|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
Je viens de récupérter le micro de ma fille SONY sous XP familial qui a fonctionné sans antivirus et qui est infecté.
J'ai installé avec beaucoup de difficulés Avast et spybot qqi m'ont signalé de nombreuses anomlies dont certaines que je ne peux éradiquées.
comme par exemple le virus Win32: AUcrypt{cript}
Comment se débarasser de ce Virus qui est 'en quarantaine mais qui reviens dès que je passe le scan avast;
Merci de votre aide
|
|
Blablabla !
|
|
|
Bonjour Amgoodboy
On va regarder ça
Télécharge Deckard's System Scanner (DSS) sur le bureau
>>> http://www.techsupportforum.com/sectools/Deckard/dss.exe
ou
>>> http://deckard.geekstogo.com/dss.exe
Ferme toutes les fenêtres et toutes les applications en cours.
=> Double clique sur dss.exe pour lancer l'outil.
=> Clique sur OK à chaque fois que cela sera demandé.
=> L'analyse finie, un fichier texte s'affichera (main.txt).
Enregistre ce rapport sur le bureau.
=> Ferme cette fenêtre.
Il y a 2 rapports, poste moi seulement le rapport main.txt de DSS dans ta prochaine réponse.
Note : le rapport se trouve aussi à cet emplacement C:\Deckard\System Scanner\main.txt
|
|
Blablabla !
|
|
|
Suite à DSS reçu en MP
Télécharge, installe et utilise MalwareBytes antimalware
>>> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
=> Installe le
=> Mets le à jour
=> Démarre en mode sans échec (Méthode F8 de préférence)
>>> http://bibou0007.com/astuces-windows-f80/demarrer-en-mode-sans-echec-avec-xp-(...)
=> Lance un examen complet
=> Si une infection est trouvée, affiche les résultats, puis supprime la sélection
Si malwarebytes a besoin de redémarrer, accepte
=> Enregistre le rapport sur le bureau
=> Redémarre normalement l'ordinateur
=> Poste le rapport
Une aide à l'utilisation
>>> http://bibou0007.com/antivirus-sans-protection-en-temps-reel-f73/malwarebytes(...)
|
|
|
|
|
Bonjour, je reprends le problème soulevé; j'ai désinstallé Avast et spybot et installé et exécuté Antivir et malwarebytes qui ont détecté de nonbreuses anomalies diverses que j'ai mis en quarantaine.
Il me semble que celà va mieux, mais j'ai souvent des fenetres intempestives "advise internet exploreur" avec son..
ci-joint le fichier :
merci de votre aide
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 722
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 75529
Temps écoulé: 6 hour(s), 4 minute(s), 38 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 35
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 13
Processus mémoire infecté(s):
C:\Program Files\Twain\Twain.exe (Trojan.Agent) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{8d71eeb8-a1a7-4733-8fa2-1cac015c967d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9f593aac-ca4c-4a41-a7ff-a00812192d61} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{749ec66f-a838-4b38-b8e5-e65d905fff74} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{3d87b50d-542a-45b6-96e9-f03cfaa8c962} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ceb9c60d-f0ad-4b73-a3ab-4fc822e38d66} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ceb9c60d-f0ad-4b73-a3ab-4fc822e38d66} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1601d447-7424-4866-8dcc-acf98a2a41e1} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c3c0ec2c-2c1c-495c-9ad0-1f0ef833d7b5} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{ff46f4ab-a85f-487e-b399-3f191ac0fe23} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9388907f-82f5-434d-a941-bb802c6dd7c1} (Adware.ISTBar) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{8c752c5e-3c10-4076-af0a-ffc69fa20d1b} (Adware.ISTBar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63ab48c9-01a8-495c-8194-a715db8a37a2} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mysearchassistant (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{14646ab2-31e0-8734-5bac-edebe4b912a1} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14646ab2-31e0-8734-5bac-edebe4b912a1} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e78783e-fa1c-f848-5fb8-df0a1aa9b11e} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{8e78783e-fa1c-f848-5fb8-df0a1aa9b11e} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\Sidebar.DLL (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Twain (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\CPV (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\BO1jiZmwnF2zhi (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj (Worm.OnlineG) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{63ab48c9-01a8-495c-8194-a715db8a37a2} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Twain (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Program Files\JavaCore (Trojan.Downloader) -> No action taken.
C:\Program Files\CPV (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\bharebio18 (Trojan.Agent) -> No action taken.
C:\Program Files\Twain (Trojan.Agent) -> No action taken.
C:\Documents and Settings\personne\Application Data\WinTouch (Adware.WinPop) -> No action taken.
Fichier(s) infecté(s):
C:\Deckard\System Scanner\20080511114519\backup\DOCUME~1\personne\LOCALS~1\Temp\uninstall.exe (Adware.SurfAccuracy) -> No action taken.
C:\System Volume Information\_restore{97C70649-EF83-44ED-AB32-80E4241CCD72}\RP713\A0199979.dll (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{97C70649-EF83-44ED-AB32-80E4241CCD72}\RP713\A0200022.dll (Adware.TargetSaver) -> No action taken.
C:\System Volume Information\_restore{97C70649-EF83-44ED-AB32-80E4241CCD72}\RP713\A0200031.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\b138.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\myss_sb_uninstall.exe (Adware.BHO) -> No action taken.
C:\Program Files\JavaCore\UnInstall.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\Twain\Twain.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\{0af69f79-c323-7934-bd4e-d6d50f12fc8f}.dll-uninst.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\{0af69f79-c323-7934-bd4e-d6d50f12fc8f}.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> No action taken.
|
|
Blablabla !
|
|
|
Bonjour
Tu es sur d'avoir tout supprimé ? parce que d'après le rapport non.
SI tu l'as fait, tant mieux, dans le cas contraire, il va falloir le relancer pour tout supprimer.
Poste moi un nouveau rapport DSS s'il te plait pour voir les changements.
|
|
|
|
|
Bonjour,
Je réponds tardivement car je ne dispose pas du micro en permanence qui est chez ma fille !!
voici le résultat du DSS
Deckard's System Scanner v20071014.68
Run by personne on 2008-05-21 22:42:54
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- HijackThis Clone ------------------------------------------------------------
Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-05-21 22:43:35
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Twain\Twain.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Wireless\Client Manager\Cmags.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\personne\Bureau\dss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://%6C%73%30%2E%6E%65%74/%68%6F%6D%65%2E%68%74%6D%6C
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://%6C%73%30%2E%6E%65%74/%73%72%63%68%61%73%73%74%2E%68%74%6D%6C
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=sexyfoto
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://%6C%73%30%2E%6E%65%74/%73%72%63%68%61%73%73%74%2E%68%74%6D%6C
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=sexyfoto
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: mysidesearch browser optimizer - {14646ab2-31e0-8734-5bac-edebe4b912a1} - C:\WINDOWS\system32\{0af69f79-c323-7934-bd4e-d6d50f12fc8f}.dll
O2 - BHO: (no name) - {63AB48C9-01A8-495C-8194-A715DB8A37A2} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9F8E3B86-8130-F3C4-1194-D68F76257ACB} - (no file)
O2 - BHO: (no name) - {A3FB9CF2-C202-4B34-B4CD-4AEAD041A468} - (no file)
O2 - BHO: (no name) - {CD8032A4-8433-A0E1-4591-D78F07572F95} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Twain] C:\Program Files\Twain\Twain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntqkdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jpwnw64o.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Client Manager.lnk = C:\Program Files\Wireless\Client Manager\CMags.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - CmdMapping - (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted IP Range: 206.161.125.149 (HKLM)
O15 - Trusted IP Range: 206.161.125.149 (HKCU)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{BA6B8BAC-8F0F-4E69-9098-06438EA34D88}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O20 - Winlogon Notify: geBuUkkh - C:\WINDOWS\system32\geBuUkkh.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: Network Security Service (NSS) (O?�’ŽrtñåȲ$�Ó) - Unknown owner - C:\WINDOWS\javarm.exe /s
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe
--
End of file - 8508 bytes
-- Files created between 2008-04-21 and 2008-05-21 -----------------------------
2008-05-21 22:38:06 0 dr-h----- C:\Documents and Settings\personne\Recent
2008-05-18 00:20:39 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-05-18 00:19:56 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-18 00:19:56 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-05-18 00:19:56 0 dr-h----- C:\Documents and Settings\Administrateur\Recent
2008-05-18 00:19:56 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-05-18 00:19:56 0 dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-18 00:19:56 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-05-18 00:19:56 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-05-18 00:19:56 0 dr------- C:\Documents and Settings\Administrateur\Favoris
2008-05-18 00:19:56 0 d--hs---- C:\Documents and Settings\Administrateur\Cookies
2008-05-18 00:19:56 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-18 00:19:56 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-05-18 00:19:56 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-05-18 00:19:56 0 d-------- C:\Documents and Settings\Administrateur\Application Data\InterVideo
2008-05-18 00:19:56 0 d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2008-05-18 00:19:56 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Identities
2008-05-18 00:19:56 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Adobe
2008-05-18 00:19:55 0 d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-05-18 00:19:55 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-05-18 00:19:54 1048576 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-05-17 17:33:10 0 d-------- C:\Documents and Settings\personne\Application Data\Malwarebytes
2008-05-17 16:59:13 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-17 16:59:09 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-17 13:28:56 0 d-------- C:\Program Files\Avira
2008-05-17 13:28:56 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-16 14:07:36 440832 --a------ C:\WINDOWS\system32\{0af69f79-c323-7934-bd4e-d6d50f12fc8f}.dll
2008-05-09 14:05:55 0 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-05-09 13:59:39 0 d-------- C:\Program Files\CCleaner
2008-05-08 17:45:06 0 d-------- C:\WINDOWS\system32\NtmsData
2008-05-04 12:45:04 0 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
-- Find3M Report ---------------------------------------------------------------
2008-05-17 17:57:13 0 d-------- C:\Program Files\CPV
2008-05-17 17:20:19 0 d-------- C:\Program Files\Hewlett-Packard
2008-05-17 13:44:28 0 d-------- C:\Program Files\Fichiers communs
2008-05-17 11:46:22 859 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-05-09 19:42:19 0 d-------- C:\Documents and Settings\personne\Application Data\WinTouch
2008-05-09 13:59:53 0 d-------- C:\Program Files\Yahoo!
2008-05-09 12:10:14 0 d-------- C:\Program Files\JavaCore
2008-05-09 11:28:00 207007 --ahs---- C:\WINDOWS\system32\OXbeKkkj.ini2
2008-05-09 11:25:30 0 d-------- C:\Program Files\Alwil Software
2008-05-09 11:09:58 0 d-------- C:\Documents and Settings\personne\Application Data\MSN6
2008-05-09 10:57:04 0 d-------- C:\Program Files\Fichiers communs\Real
2008-05-09 10:39:33 0 d-------- C:\Program Files\Google
2008-05-09 10:37:17 0 d-------- C:\Program Files\Windows Live Toolbar
2008-05-04 18:02:21 0 d-------- C:\Program Files\Common Files
2008-05-04 16:55:41 0 d-------- C:\Program Files\Fichiers communs\AOL
2008-04-18 14:18:51 0 d-------- C:\Documents and Settings\personne\Application Data\AOL
2008-04-18 14:02:21 0 d-------- C:\Program Files\Canon
2008-04-18 11:24:45 0 d-------- C:\Program Files\eMule
2008-04-18 11:24:45 0 d-------- C:\Program Files\DivX
2008-04-17 21:45:26 0 d-------- C:\Program Files\Twain
2008-04-14 12:11:05 89070 --a------ C:\WINDOWS\system32\myss_sb_uninstall.exe
2008-04-12 11:25:15 401111 --a------ C:\WINDOWS\system32\g85.exe
2008-04-11 20:58:05 88961 --a------ C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-04-11 20:57:42 298311 --a------ C:\WINDOWS\system32\gside.exe
2008-04-11 13:48:26 11264 --a------ C:\WINDOWS\b138.exe
2008-03-30 19:45:17 368314 --a----c- C:\WINDOWS\system32\perfh00C.dat
2008-03-30 19:45:17 49054 --a----c- C:\WINDOWS\system32\perfc00C.dat
-- Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{14646ab2-31e0-8734-5bac-edebe4b912a1}]
16/05/2008 14:07 440832 --a------ C:\WINDOWS\system32\{0af69f79-c323-7934-bd4e-d6d50f12fc8f}.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{63AB48C9-01A8-495C-8194-A715DB8A37A2}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9F8E3B86-8130-F3C4-1194-D68F76257ACB}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3FB9CF2-C202-4B34-B4CD-4AEAD041A468}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CD8032A4-8433-A0E1-4591-D78F07572F95}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="Atiptaxx.exe" [19/09/2001 13:20 C:\WINDOWS\system32\atiptaxx.exe]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12/02/2008 10:06]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 12:55]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [20/08/2004 01:09]
"Twain"="C:\Program Files\Twain\Twain.exe" [17/04/2008 21:45]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBuUkkh]
geBuUkkh.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\jkkKebXO
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{165f1810-1d1e-11dd-96a5-0010c63e0441}]
AutoRun\command- F:\ka1nk.bat
explore\Command- F:\ka1nk.bat
open\Command- F:\ka1nk.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b876963-497c-11da-92f5-0010c63e0441}]
AutoRun\command- F:\0.com
explore\Command- F:\0.com
open\Command- F:\0.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609d6b87-0943-11dd-9686-00038a000015}]
Auto\command- F:\Start.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d8b59d0-a681-11dc-95ca-00038a000015}]
AutoRun\command- F:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8c1d315-3e39-11da-92e2-0010c63e0441}]
AutoRun\command- F:\dp.cmd
explore\Command- F:\dp.cmd
open\Command- F:\dp.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0255360-19c2-11dd-969e-0800466daf9b}]
AutoRun\command- F:\ka1nk.bat
explore\Command- F:\ka1nk.bat
open\Command- F:\ka1nk.bat
-- End of Deckard's System Scanner: finished at 2008-05-21 22:44:29 ------------
|
|
Blablabla !
|
|
|
Bonsoir
Pas de souci, prends ton temps 
Télécharge, installe et utilise GenProc
>>> http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
=> Décompresse le sur le bureau
=> Ouvre le dossier créé et lance GenProc.bat
=> Enregistre le rapport sur le bureau et poste le ici s'il te plait
Une aide à l'utilisation
>>> http://bibou0007.com/outils-specifiques-f78/tutorial-genproc-t967.htm
Ce rapport est une procédure à mettre en œuvre, suis là et poste tous les rapports pour que je puisse suivre l'évolution du problème.
|
|
|
|
|
Bonjour,
Excuses tout d'abord car je viens de récupérer le micro chez moi et je peux appliquer toutes les procédures plus rapidement........
Le 1° rapport ci-dessous et je continue la proc
Rapport GenProc 1.972 [1] effectué le 23/06/2008 à 0:36:08,31 - Windows XP
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
# Etape 1/ Télécharge :
- VundoFix.exe (Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.
***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "personne") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo". Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer le scan ; lorsque le scan sera complété, un rapport apparaîtra.
# Etape 3/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 4/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 5/
Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
|
|
|
|
|
Rebonjour,
Ci-dessous les log demandées:
Remarque : nette amélioration du micro; il semble OK si c'est définitivement le cas et bien merci aux géniaux informaticiens qui en ont concu toutes ces procédures.
J'ai suivi toute la procédure à l'exception de l'étape 1 que j'ai exécuté en mode normal et non sans échec( pb que j'expliquerai après)
Dans le déroulemnt de COMBOFIX, antivir a détecté un virus que je n'ai hélas pas noté mais que j'ai deleté
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:24, on 23/06/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\personne\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=sexyfoto
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=sexyfoto
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F1 - win.ini: run=fntldr.exe msinfo.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: mysidesearch browser optimizer - {14646ab2-31e0-8734-5bac-edebe4b912a1} - C:\WINDOWS\system32\{0af69f79-c323-7934-bd4e-d6d50f12fc8f}.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9F8E3B86-8130-F3C4-1194-D68F76257ACB} - (no file)
O2 - BHO: (no name) - {A3FB9CF2-C202-4B34-B4CD-4AEAD041A468} - (no file)
O2 - BHO: (no name) - {CD8032A4-8433-A0E1-4591-D78F07572F95} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntqkdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jpwnw64o.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA6B8BAC-8F0F-4E69-9098-06438EA34D88}: NameServer = 80.10.246.2,80.10.246.129
O19 - User stylesheet: (file missing)
O20 - Winlogon Notify: geBuUkkh - geBuUkkh.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Network Security Service (NSS) (O?�’ŽrtñåȲ$�Ó) - Unknown owner - C:\WINDOWS\javarm.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe (file missing)
--
End of file - 7222 bytes
VundoFix V7.0.6
Scan started at 00:52:50 23/06/2008
Listing files found while scanning....
No infected files were found.
ComboFix 08-06-20.4 - personne 2008-06-23 14:53:21.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.270 [GMT 2:00]
Endroit: C:\Documents and Settings\personne\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\BMf70758e2.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\fwtdufhd.ini
C:\WINDOWS\system32\gtnqyget.ini
C:\WINDOWS\system32\hooulqfr.ini
C:\WINDOWS\system32\kvcfondj.ini
C:\WINDOWS\system32\lafipnju.ini
C:\WINDOWS\system32\melnfpjr.ini
C:\WINDOWS\system32\miupdpgu.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\ovkqjpsy.ini
C:\WINDOWS\system32\OXbeKkkj.ini
C:\WINDOWS\system32\OXbeKkkj.ini2
C:\WINDOWS\system32\pthrnihi.ini
C:\WINDOWS\system32\swecfpmw.ini
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.
2008-06-23 14:35 . 2008-06-23 14:35 268 --ah-c--- C:\sqmdata15.sqm
2008-06-23 14:35 . 2008-06-23 14:35 244 --ah-c--- C:\sqmnoopt15.sqm
2008-06-23 14:27 . 2008-06-23 14:27 268 --ah-c--- C:\sqmdata14.sqm
2008-06-23 14:27 . 2008-06-23 14:27 244 --ah-c--- C:\sqmnoopt14.sqm
2008-06-23 09:02 . 2008-06-23 09:02 268 --ah-c--- C:\sqmdata13.sqm
2008-06-23 09:02 . 2008-06-23 09:02 244 --ah-c--- C:\sqmnoopt13.sqm
2008-06-23 00:52 . 2008-06-23 00:52 <REP> d----c--- C:\VundoFix Backups
2008-06-22 13:29 . 2007-01-29 16:27 306,304 --a------ C:\WINDOWS\system32\drivers\rtl8185.sys
2008-06-22 13:29 . 2008-06-22 13:29 21,419 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-06-22 13:27 . 2008-06-22 13:27 <REP> d-------- C:\WINDOWS\OPTIONS
2008-06-22 13:27 . 2008-06-22 13:27 <REP> d-------- C:\Program Files\TRENDnet
2008-06-20 17:46 . 2008-06-20 17:46 268 --ah-c--- C:\sqmdata12.sqm
2008-06-20 17:46 . 2008-06-20 17:46 244 --ah-c--- C:\sqmnoopt12.sqm
2008-06-20 16:00 . 2008-06-20 16:00 268 --ah-c--- C:\sqmdata11.sqm
2008-06-20 16:00 . 2008-06-20 16:00 244 --ah-c--- C:\sqmnoopt11.sqm
2008-06-19 19:21 . 2008-06-19 19:21 268 --ah-c--- C:\sqmdata10.sqm
2008-06-19 19:21 . 2008-06-19 19:21 244 --ah-c--- C:\sqmnoopt10.sqm
2008-06-19 19:12 . 2008-06-19 19:12 268 --ah-c--- C:\sqmdata09.sqm
2008-06-19 19:12 . 2008-06-19 19:12 244 --ah-c--- C:\sqmnoopt09.sqm
2008-06-19 18:00 . 2008-06-19 18:00 <REP> d-------- C:\WINDOWS\system32\fr
2008-06-19 18:00 . 2008-06-19 18:00 <REP> d-------- C:\WINDOWS\l2schemas
2008-06-19 17:21 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-19 17:19 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-19 16:45 . 2008-04-14 04:33 4,874,240 -----c--- C:\WINDOWS\system32\dllcache\wmp.dll
2008-06-19 16:44 . 2008-04-14 04:34 208,896 -----c--- C:\WINDOWS\system32\dllcache\unregmp2.exe
2008-06-19 16:43 . 2008-04-14 04:34 778,240 -----c--- C:\WINDOWS\system32\dllcache\setup_wm.exe
2008-06-19 16:42 . 2008-04-14 04:33 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll
2008-06-19 16:42 . 2008-04-14 04:33 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll
2008-06-19 16:42 . 2007-06-26 08:00 375,519 -----c--- C:\WINDOWS\system32\dllcache\nuskin.wmv
2008-06-19 16:42 . 2008-04-14 04:33 200,704 --------- C:\WINDOWS\system32\napmontr.dll
2008-06-19 16:42 . 2008-04-14 04:34 177,664 --------- C:\WINDOWS\system32\napstat.exe
2008-06-19 16:42 . 2008-04-14 04:33 144,896 --------- C:\WINDOWS\system32\onex.dll
2008-06-19 16:42 . 2008-04-14 04:04 93,184 --------- C:\WINDOWS\system32\msxml6r.dll
2008-06-19 16:42 . 2008-04-14 04:04 93,184 -----c--- C:\WINDOWS\system32\dllcache\msxml6r.dll
2008-06-19 16:42 . 2008-04-14 04:33 30,208 --------- C:\WINDOWS\system32\napipsec.dll
2008-06-19 16:42 . 2001-08-28 12:00 22,060 -----c--- C:\WINDOWS\system32\dllcache\npds.zip
2008-06-19 16:42 . 2002-04-03 14:35 403 -----c--- C:\WINDOWS\system32\dllcache\npdrmv2.zip
2008-06-19 16:41 . 2008-04-14 04:31 848,922 -----c--- C:\WINDOWS\system32\dllcache\msdxm.ocx
2008-06-19 16:41 . 2008-04-14 04:34 356,352 -----c--- C:\WINDOWS\system32\dllcache\msscp.dll
2008-06-19 16:41 . 2008-04-14 04:34 259,072 -----c--- C:\WINDOWS\system32\dllcache\msnetobj.dll
2008-06-19 16:41 . 2008-04-14 04:33 246,272 -----c--- C:\WINDOWS\system32\dllcache\mswmdm.dll
2008-06-19 16:41 . 2008-04-14 04:33 201,728 -----c--- C:\WINDOWS\system32\dllcache\mspmsp.dll
2008-06-19 16:41 . 2008-04-14 04:33 155,136 --------- C:\WINDOWS\system32\mssha.dll
2008-06-19 16:41 . 2008-04-14 04:03 81,920 --------- C:\WINDOWS\system32\msshavmsg.dll
2008-06-19 16:41 . 2008-04-14 04:34 69,632 -----c--- C:\WINDOWS\system32\dllcache\msscds32.ax
2008-06-19 16:41 . 2008-04-14 04:33 52,736 -----c--- C:\WINDOWS\system32\dllcache\mspmsnsv.dll
2008-06-19 16:41 . 2008-04-14 04:31 4,126 -----c--- C:\WINDOWS\system32\dllcache\msdxmlc.dll
2008-06-19 16:39 . 2008-04-14 04:31 290,816 -----c--- C:\WINDOWS\system32\dllcache\l3codeca.acm
2008-06-19 16:39 . 2008-04-13 18:36 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-06-19 16:39 . 2008-04-14 04:33 61,440 --------- C:\WINDOWS\system32\kmsvc.dll
2008-06-19 16:39 . 2008-04-14 04:33 37,376 --------- C:\WINDOWS\system32\l2gpstore.dll
2008-06-19 16:39 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdpash.dll
2008-06-19 16:39 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll
2008-06-19 16:39 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll
2008-06-19 16:39 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll
2008-06-19 16:39 . 2008-04-14 04:10 2,524 --------- C:\WINDOWS\system32\pid.inf
2008-06-19 16:37 . 2007-06-26 08:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv
2008-06-19 16:36 . 2008-04-14 04:33 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-06-19 13:14 . 2008-06-19 13:14 268 --ah-c--- C:\sqmdata08.sqm
2008-06-19 13:14 . 2008-06-19 13:14 244 --ah-c--- C:\sqmnoopt08.sqm
2008-06-18 19:30 . 2008-06-18 19:30 268 --ah-c--- C:\sqmdata07.sqm
2008-06-18 19:30 . 2008-06-18 19:30 244 --ah-c--- C:\sqmnoopt07.sqm
2008-06-18 19:19 . 2002-03-14 14:43 <REP> d-------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\WINDOWS
2008-06-18 19:19 . 2002-03-14 13:46 <REP> d--h----- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Voisinage r‚seau
2008-06-18 19:19 . 2002-03-14 13:46 <REP> d--h----- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Voisinage d'impression
2008-06-18 19:19 . 2002-03-14 13:52 <REP> d--h----- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\ModŠles
2008-06-18 19:19 . 2002-03-14 15:59 <REP> dr------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Mes documents
2008-06-18 19:19 . 2002-03-14 13:46 <REP> dr------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Menu D‚marrer
2008-06-18 19:19 . 2002-03-14 14:03 <REP> dr------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Favoris
2008-06-18 19:19 . 2002-03-15 10:50 <REP> d-------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Bureau
2008-06-18 19:19 . 2002-05-16 00:11 <REP> d-------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Application Data\InterVideo
2008-06-18 19:19 . 2002-03-14 15:59 <REP> d-------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7\Application Data\InterTrust
2008-06-18 19:19 . 2008-06-18 19:19 <REP> d-------- C:\Documents and Settings\Administrateur.NOM-JZWHQ86VKJ7
2008-06-10 22:37 . 2008-06-10 22:37 268 --ah-c--- C:\sqmdata06.sqm
2008-06-10 22:37 . 2008-06-10 22:37 244 --ah-c--- C:\sqmnoopt06.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-22 22:30 --------- d-----w C:\Documents and Settings\personne\Application Data\MSN6
2008-06-22 11:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-19 16:23 --------- d-----w C:\Program Files\MSN Messenger
2008-06-19 16:14 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-06-19 12:16 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 17:02 34,296 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-10 17:02 15,864 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-05-18 10:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-17 15:33 --------- d-----w C:\Documents and Settings\personne\Application Data\Malwarebytes
2008-05-17 15:20 --------- d-----w C:\Program Files\Hewlett-Packard
2008-05-17 14:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-17 11:28 --------- d-----w C:\Program Files\Avira
2008-05-17 11:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-05-17 11:00 22,311,160 ----a-w C:\Program Files\antivir_workstation_winu_en_h.exe
2008-05-09 12:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-05-09 12:00 --------- d-----w C:\Program Files\CCleaner
2008-05-09 11:59 --------- d-----w C:\Program Files\Yahoo!
2008-05-09 08:57 8,552 ----a-w C:\WINDOWS\system32\drivers\asctrm.sys
2008-05-09 08:57 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-05-09 08:48 36,075,168 ----a-w C:\WINDOWS\aolback.exe
2008-05-09 08:39 --------- d-----w C:\Program Files\Google
2008-05-09 08:37 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-04 16:02 --------- d-----w C:\Program Files\Common Files
2008-05-04 14:55 --------- d-----w C:\Program Files\Fichiers communs\AOL
2008-04-14 02:34 70,656 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 02:34 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 02:34 288,256 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 02:34 153,088 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 02:34 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 02:34 1,037,824 ----a-w C:\WINDOWS\explorer.exe
2008-04-14 02:33 50,688 ----a-w C:\WINDOWS\twain_32.dll
2008-04-14 02:33 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 02:33 39,424 ------w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 02:33 34,816 ----a-w C:\WINDOWS\Help\sniffpol.dll
2008-04-14 02:33 33,280 ----a-w C:\WINDOWS\Help\sstub.dll
2008-04-14 02:33 279,040 ----a-w C:\WINDOWS\Help\tshoot.dll
2008-04-14 02:33 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 02:33 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 02:33 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 02:33 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2007-10-04 16:36 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-03-18 16:40 1,958 -c--a-w C:\Documents and Settings\personne\winupdate.dat
2004-07-03 09:28 3,063 -csha-w C:\WINDOWS\cztmq.dat
2004-07-14 11:24 11,388 -csha-w C:\WINDOWS\system32\aojqd.dat
2004-09-23 00:57 0 -csha-w C:\WINDOWS\system32\ntgy32.dll
2004-08-16 21:15 11,591 -csha-w C:\WINDOWS\system32\yslrg.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{14646ab2-31e0-8734-5bac-edebe4b912a1}]
C:\WINDOWS\system32\{0af69f79-c323-7934-bd4e-d6d50f12fc8f}.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9F8E3B86-8130-F3C4-1194-D68F76257ACB}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3FB9CF2-C202-4B34-B4CD-4AEAD041A468}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CD8032A4-8433-A0E1-4591-D78F07572F95}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:33 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="Atiptaxx.exe" [2001-09-19 13:20 245760 C:\WINDOWS\system32\atiptaxx.exe]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2008-05-09 10:54 26112]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:33 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBuUkkh]
geBuUkkh.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll
"VIDC.MJPG"= sonymjpg.dll
"MSACM.NSGSM"= NSGSM32.ACM
"MSACM.NSTSP"= NSTSP32.ACM
"MSACM.sx5363s"= sx5363s.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R3 ati2mpab;ati2mpab;C:\WINDOWS\system32\DRIVERS\ati2mpab.sys [2001-09-28 11:13]
R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 09:57]
R3 VIAMODEM;VIAMODEM;C:\WINDOWS\system32\DRIVERS\VIAMODEM.sys [2001-11-13 17:14]
S3 alcan5ln;Alcatel SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys [2002-06-25 10:56]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-10 12:50]
S3 wlags51b;Agere Wireless USB Driver;C:\WINDOWS\system32\DRIVERS\wlags51b.sys [2003-09-22 11:14]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{165f1810-1d1e-11dd-96a5-0010c63e0441}]
\Shell\AutoRun\command - F:\ka1nk.bat
\Shell\explore\Command - F:\ka1nk.bat
\Shell\open\Command - F:\ka1nk.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b876963-497c-11da-92f5-0010c63e0441}]
\Shell\AutoRun\command - F:\0.com
\Shell\explore\Command - F:\0.com
\Shell\open\Command - F:\0.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609d6b87-0943-11dd-9686-00038a000015}]
\Shell\Auto\command - F:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d8b59d0-a681-11dc-95ca-00038a000015}]
\Shell\AutoRun\command - F:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8c1d315-3e39-11da-92e2-0010c63e0441}]
\Shell\AutoRun\command - F:\dp.cmd
\Shell\explore\Command - F:\dp.cmd
\Shell\open\Command - F:\dp.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0255360-19c2-11dd-969e-0800466daf9b}]
\Shell\AutoRun\command - F:\ka1nk.bat
\Shell\explore\Command - F:\ka1nk.bat
\Shell\open\Command - F:\ka1nk.bat
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 14:59:57
Windows 5.1.2600 Service Pack 3 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Wireless\Client Manager\Cmags.exe
C:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-23 15:04:55 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-23 13:04:47
Pre-Run: 1,661,472,768 octets libres
Post-Run: 1,590,456,320 octets libres
251 --- E O F --- 2008-06-20 15:48:58
MSNFix 1.725
C:\Documents and Settings\personne\Bureau\MSNFix
Fix exécuté le 23/06/2008 - 15:14:18,80 By personne
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
************************ HKLM\...\Winlogon\Userinit
Userinit = C:\WINDOWS\system32\userinit.exe,
Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
|
|
|
1
|
|
|
|
