6,8f,eb,d6,43,cf,d7,c8,fe,dc,fc,ae,86,be,5a,c1,7c,6e,82,cf,c7,..
"p0"="C:\Program Files\DAEMON Tools Pro\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,d0,bd,63,1d,db,41,6b,6c,00,fc,c0,d2,84,6b,38,22,06,..
"hdf12"=hex:f9,ea,49,48,34,d3,1e,df,81,56,45,6a,6b,a9,61,d7,9c,e7,6e,94,bb,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:8b,14,af,b9,ad,31,45,e7,49,22,b3,a1,61,10,71,c2,3b,52,92,16,89,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"u0"=hex:1c,97,90,02,04,00,00,00,00,00,00,00,35,35,30,38,45,34,33,39,35,..
"h0"=dword:00000000
"hdf12"=hex:c6,8f,eb,d6,43,cf,d7,c8,fe,dc,fc,ae,86,be,5a,c1,7c,6e,82,cf,c7,..
"p0"="C:\Program Files\DAEMON Tools Pro\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,d0,bd,63,1d,db,41,6b,6c,00,fc,c0,d2,84,6b,38,22,06,..
"hdf12"=hex:f9,ea,49,48,34,d3,1e,df,81,56,45,6a,6b,a9,61,d7,9c,e7,6e,94,bb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:8b,14,af,b9,ad,31,45,e7,49,22,b3,a1,61,10,71,c2,3b,52,92,16,89,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"E:\\Logiciels\\O&ODefragProEditionPortable\\Thinstall\\O&O Defrag Professional Edition\\40000010900002i\\OODAG.EXE"="E:\\Logiciels\\O&ODefragProEditionPortable\\Thinstall\\O&O Defrag Professional Edition\\40000010900002i\\OODAG.EXE:*:Enabled:OODAG"
"C:\\Program Files\\RayV\\RayV\\RayV.exe"="C:\\Program Files\\RayV\\RayV\\RayV.exe:*:Enabled:RayV"
"C:\\Program Files\\Ekiga\\ekiga.exe"="C:\\Program Files\\Ekiga\\ekiga.exe:*:Enabled:ekiga"
"C:\\Program Files\\DipiSoft\\IPScan32\\IPScan32.exe"="C:\\Program Files\\DipiSoft\\IPScan32\\IPScan32.exe:*:Enabled:1. IPScan32"
"C:\\Program Files\\DipiSoft\\WakeOnLan\\WakeOnLan.exe"="C:\\Program Files\\DipiSoft\\WakeOnLan\\WakeOnLan.exe:*:Enabled:1. WakeOnLan"
"C:\\Documents and Settings\\informatique\\temp\\TeamViewer\\Version4\\TeamViewer.exe"="C:\\Documents and Settings\\informatique\\temp\\TeamViewer\\Version4\\TeamViewer.exe:*:Enabled:Application de pilotage … distance TeamViewer"
"C:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"="C:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe:*:Enabled:Application de pilotage … distance TeamViewer"
"C:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"="C:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll:*:Enabled:Google Talk Plugin"
"C:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"="C:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe:*:Enabled:Google Talk Plugin"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\RayV\\RayV\\RayV.exe"="C:\\Program Files\\RayV\\RayV\\RayV.exe:*:Enabled:RayV"
"C:\\Program Files\\Ekiga\\ekiga.exe"="C:\\Program Files\\Ekiga\\ekiga.exe:*:Enabled:ekiga"
"C:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"="C:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe:*:Enabled:Application de pilotage … distance TeamViewer"
"C:\\Program Files\\Symantec\\Symantec Endpoint Protection\\Smc.exe"="C:\\Program Files\\Symantec\\Symantec Endpoint Protection\\Smc.exe:*:Enabled:SMC Service"
"C:\\Program Files\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"="C:\\Program Files\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE:*:Enabled:SNAC Service"
"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe:*:Enabled:Symantec Email"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 15 Jan 2009 110,883 ..SHR --- "C:\ve.exe"
Fri 16 Jan 2009 110,003 ..SHR --- "C:\x2csvg.exe"
Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Mon 14 Apr 2008 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Fri 10 Oct 2008 6,108,728 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Fri 16 Jan 2009 95,744 ..SHR --- "C:\WINDOWS\system32\nmdfgds0.dll"
Fri 16 Jan 2009 95,744 ..SHR --- "C:\WINDOWS\system32\nmdfgds1.dll"
Fri 16 Jan 2009 110,003 ..SHR --- "C:\WINDOWS\system32\olhrwef.exe"
Fri 28 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\NDF\Application Data\U3\temp\Launchpad Removal.exe"
Tue 29 Apr 2008 1,830,912 A.SH. --- "C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\IMAGES PERSOS\Photos\mars 2008\SIVD2.tmp"

Finished!

J'ai un peu de mal à tout suivre, mais tu pourra peut-etre me faire un résumé quand tout sera clean ?
Merci encore de ton aide.

répondre

bzhatao le 16 janvier 2009 à 22h43

ok on verra ca a la fin...

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

répondre

leunam le 16 janvier 2009 à 22h56

coucou Bzhatao,

Rapport ComboFix:

ComboFix 09-01-13.04 - Informatique 2009-01-16 22:44:03.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2038.1553 [GMT 1:00]
Lancé depuis: c:\documents and settings\informatique\Bureau\ComboFix.exe
AV: Symantec Endpoint Protection *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

[B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\iq.bat
c:\windows\msvrc20.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-16 au 2009-01-16 ))))))))))))))))))))))))))))))))))))
.

2009-01-16 22:09 . 2009-01-16 22:09 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-16 22:08 . 2009-01-16 22:08 <REP> d-------- c:\windows\ERUNT
2009-01-16 22:04 . 2009-01-16 22:22 <REP> d-------- C:\SDFix
2009-01-16 10:45 . 2009-01-16 10:45 <REP> d-------- C:\46ac15ef8e23caac26af13fb3c0fb7
2009-01-16 08:16 . 2009-01-16 22:12 110,003 -r-hs---- C:\x2csvg.exe
2009-01-15 17:08 . 2009-01-15 17:13 <REP> d-------- c:\program files\Symantec
2009-01-15 17:08 . 2009-01-15 17:13 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-15 17:08 . 2009-01-15 17:13 60,808 --a------ c:\windows\system32\S32EVNT1.DLL
2009-01-15 17:08 . 2009-01-15 17:13 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT
2009-01-15 17:08 . 2009-01-15 17:13 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF
2009-01-15 14:26 . 2009-01-16 14:14 <REP> d-------- c:\program files\Scan
2009-01-15 09:33 . 2009-01-15 09:31 110,883 -r-hs---- C:\ve.exe
2009-01-15 09:33 . 2009-01-16 22:12 110,003 -r-hs---- c:\windows\system32\olhrwef.exe
2009-01-15 09:33 . 2009-01-16 22:25 95,744 -r-hs---- c:\windows\system32\nmdfgds0.dll
2009-01-14 14:26 . 2009-01-14 16:59 <REP> d-------- c:\documents and settings\informatique\.housecall6.6
2009-01-14 13:23 . 2009-01-16 19:28 95,744 -r-hs---- c:\windows\system32\nmdfgds1.dll
2009-01-13 16:33 . 2009-01-13 16:33 0 --a------ c:\windows\system32\tport.tmp
2009-01-13 16:33 . 2009-01-13 16:33 0 --a------ c:\windows\system32\shport.tmp
2009-01-13 16:33 . 2009-01-13 16:33 0 --a------ c:\windows\system32\pport.tmp
2009-01-13 16:00 . 2009-01-13 16:00 <REP> d-------- c:\documents and settings\informatique\DoctorWeb
2009-01-13 14:00 . 2009-01-14 10:51 <REP> d-------- c:\program files\UsbFix
2009-01-13 12:49 . 2009-01-13 13:48 <REP> d-------- c:\program files\a-squared Free
2009-01-13 11:49 . 2009-01-13 11:49 <REP> d-------- c:\documents and settings\informatique\Application Data\skypePM
2009-01-13 11:49 . 2009-01-13 11:49 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-01-13 08:57 . 2009-01-13 08:57 <REP> d-------- c:\program files\CCleaner
2009-01-12 14:58 . 2009-01-12 14:58 <REP> d-------- c:\documents and settings\informatique\Application Data\GlarySoft
2009-01-12 14:51 . 2009-01-12 14:51 <REP> d-------- c:\program files\Glary Utilities
2009-01-12 11:41 . 2008-04-14 03:34 70,656 --a------ c:\windows\AhnRpta.exe
2009-01-09 21:32 . 2009-01-09 23:12 <REP> d-------- c:\program files\EsetOnlineScanner
2009-01-09 20:45 . 2009-01-09 21:29 <REP> d-------- c:\windows\BDOSCAN8
2009-01-07 15:53 . 2009-01-07 15:53 <REP> d-------- c:\documents and settings\informatique\Application Data\OpenOffice.org
2009-01-03 23:03 . 2009-01-16 16:08 <REP> d-------- c:\documents and settings\informatique\Application Data\dvdcss
2008-12-24 13:33 . 2008-12-24 13:33 <REP> d-------- c:\documents and settings\LocalService\Application Data\TeamViewer
2008-12-23 13:59 . 2008-12-23 14:00 <REP> d-------- c:\documents and settings\All Users\Application Data\EPSON
2008-12-23 13:59 . 2006-08-10 02:02 75,264 --a------ c:\windows\system32\E_FLBBGE.DLL
2008-12-23 13:59 . 2006-04-19 02:00 62,976 --a------ c:\windows\system32\E_FD4BBGE.DLL
2008-12-23 13:59 . 2004-09-10 20:12 49,152 --a------ c:\windows\system32\E_DCINST.DLL
2008-12-21 11:53 . 2008-12-21 11:54 <REP> d-------- c:\documents and settings\informatique\Application Data\Dr. DivX 2.0 OSS
2008-12-18 15:10 . 2008-12-18 15:10 <REP> d-------- c:\documents and settings\informatique\Application Data\gtk-2.0
2008-12-18 15:10 . 2008-12-18 15:10 <REP> d-------- c:\documents and settings\informatique\.zenmap
2008-12-18 15:09 . 2008-12-18 15:09 <REP> d-------- c:\program files\WinPcap
2008-12-18 14:32 . 2008-12-18 14:32 <REP> d-------- c:\program files\Fichiers communs\Skype
2008-12-18 14:32 . 2009-01-13 14:03 <REP> d-------- c:\documents and settings\informatique\Application Data\Skype
2008-12-18 14:27 . 2008-12-18 14:28 <REP> d-------- c:\documents and settings\informatique\Application Data\vlc
2008-12-18 14:19 . 2008-12-18 14:19 <REP> d-------- c:\documents and settings\informatique\.bitrock
2008-12-18 14:17 . 2008-12-18 14:17 <REP> d-------- c:\program files\Secunia
2008-12-18 13:59 . 2008-09-02 15:02 <REP> d-------- c:\program files\PDF-XchangeViewerPortable
2008-12-18 08:42 . 2008-12-18 08:42 <REP> d-------- c:\program files\TeamViewer
2008-12-18 08:34 . 2008-12-18 08:34 <REP> d-------- c:\documents and settings\informatique\temp
2008-12-18 08:34 . 2008-12-19 14:18 <REP> d-------- c:\documents and settings\informatique\Application Data\TeamViewer
2008-12-17 10:34 . 2008-12-17 10:34 <REP> d-------- c:\documents and settings\informatique\Application Data\Foxit
2008-12-16 12:39 . 2008-12-16 12:39 <REP> d-------- c:\program files\IObit

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 15:10 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-01-16 13:59 --------- d-----w c:\program files\Mozilla Thunderbird
2009-01-16 09:42 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-01-15 16:13 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
2009-01-15 16:09 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-14 09:38 --------- d-----w c:\program files\Alwil Software
2009-01-12 14:53 --------- d-----w c:\program files\eMule
2009-01-12 14:52 --------- d-----w c:\program files\Toshiba
2009-01-09 20:05 --------- d-----w c:\program files\Spyware Doctor
2009-01-09 19:43 --------- d-----w c:\program files\UltraVNC
2008-12-21 12:49 --------- d-----w c:\program files\DivX
2008-12-19 17:14 --------- d-----w c:\program files\BitComet
2008-12-18 14:02 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-12-18 13:20 --------- d-----w c:\program files\Java
2008-12-18 13:19 --------- d-----w c:\program files\iWizz
2008-12-13 12:32 --------- d-----w c:\program files\DAEMON Tools Pro
2008-12-11 11:24 --------- d-----w c:\program files\KoxoLogin
2008-12-11 11:21 --------- d-----w c:\documents and settings\informatique\Application Data\U3
2008-12-11 11:16 --------- d-----w c:\program files\OpenOffice.org 3
2008-12-11 11:16 --------- d-----w c:\program files\JRE
2008-12-11 11:15 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 14:17 7,808 ----a-w c:\windows\system32\drivers\psi_mf.sys
2008-12-10 10:39 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-10 09:12 --------- d-----w c:\program files\NetMeter
2008-12-09 16:06 43,386,048 ----a-w c:\program files\vnc
2008-12-09 12:26 --------- d-----w c:\program files\DipiSoft
2008-12-03 11:50 --------- d-----w c:\documents and settings\informatique\Application Data\OpenOffice.org2
2008-11-30 13:44 --------- d-----w c:\documents and settings\NDF\Application Data\Apple Computer
2008-11-28 13:04 --------- d-----w c:\documents and settings\informatique\Application Data\Apple Computer
2008-11-27 09:36 --------- d-----w c:\program files\PhotoshopCS3Portable
2008-11-24 12:35 --------- d-----w c:\program files\Realtek
2008-11-24 11:55 --------- d-----w c:\program files\Driver-Soft
2008-11-24 07:06 --------- d-----w c:\documents and settings\informatique\Application Data\Canneverbe_Limited
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-10-28 16:18 17,331,200 ----a-w c:\windows\RTHDCPL.EXE
2008-10-27 17:12 34,816 ----a-w c:\windows\system32\RtkCoInstXP.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-03-31 14:08 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2006-12-12 09:13 32,768 ----a-w c:\documents and settings\All Users\Application Data\EBLib.dll
2006-07-28 14:25 19,456 ----a-w c:\documents and settings\All Users\Application Data\LPCFilter.sys
2008-09-02 06:41 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090220080903\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"cdoosoft"="c:\windows\system32\olhrwef.exe" [2009-01-16 110003]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-13 115560]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 437160]

c:\documents and settings\informatique\Menu D‚marrer\Programmes\D‚marrage\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2008-12-17 748840]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain1.dll" [2008-04-14 78848]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^Ekiga.lnk]
backup=c:\windows\pss\Ekiga.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk]
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^Secunia PSI.lnk]
path=c:\documents and settings\informatique\Menu Démarrer\Programmes\Démarrage\Secunia PSI.lnk
backup=c:\windows\pss\Secunia PSI.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^NDF^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RayV

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
--a------ 2004-03-24 13:40 196608 c:\program files\Apoint2K\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
--a------ 2007-05-22 10:50 413696 c:\program files\Camera Assistant Software for Toshiba\traybar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CarryLaunch]
--a------ 2008-04-16 16:54 45056 c:\documents and settings\informatique\Application Data\CoSoSys\CarryItEasy\CarryLaunch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]
--a------ 2007-07-06 05:49 651264 c:\program files\Toshiba\E-KEY\CeEKey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
--a------ 2008-10-09 13:53 200136 c:\program files\DAEMON Tools Pro\DTProAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DDWMon]
--a------ 2007-04-26 10:49 495616 c:\program files\Toshiba\TOSHIBA Direct Disc Writer\DDWMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D78 Series]
--a------ 2006-09-22 04:01 139264 c:\windows\system32\spool\drivers\w32x86\3\E_FATIBGE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2009-01-12 16:33 119280 c:\documents and settings\informatique\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2007-06-01 23:13 162584 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HWSetup]
--a------ 2004-05-01 12:45 28672 c:\program files\Toshiba\TOSHIBA Applet\HWSetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2007-06-01 23:13 142104 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2007-06-01 23:13 138008 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
--a------ 2008-06-12 11:54 1058304 c:\program files\Spyware Doctor\SDTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2007-05-11 10:59 143360 c:\program files\Toshiba\Utilitaire de zoom TOSHIBA\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-12-10 11:39 136600 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SVPWUTIL]
--a------ 2006-05-25 10:17 65536 c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-06-03 09:24 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
--a------ 2008-04-14 03:34 143872 c:\windows\system32\mobsync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\topi]
--a------ 2007-07-10 08:24 581632 c:\program files\Toshiba\Toshiba Online Product Information\TOPI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2005-04-11 15:08 65536 c:\program files\Toshiba\TOSCDSPD\TOSCDSPD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPNF]
--a------ 2007-06-01 04:40 53248 c:\program files\Toshiba\TouchPad\TPTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2008-06-19 16:20 57344 c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-10-28 17:18 17331200 c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCtryIOHook]
--a------ 2007-06-30 07:18 28672 c:\windows\system32\TCtrlIOHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TDispVol]
--a------ 2005-12-27 12:06 73728 c:\windows\system32\TDispVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
--a------ 2005-08-12 10:14 266240 c:\windows\system32\TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zooming]
--a------ 2005-06-06 08:58 24576 c:\windows\system32\ZoomingHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\DipiSoft\\IPScan32\\IPScan32.exe"=
"c:\\Program Files\\DipiSoft\\WakeOnLan\\WakeOnLan.exe"=
"c:\\Documents and Settings\\informatique\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11091:TCP"= 11091:TCP:BitComet 11091 TCP
"11091:UDP"= 11091:UDP:BitComet 11091 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-01-15 112688]
R4 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R4 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R4 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 30312]
R4 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [2007-03-26 105856]
R4 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [2007-02-19 134016]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-04-17 1527900]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976]
S3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-06-01 34064]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe [2008-06-12 742216]
S3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys --> c:\windows\system32\DRIVERS\TpChoice.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30a9a8f4-8a00-11dd-9eba-001cbfb90d95}]
\Shell\AutoRun\command - F:\x2csvg.exe
\Shell\open\Command - F:\x2csvg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55fb46fa-014c-11dd-9e06-001cbfb90d95}]
\Shell\AutoRun\command - G:\x2csvg.exe
\Shell\open\Command - G:\x2csvg.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-16 c:\windows\Tasks\User_Feed_Synchronization-{5CC33BBA-EED8-437E-99B4-44AD2732FCCE}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-Symantec Antvirus
MSConfigStartUp-vamsoft - c:\windows\system32\vamsoft.exe
MSConfigStartUp-CFSServ - CFSServ.exe
MSConfigStartUp-NDSTray - NDSTray.exe
MSConfigStartUp-TFncKy - TFncKy.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {CAEEBB25-834B-496F-8A19-B23474ADB2B4} = 194.206.126.253,208.67.222.222

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\documents and settings\informatique\Application Data\Mozilla\Firefox\Profiles\6ze83rr2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\informatique\Application Data\Mozilla\Firefox\Profiles\6ze83rr2.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\documents and settings\informatique\Application Data\Mozilla\Firefox\Profiles\6ze83rr2.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\documents and settings\informatique\Application Data\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\documents and settings\informatique\Local Settings\Application Data\Google\Update\1.2.133.33\npGoogleOneClick7.dll
FF - plugin: c:\program files\Picasa2\npPicasa2.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: content.max.tokenizing.time - 1500000
FF - user.js: content.notify.interval - 750000
FF - user.js: nglayout.initialpaint.delay - 100
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 22:45:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"="a"
.
Heure de fin: 2009-01-16 22:46:21
ComboFix-quarantined-files.txt 2009-01-16 21:46:19

Avant-CF: 121 336 975 360 octets libres
Après-CF: 121,350,582,272 octets libres

335 --- E O F --- 2009-01-15 07:06:43

merci !

répondre

leunam le 16 janvier 2009 à 23h25

Coucou Bzhatao,

Pour ce soir, je vais m'arrêter là !
Bonne nuit à toi, et à demain !
Encore Merci.

répondre

bzhatao le 16 janvier 2009 à 23h33

1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Services

:Reg

c:\windows\system32\vamsoft.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

répondre

bzhatao le 16 janvier 2009 à 23h36

excuses....la suite:
et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

répondre

leunam le 17 janvier 2009 à 10h49

Bonjour,
J'ai un petit probleme avec OTMoveIt3

Il ne répond pas !

Capture d'écran:

excuse c'est pas un vrai lien !

merci

répondre

bzhatao le 17 janvier 2009 à 13h27

ok
on va procéder differement...

!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.

Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

File::
c:\windows\system32\vamsoft.exe

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).

- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).

répondre

leunam le 17 janvier 2009 à 14h21

coucou Bzhatao,

Comme convenu rapport ComboFix:

ComboFix 09-01-16.03 - Informatique 2009-01-17 14:09:26.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2038.1506 [GMT 1:00]
Lancé depuis: c:\documents and settings\informatique\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\informatique\Bureau\CFScript.txt
AV: Symantec Endpoint Protection *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\vamsoft.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-17 au 2009-01-17 ))))))))))))))))))))))))))))))))))))
.

2009-01-17 09:32 . 2009-01-17 09:32 <REP> d-------- C:\_OTMoveIt
2009-01-17 09:27 . 2009-01-17 09:27 <REP> d-------- C:\70b121a36220e6ceb3
2009-01-16 22:09 . 2009-01-16 22:09 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-16 22:08 . 2009-01-16 22:08 <REP> d-------- c:\windows\ERUNT
2009-01-16 22:04 . 2009-01-16 22:22 <REP> d-------- C:\SDFix
2009-01-16 10:45 . 2009-01-16 10:45 <REP> d-------- C:\46ac15ef8e23caac26af13fb3c0fb7
2009-01-16 08:16 . 2009-01-17 13:06 110,003 -r-hs---- C:\x2csvg.exe
2009-01-15 17:08 . 2009-01-15 17:13 <REP> d-------- c:\program files\Symantec
2009-01-15 17:08 . 2009-01-15 17:13 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-15 17:08 . 2009-01-15 17:13 60,808 --a------ c:\windows\system32\S32EVNT1.DLL
2009-01-15 17:08 . 2009-01-15 17:13 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT
2009-01-15 17:08 . 2009-01-15 17:13 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF
2009-01-15 14:26 . 2009-01-16 14:14 <REP> d-------- c:\program files\Scan
2009-01-15 09:33 . 2009-01-15 09:31 110,883 -r-hs---- C:\ve.exe
2009-01-15 09:33 . 2009-01-17 13:06 110,003 -r-hs---- c:\windows\system32\olhrwef.exe
2009-01-15 09:33 . 2009-01-17 12:57 95,744 --------- c:\windows\system32\nmdfgds0.dll
2009-01-14 14:26 . 2009-01-14 16:59 <REP> d-------- c:\documents and settings\informatique\.housecall6.6
2009-01-14 13:23 . 2009-01-17 13:06 95,744 -r-hs---- c:\windows\system32\nmdfgds1.dll
2009-01-13 16:33 . 2009-01-13 16:33 0 --a------ c:\windows\system32\tport.tmp
2009-01-13 16:33 . 2009-01-13 16:33 0 --a------ c:\windows\system32\shport.tmp
2009-01-13 16:33 . 2009-01-13 16:33 0 --a------ c:\windows\system32\pport.tmp
2009-01-13 16:00 . 2009-01-13 16:00 <REP> d-------- c:\documents and settings\informatique\DoctorWeb
2009-01-13 14:00 . 2009-01-14 10:51 <REP> d-------- c:\program files\UsbFix
2009-01-13 12:49 . 2009-01-13 13:48 <REP> d-------- c:\program files\a-squared Free
2009-01-13 11:49 . 2009-01-13 11:49 <REP> d-------- c:\documents and settings\informatique\Application Data\skypePM
2009-01-13 11:49 . 2009-01-13 11:49 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-01-13 08:57 . 2009-01-13 08:57 <REP> d-------- c:\program files\CCleaner
2009-01-12 14:58 . 2009-01-12 14:58 <REP> d-------- c:\documents and settings\informatique\Application Data\GlarySoft
2009-01-12 14:51 . 2009-01-12 14:51 <REP> d-------- c:\program files\Glary Utilities
2009-01-12 11:41 . 2008-04-14 03:34 70,656 --a------ c:\windows\AhnRpta.exe
2009-01-09 21:32 . 2009-01-09 23:12 <REP> d-------- c:\program files\EsetOnlineScanner
2009-01-09 20:45 . 2009-01-09 21:29 <REP> d-------- c:\windows\BDOSCAN8
2009-01-07 15:53 . 2009-01-07 15:53 <REP> d-------- c:\documents and settings\informatique\Application Data\OpenOffice.org
2009-01-03 23:03 . 2009-01-16 16:08 <REP> d-------- c:\documents and settings\informatique\Application Data\dvdcss
2008-12-24 13:33 . 2008-12-24 13:33 <REP> d-------- c:\documents and settings\LocalService\Application Data\TeamViewer
2008-12-23 13:59 . 2008-12-23 14:00 <REP> d-------- c:\documents and settings\All Users\Application Data\EPSON
2008-12-23 13:59 . 2006-08-10 02:02 75,264 --a------ c:\windows\system32\E_FLBBGE.DLL
2008-12-23 13:59 . 2006-04-19 02:00 62,976 --a------ c:\windows\system32\E_FD4BBGE.DLL
2008-12-23 13:59 . 2004-09-10 20:12 49,152 --a------ c:\windows\system32\E_DCINST.DLL
2008-12-21 11:53 . 2008-12-21 11:54 <REP> d-------- c:\documents and settings\informatique\Application Data\Dr. DivX 2.0 OSS
2008-12-18 15:10 . 2008-12-18 15:10 <REP> d-------- c:\documents and settings\informatique\Application Data\gtk-2.0
2008-12-18 15:10 . 2008-12-18 15:10 <REP> d-------- c:\documents and settings\informatique\.zenmap
2008-12-18 15:09 . 2008-12-18 15:09 <REP> d-------- c:\program files\WinPcap
2008-12-18 14:32 . 2008-12-18 14:32 <REP> d-------- c:\program files\Fichiers communs\Skype
2008-12-18 14:32 . 2009-01-13 14:03 <REP> d-------- c:\documents and settings\informatique\Application Data\Skype
2008-12-18 14:27 . 2008-12-18 14:28 <REP> d-------- c:\documents and settings\informatique\Application Data\vlc
2008-12-18 14:19 . 2008-12-18 14:19 <REP> d-------- c:\documents and settings\informatique\.bitrock
2008-12-18 14:17 . 2008-12-18 14:17 <REP> d-------- c:\program files\Secunia
2008-12-18 13:59 . 2008-09-02 15:02 <REP> d-------- c:\program files\PDF-XchangeViewerPortable
2008-12-18 08:42 . 2008-12-18 08:42 <REP> d-------- c:\program files\TeamViewer
2008-12-18 08:34 . 2008-12-18 08:34 <REP> d-------- c:\documents and settings\informatique\temp
2008-12-18 08:34 . 2008-12-19 14:18 <REP> d-------- c:\documents and settings\informatique\Application Data\TeamViewer
2008-12-17 10:34 . 2008-12-17 10:34 <REP> d-------- c:\documents and settings\informatique\Application Data\Foxit

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 15:10 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-01-16 13:59 --------- d-----w c:\program files\Mozilla Thunderbird
2009-01-16 09:42 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-01-15 16:13 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
2009-01-15 16:09 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-14 09:38 --------- d-----w c:\program files\Alwil Software
2009-01-12 14:53 --------- d-----w c:\program files\eMule
2009-01-12 14:52 --------- d-----w c:\program files\Toshiba
2009-01-09 20:05 --------- d-----w c:\program files\Spyware Doctor
2009-01-09 19:43 --------- d-----w c:\program files\UltraVNC
2008-12-21 12:49 --------- d-----w c:\program files\DivX
2008-12-19 17:14 --------- d-----w c:\program files\BitComet
2008-12-18 14:02 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-12-18 13:20 --------- d-----w c:\program files\Java
2008-12-18 13:19 --------- d-----w c:\program files\iWizz
2008-12-16 11:39 --------- d-----w c:\program files\IObit
2008-12-13 12:32 --------- d-----w c:\program files\DAEMON Tools Pro
2008-12-11 11:24 --------- d-----w c:\program files\KoxoLogin
2008-12-11 11:21 --------- d-----w c:\documents and settings\informatique\Application Data\U3
2008-12-11 11:16 --------- d-----w c:\program files\OpenOffice.org 3
2008-12-11 11:16 --------- d-----w c:\program files\JRE
2008-12-11 11:15 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 14:17 7,808 ----a-w c:\windows\system32\drivers\psi_mf.sys
2008-12-10 10:39 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-10 09:12 --------- d-----w c:\program files\NetMeter
2008-12-09 16:06 43,386,048 ----a-w c:\program files\vnc
2008-12-09 12:26 --------- d-----w c:\program files\DipiSoft
2008-12-03 11:50 --------- d-----w c:\documents and settings\informatique\Application Data\OpenOffice.org2
2008-11-30 13:44 --------- d-----w c:\documents and settings\NDF\Application Data\Apple Computer
2008-11-28 13:04 --------- d-----w c:\documents and settings\informatique\Application Data\Apple Computer
2008-11-27 09:36 --------- d-----w c:\program files\PhotoshopCS3Portable
2008-11-24 12:35 --------- d-----w c:\program files\Realtek
2008-11-24 11:55 --------- d-----w c:\program files\Driver-Soft
2008-11-24 07:06 --------- d-----w c:\documents and settings\informatique\Application Data\Canneverbe_Limited
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-10-28 16:18 17,331,200 ----a-w c:\windows\RTHDCPL.EXE
2008-10-27 17:12 34,816 ----a-w c:\windows\system32\RtkCoInstXP.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-03-31 14:08 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2006-12-12 09:13 32,768 ----a-w c:\documents and settings\All Users\Application Data\EBLib.dll
2006-07-28 14:25 19,456 ----a-w c:\documents and settings\All Users\Application Data\LPCFilter.sys
2008-09-02 06:41 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090220080903\index.dat
.

((((((((((((((((((((((((((((( snapshot@2009-01-16_22.45.34,68 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-01-17 11:55:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_33c.dat
+ 2009-01-17 11:55:31 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_58c.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"cdoosoft"="c:\windows\system32\olhrwef.exe" [2009-01-17 110003]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-13 115560]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 437160]

c:\documents and settings\informatique\Menu D‚marrer\Programmes\D‚marrage\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2008-12-17 748840]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain0.dll" [2008-04-14 78848]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^Ekiga.lnk]
backup=c:\windows\pss\Ekiga.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk]
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^informatique^Menu Démarrer^Programmes^Démarrage^Secunia PSI.lnk]
path=c:\documents and settings\informatique\Menu Démarrer\Programmes\Démarrage\Secunia PSI.lnk
backup=c:\windows\pss\Secunia PSI.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^NDF^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
--a------ 2004-03-24 13:40 196608 c:\program files\Apoint2K\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
--a------ 2007-05-22 10:50 413696 c:\program files\Camera Assistant Software for Toshiba\traybar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CarryLaunch]
--a------ 2008-04-16 16:54 45056 c:\documents and settings\informatique\Application Data\CoSoSys\CarryItEasy\CarryLaunch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]
--a------ 2007-07-06 05:49 651264 c:\program files\Toshiba\E-KEY\CeEKey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
--a------ 2008-10-09 13:53 200136 c:\program files\DAEMON Tools Pro\DTProAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DDWMon]
--a------ 2007-04-26 10:49 495616 c:\program files\Toshiba\TOSHIBA Direct Disc Writer\DDWMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D78 Series]
--a------ 2006-09-22 04:01 139264 c:\windows\system32\spool\drivers\w32x86\3\E_FATIBGE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2009-01-12 16:33 119280 c:\documents and settings\informatique\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2007-06-01 23:13 162584 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HWSetup]
--a------ 2004-05-01 12:45 28672 c:\program files\Toshiba\TOSHIBA Applet\HWSetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2007-06-01 23:13 142104 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2007-06-01 23:13 138008 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
--a------ 2008-06-12 11:54 1058304 c:\program files\Spyware Doctor\SDTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2007-05-11 10:59 143360 c:\program files\Toshiba\Utilitaire de zoom TOSHIBA\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-12-10 11:39 136600 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SVPWUTIL]
--a------ 2006-05-25 10:17 65536 c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-06-03 09:24 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
--a------ 2008-04-14 03:34 143872 c:\windows\system32\mobsync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\topi]
--a------ 2007-07-10 08:24 581632 c:\program files\Toshiba\Toshiba Online Product Information\TOPI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2005-04-11 15:08 65536 c:\program files\Toshiba\TOSCDSPD\TOSCDSPD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPNF]
--a------ 2007-06-01 04:40 53248 c:\program files\Toshiba\TouchPad\TPTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2008-06-19 16:20 57344 c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-10-28 17:18 17331200 c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCtryIOHook]
--a------ 2007-06-30 07:18 28672 c:\windows\system32\TCtrlIOHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TDispVol]
--a------ 2005-12-27 12:06 73728 c:\windows\system32\TDispVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
--a------ 2005-08-12 10:14 266240 c:\windows\system32\TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zooming]
--a------ 2005-06-06 08:58 24576 c:\windows\system32\ZoomingHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\DipiSoft\\IPScan32\\IPScan32.exe"=
"c:\\Program Files\\DipiSoft\\WakeOnLan\\WakeOnLan.exe"=
"c:\\Documents and Settings\\informatique\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\informatique\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11091:TCP"= 11091:TCP:BitComet 11091 TCP
"11091:UDP"= 11091:UDP:BitComet 11091 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-01-15 112688]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
R4 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R4 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R4 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 30312]
R4 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [2007-03-26 105856]
R4 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [2007-02-19 134016]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-04-17 1527900]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976]
S3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-06-01 34064]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe [2008-06-12 742216]
S3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys --> c:\windows\system32\DRIVERS\TpChoice.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30a9a8f4-8a00-11dd-9eba-001cbfb90d95}]
\Shell\AutoRun\command - F:\x2csvg.exe
\Shell\open\Command - F:\x2csvg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55fb46fa-014c-11dd-9e06-001cbfb90d95}]
\Shell\AutoRun\command - G:\x2csvg.exe
\Shell\open\Command - G:\x2csvg.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-16 c:\windows\Tasks\User_Feed_Synchronization-{5CC33BBA-EED8-437E-99B4-44AD2732FCCE}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {CAEEBB25-834B-496F-8A19-B23474ADB2B4} = 194.206.126.253,208.67.222.222

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\documents and settings\informatique\Application Data\Mozilla\Firefox\Profiles\6ze83rr2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\informatique\Application Data\Mozilla\Firefox\Profiles\6ze83rr2.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\documents and settings\informatique\Application Data\Mozilla\Firefox\Profiles\6ze83rr2.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\documents and settings\informatique\Application Data\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\documents and settings\informatique\Local Settings\Application Data\Google\Update\1.2.133.33\npGoogleOneClick7.dll
FF - plugin: c:\program files\Picasa2\npPicasa2.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: content.max.tokenizing.time - 1500000
FF - user.js: content.notify.interval - 750000
FF - user.js: nglayout.initialpaint.delay - 100
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 14:10:42
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"="a"
.
Heure de fin: 2009-01-17 14:12:00
ComboFix-quarantined-files.txt 2009-01-17 13:11:58
ComboFix2.txt 2009-01-16 21:46:22

Avant-CF: 122,722,623,488 octets libres
Après-CF: 122,687,442,944 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

332 --- E O F --- 2009-01-17 08:27:45

Merci.

répondre

bzhatao le 17 janvier 2009 à 15h17

donne des nouvelles du pc stp...

a+

répondre

leunam le 17 janvier 2009 à 15h47

Coucou,

J'ai pas bien compris ton dernier post, cela voudrait-il dire que le pc est propre ...???

Si c'est le cas:

- je voudrais commencer par te remercier SINCEREMENT !

- Ensuite est-ce que je peux caresser l'espoir d'avoir un "minirésumé" ? (j'aimerai juste comprendre les différentes étapes en gros!)

- est-ce que je marque "résolu" ?

Merci encore et attends ta réponse !

à plus tard Bzhatao !

répondre

bzhatao le 17 janvier 2009 à 16h05

pas trop vite stp....

refais 1 scan kapersky pour voir et colle
la rapport..

a+

répondre

leunam le 17 janvier 2009 à 18h01

Coucou Bzhatao,

Tu avais raison, je vais un peu vite....

Voici le rapport Kaspaersky, c'est pas jojo...:

Saturday, January 17, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, January 17, 2009 13:40:33
Records in database: 1636585
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
C:\
D:\
E:\
Scan statistics
Files scanned 87331
Threat name 8
Infected objects 44
Suspicious objects 0
Duration of the scan 01:43:28

File name Threat name Threats count
C:\WINDOWS\system32\afmain1.dll/C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.Magania.asxh 7
C:\Documents and Settings\informatique\Local Settings\Temporary Internet Files\Content.IE5\HYMMVCUS\ddr[1].rar Infected: Trojan.Win32.RaMag.a 1
C:\Documents and Settings\informatique\Local Settings\Temporary Internet Files\Content.IE5\HYMMVCUS\help[1].rar Infected: Trojan.Win32.RaMag.a 1
C:\Documents and Settings\informatique\Local Settings\Temporary Internet Files\Content.IE5\Q77GSAIN\help[2].rar Infected: Trojan.Win32.RaMag.a 1
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS\Activation WXPpro WGA Patcher Permanent Kit-1-1-2007\keyfinder.exe Infected: not-a-virus:PSWTool.Win32.RAS.g 1
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS\Activation WXPpro WGA Patcher Permanent Kit-1-1-2007\keyfinder.exe Infected: not-a-virus:PSWTool.Win32.RAS.a 1
C:\Qoobox\Quarantine\C\autorun.inf.vir Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\Qoobox\Quarantine\C\iq.bat.vir Infected: Trojan-GameThief.Win32.Magania.asnx 1
C:\SDFix\backups\backups.zip Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP1\A0000001.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP1\A0000002.inf Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP2\A0000006.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP2\A0000007.inf Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP2\A0000011.bat Infected: Trojan-GameThief.Win32.Magania.asnx 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP2\A0000054.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP2\A0000062.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP2\A0000063.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0000065.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0000066.inf Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001074.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001075.inf Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001078.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001079.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001086.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001087.inf Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001088.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP3\A0001089.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP4\A0001131.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP4\A0001132.inf Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP4\A0001176.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\System Volume Information\_restore{87174C72-8EDC-44CE-8AE8-F00B847F8A78}\RP4\A0001177.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\ve.exe Infected: Trojan-GameThief.Win32.Magania.asrm 1
C:\WINDOWS\CSC\d4\80001F83 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 3
C:\WINDOWS\system32\afmain0.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\x2csvg.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
The selected area was scanned.

pas très propre en effet....

répondre

bzhatao le 17 janvier 2009 à 18h17

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-s(...)
tout cela est ds la restauratio de ton pc...
fais la manip indiquée ds le lien...
et refais le scan kapersky.

a+

répondre

leunam le 17 janvier 2009 à 21h11

coucou Bzhatao,

Voici le scan de Kaspersky après désactivation de la restauration system:

KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, January 17, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, January 17, 2009 17:02:26
Records in database: 1637528
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
C:\
D:\
E:\
Scan statistics
Files scanned 86587
Threat name 7
Infected objects 21
Suspicious objects 0
Duration of the scan 01:42:15

File name Threat name Threats count
C:\WINDOWS\system32\afmain1.dll/C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.Magania.asxh 9
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS\Activation WXPpro WGA Patcher Permanent Kit-1-1-2007\keyfinder.exe Infected: not-a-virus:PSWTool.Win32.RAS.g 1
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS\Activation WXPpro WGA Patcher Permanent Kit-1-1-2007\keyfinder.exe Infected: not-a-virus:PSWTool.Win32.RAS.a 1
C:\Qoobox\Quarantine\C\autorun.inf.vir Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\Qoobox\Quarantine\C\iq.bat.vir Infected: Trojan-GameThief.Win32.Magania.asnx 1
C:\SDFix\backups\backups.zip Infected: Trojan-GameThief.Win32.Magania.aswh 1
C:\ve.exe Infected: Trojan-GameThief.Win32.Magania.asrm 1
C:\WINDOWS\CSC\d4\80001F83 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 3
C:\WINDOWS\system32\afmain0.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.Magania.asxh 1
C:\x2csvg.exe Infected: Trojan-GameThief.Win32.Magania.aswh 1
The selected area was scanned.

il en reste quand même, c'est tenace ...

Merci de ton aide !

répondre

bzhatao le 17 janvier 2009 à 22h15

ok
cette fois ci ne me dit pas que mon lien ne marche pas....

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :

a+

:processes
explorer.exe

:files
C:\WINDOWS\system32\afmain1.dll/C:\WINDOWS\system32
C:\Documents and Settings\informatique\Local Settings\Temporary Internet Files
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS
C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS
C:\iq.bat Infected: Trojan-GameThief.Win32.Magania.asnx 1
C:\ve.exe Infected: Trojan-GameThief.Win32.Magania.asrm 1
C:\WINDOWS\CSC\d4\80001F83 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 3
C:\WINDOWS\system32\afmain0.dll Infected: Trojan-GameThief.Win32.Magania.aspi 1
C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.WOW.eka 1

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

répondre

leunam le 17 janvier 2009 à 23h21

coucou Bzhatao,

Rapport OTMoveIt3:

Error: Unable to interpret <C:\WINDOWS\system32\afmain1.dll/C:\WINDOWS\system32> in the current context!
Error: Unable to interpret <C:\Documents and Settings\informatique\Local Settings\Temporary Internet Files> in the current context!
Error: Unable to interpret <C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS> in the current context!
Error: Unable to interpret <C:\Documents and Settings\NDF\Mes documents\MANUEL\DOCS PERSONNELS\INFORMATIQUE\LOGICIELS> in the current context!
Error: Unable to interpret <C:\iq.bat Infected: Trojan-GameThief.Win32.Magania.asnx 1> in the current context!
Error: Unable to interpret <C:\ve.exe Infected: Trojan-GameThief.Win32.Magania.asrm 1> in the current context!
Error: Unable to interpret <C:\WINDOWS\CSC\d4\80001F83 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 3> in the current context!
Error: Unable to interpret <C:\WINDOWS\system32\afmain0.dll Infected: Trojan-GameThief.Win32.Magania.aspi 1> in the current context!
Error: Unable to interpret <C:\WINDOWS\system32\afmain1.dll Infected: Trojan-GameThief.Win32.WOW.eka 1> in the current context!
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_33c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_58c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01172009_224629

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_33c.dat not found!
File C:\WINDOWS\temp\Perflib_Perfdata_58c.dat not found!

qu'est-ce t'en penses ?

répondre

bzhatao le 17 janvier 2009 à 23h52

Refais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Tu l´installes; mets le a jour...(onglet mise a jour)

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

répondre

leunam le 18 janvier 2009 à 00h20

j'arrete pour ce soir , je fais le scan demain avec MAM et je le poste !
Encore Merci
@ + tard, bonne nuit.

répondre

leunam le 18 janvier 2009 à 11h27

Coucou Bzhatao,

Voici le rapport de MAM, il ressemble bcp à celui du début du post !

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1664
Windows 5.1.2600 Service Pack 3

2009-01-18 11:13:56
mbam-log-2009-01-18 (11-13-13).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 140685
Temps écoulé: 1 hour(s), 13 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\afmain1.dll (Trojan.Agent) -> No action taken.

Juste une question de novice, OTMoveIt3 n'a pas voulu effacer les fichiers spécifiés, peut-être que la syntaxe ne lui plaisait pas ? non ?

Voilà, au plaisir de lire ta réponse...!

répondre

bzhatao le 18 janvier 2009 à 12h31

Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".

reprends mbam

je vois encore: NO ACTION TACKEN
fais ce qui est en citation!!!!
sinon les infections subsistent!!!!et colle le rapport stp.

a+

répondre

leunam le 18 janvier 2009 à 14h30

Le voici,

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1664
Windows 5.1.2600 Service Pack 3

2009-01-18 14:22:10
mbam-log-2009-01-18 (14-22-10).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 140448
Temps écoulé: 1 hour(s), 11 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> Delete on reboot.

donc je reboot, et refais un scan de MAM ? mais je crains qu'il ne retrouve la même chose...! je le fais quand même ! et je t'écoute....

répondre

bzhatao le 18 janvier 2009 à 15h00

TRES BIEN...
c est ca que je voulais voir:
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> Delete on reboot. !!!!
pas la peine de relancer mbam puisque cette fois tu as supprimé
ce qu il avait trouvé

maintenant vas dans l onglet QUARENTAINE de mbam et supprime ce qui s'y trouve...

relance kapersky...le resultat devrait etre bien meilleurs...
a+

répondre

leunam le 18 janvier 2009 à 15h44

coucou Bzhatao,

Donc, le problème que je rencontre, c'est qu'au redémarrage, la protection résidente de MAM me retrouve le fichier afmaid0.dll et si je clique sur autre chose qu'ignorer, tout se fige...cf capture ci-jointe :

ça veut donc aussi dire qu'il est encore là....!

Qu'est-ce t'en penses ?

répondre

bzhatao le 18 janvier 2009 à 16h09

on va essayer autre chose...

Télécharges FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistres le sur ton bureau et pas ailleurs !

!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

a+

répondre

leunam le 18 janvier 2009 à 20h00

coucou,

Voici le rapport :

----------------- FindyKill V4.713 ------------------

* User : Informatique - PORTABLE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/01/09 par Chiquitine29
* Recherche effectuée à 19:49:59 le 2009-01-18
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\RioMSC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\DAEMON Tools Pro\DTProShellHlp.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-1C978085.pf
Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-1C978085.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\informatique\Application Data

»»»» Presence des fichiers dans C:\DOCUME~1\INFORM~1\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
cdoosoft=C:\WINDOWS\system32\olhrwef.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
Malwarebytes' Anti-Malware="C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Clés infectieuses ] ----------------

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 3

Ip6Fw - Type de démarrage = 3

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

+- Contenu de l'autorun : C:\autorun.inf

;cDKwdd2qesfLaidspU42wjpLCDroiwnO
[AutoRun]
;wpLsqik72ja2ADiksd2iSirAdXpmKLis82aoek3sfKSer2keD87a5AkLskLl6eLrj3slnf9ofwiiFUsKjqLw2rH43wL
open=j60osk9.cmd
;L2qaKip722drjraIkLi3redkias11aAkk9wowLd5k3aearF0dKloKq
shell\open\Command=j60osk9.cmd

+- presence des fichiers :

Found ! [2009-01-18 19:49][-r-hs----] - C:\autorun.inf

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

merci encore de ton aide !

répondre

bzhatao le 18 janvier 2009 à 20h10

Super les cracks et keygens....
mais on en paye le prix!!!!
--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 2 (Suppression)

/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

-------> ensuite post le rapport FindyKill.txt

a+

répondre

leunam le 18 janvier 2009 à 20h57

Bzhatao,

voici le rapport :

----------------- FindyKill V4.713 ------------------

* User : Informatique - PORTABLE
* Executed from : C:\Program Files\FindyKill
* Update on 17/01/09 by Chiquitine29
* Start at 20:22:16 the 2009-01-18
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((( *** deleting *** ))))))))))))))))))

--------------- [ Active Processes ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\RioMSC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\AhnRpta.exe

--------------- [ Infected files / folders ] ----------------

»»»» Supression files in C:

»»»» Supression files in C:\WINDOWS

»»»» Supression files in C:\WINDOWS\Prefetch

Deleted ! - C:\WINDOWS\prefetch\KEYGEN.EXE-1C978085.pf

»»»» Supression files in C:\WINDOWS\system32

»»»» Supression files in C:\WINDOWS\system32\drivers

»»»» Supression files in C:\Documents and Settings\informatique\Application Data

»»»» Supression files in C:\DOCUME~1\INFORM~1\LOCALS~1\Temp

»»»» Supression files in C:\Documents and Settings\informatique\Local Settings\Temporary Internet Files\Content.IE5

--------------- [ Registry / Infected keys ] ----------------

--------------- [ States / Restarting of services ] ----------------

+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Lecteur fixe

+- deleting files :

Deleted ! - C:\autorun.inf

--------------- [ Registry / Mountpoint2 ] ----------------

-> Not found !

--------------- [ Searching Other Infections ] ----------------

--------------- [ Searching Cracks / Keygen ] ----------------

---------------- ! End of report ! ------------------

Ensuite je tiens à te dire que ce qui m'a pourri mon pc n'est ,ni un crack ni un keygen, mais une cle USB infectée d'un tiers !

de plus ce dossier est bizarre regarde dedans :

De plus le redemarrage de mon PC plante une fois sur trois !

Enfin, n'oublions pas que le juge ment....!;)

@ + et merci

répondre

bzhatao le 18 janvier 2009 à 21h31

Ensuite je tiens à te dire que ce qui m'a pourri mon pc n'est ,ni un crack ni un keygen, mais une cle USB infectée d'un tiers !...

pourquoi ne l'as tu pas dit des le début!????

de plus ce dossier est bizarre regarde dedans :

Mets le en evidence plutot que de faire des copies d'ecran...
je suis un simple internaute qui essaye d'aider bénévolement comme tous les autres helpers de ce forum.

Enfin, n'oublions pas que le juge ment....!;)

si cela est ton avis!

bye...

répondre

leunam le 18 janvier 2009 à 21h55

Bzhatao,

tu as l'air contrarié dans ton dernier post ?? comprends pas trop ??

-ça change quoi le fait que ça soit une clé USB plutôt qu'autre chose ?

-"Mets le en évidence plutot que de faire des copies d'écran" Qu'est-ce que tu veux dire par là, je viens de m'en rendre compte comme toi au rapport de Findykill.exe (dernier post !)

-"je suis un simple internaute qui essaye d'aider bénévolement comme tous les autres helpers de ce forum." je t'en remercie énormément (d'ailleurs je te le dis presque à chaque post !), tu peux peut-être demander un peu d'aide à d'autres helpers que tu connais ??? à plusieurs des fois c'est plus facile !
Je tiens à te dire que je te suis trés reconnaissant de me suivre dans cette galère...

-enfin, "le juge ment" est un petit jeu de mot, avec "jugement" car tu écris "on en paie le prix !" mais il ne faut pas mal le prendre...

Bon, ça ne fait pas avancer le schmilblic tout ça !

que puis-je faire, je ne dois pas etre le seul à avoir eu ce(s) trojan(s) ?

répondre

bzhatao le 18 janvier 2009 à 22h06