D:\resycled\boot.com [WORM/AutoTDSS.JW]
Résolu/Fermé
varach
Messages postés
225
Date d'inscription
vendredi 14 janvier 2005
Statut
Membre
Dernière intervention
29 septembre 2016
-
6 janv. 2009 à 11:59
varach Messages postés 225 Date d'inscription vendredi 14 janvier 2005 Statut Membre Dernière intervention 29 septembre 2016 - 6 janv. 2009 à 15:27
varach Messages postés 225 Date d'inscription vendredi 14 janvier 2005 Statut Membre Dernière intervention 29 septembre 2016 - 6 janv. 2009 à 15:27
10 réponses
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
6 janv. 2009 à 12:05
6 janv. 2009 à 12:05
Salut
Télécharge UsbFix sur ton bureau
--> Lance l'installation avec les paramètres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Choisis l'option nettoyage
--> Le pc va redémarer
-->Après redémarrage poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
/!\ "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
ensuite
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Avant de telecharger clic sur enregistrer renomme le en killbagle et enregistre le sur le bureau
-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Une fois fait, sur ton bureau double-clic sur killbagle.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Télécharge UsbFix sur ton bureau
--> Lance l'installation avec les paramètres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Choisis l'option nettoyage
--> Le pc va redémarer
-->Après redémarrage poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
/!\ "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
ensuite
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Avant de telecharger clic sur enregistrer renomme le en killbagle et enregistre le sur le bureau
-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Une fois fait, sur ton bureau double-clic sur killbagle.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
varach
Messages postés
225
Date d'inscription
vendredi 14 janvier 2005
Statut
Membre
Dernière intervention
29 septembre 2016
3
6 janv. 2009 à 12:51
6 janv. 2009 à 12:51
merci de ton aide
le premier rapport
le premier rapport
-------------- UsbFix V2.413.9 --------------- * User : Utilisateur - YANNV * Outils mis a jours le 05/01/2009 par Chiquitine29 et Chimay8 * Recherche effectuée à 12:47:12 le 06/01/2009 * Windows Xp - Internet Explorer 7.0.5730.13 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe C:\Program Files\Fichiers communs\ArchestrA\aaLogger.exe C:\WINDOWS\system32\agrsmsvc.exe C:\program files\common files\Siemens\sws\almsrv\almsrvx.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\program files\common files\Siemens\ACE\bin\CCAgent.exe C:\program files\common files\Siemens\ACE\bin\CCEServer.exe C:\Program Files\Fichiers communs\ArchestrA\NTServApp.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\program files\common files\Siemens\ALMPanelPlugin\ALMPanelPlugin.exe C:\Program Files\LogMeIn\x86\RaMaint.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Program Files\LogMeIn\x86\LogMeIn.exe C:\Program Files\LogMeIn\x86\LMIGuardian.exe C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe D: - Lecteur fixe +- Contenu de l'autorun : C:\autorun.inf [autorun] ;ngnywlszkdlkkhiccbukevmovhnuovvierxcsuvraykgqkxuqaichxtfrvlfftcxveglteinwqeusukvoagplomrfwbizitbfqjlrh shellexecute="resycled\boot.com c:" ;jpbxbgzboockmngmdaxauylddqsbhmujbfigakpsmmedthhkhqkcgkdgvtfxaepbxknetdkhazztbp shell\Open\command="r +- Contenu de l'autorun : D:\autorun.inf [autorun] ;czchwsimtxooyqkdhethotkcuicylrjzbwrsowhpbmvblfvfsmdqdtwqhdrpesifgnopiwupsf shellexecute="resycled\boot.com d:" ;wqhoqpgbyfombixspfnfamtoktqcguncpmirsfxnzhovwovzefbaqs shell\Open\command="resycled\boot.com d:" ;knwizayteusqstqgjxxhvladdrhod --------------- [ Lecteur C ] ---------------- C: - Lecteur fixe +- Listing des fichiers présents : [15/11/2007 21:04][--a------] C:\AUTOEXEC.BAT [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM [16/11/2007 01:39][---hs----] C:\boot.ini [31/12/2008 11:13][-r-hs----] C:\autorun.inf [19/12/2008 07:02][--a------] C:\licenceRdd.txt [19/12/2008 07:02][--a------] C:\moduleName.txt [19/12/2008 07:02][--a------] C:\UsbFix.txt [15/11/2007 21:04][--a------] C:\CONFIG.SYS [15/11/2007 21:04][--a------] C:\IO.SYS [15/11/2007 21:04][--a------] C:\MSDOS.SYS [15/11/2007 21:04][--a------] C:\pagefile.sys --------------- [ Lecteur D ] ---------------- D: - Lecteur fixe +- Listing des fichiers présents : [31/12/2008 11:13][-r-hs----] D:\autorun.inf --------------- [ Registre / Startup ] ---------------- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run] ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run] StartCCC=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe WinVNC="C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper LogMeIn GUI="C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" ISUSPM Startup=C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start S7UB Start="C:\program files\common files\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB WinCC flexible Smart Start="C:\Program Files\Siemens\SIMATIC WinCC flexible\WinCC flexible 2008\HmiSmartStart.exe" /startup Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" Client Access Service="C:\Program Files\IBM\Client Access\cwbsvstr.exe" Client Access Help Update="C:\Program Files\IBM\Client Access\cwbinhlp.exe" Client Access Check Version="C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN Client Access Express Welcome="C:\Program Files\IBM\Client Access\cwbwlwiz.exe" Client Access PC5250 Sound="C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe" avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents= <NO NAME>= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL= Installed=1 <NO NAME>= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI= NoChange=1 Installed=1 <NO NAME>= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS= Installed=1 <NO NAME>= --------------- [ Registre / Mountpoint2 ] ---------------- Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{263ba239-b234-11dd-a5cd-001a4b698dbe}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a73418f2-afab-11dc-a404-001a4b698dbe}\Shell\AutoRun\command --------------- [ Nettoyage des disques ] ---------------- Supprimé ! - [05/09/2008 07:51][--a------] C:\WINDOWS\system32\tmp.reg C:\autorun.inf ~> fichier appelé : "C:\"r" ( absent ! ) D:\autorun.inf ~> fichier appelé : "D:\"resycled\boot.com d:"" ( absent ! ) Supprimé ! - [31/12/2008 11:13][-r-hs----] C:\autorun.inf Supprimé ! - [31/12/2008 11:13][-r-hs----] D:\autorun.inf Supprimé ! - [06/01/2009 11:50][dr-hs----] D:\resycled --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [15/11/2007 21:04][--a------] C:\AUTOEXEC.BAT [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM [16/11/2007 01:39][---hs----] C:\boot.ini --------------- [ Vaccination ] ---------------- C:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! D:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! --------------- ! Fin du rapport ! ----------------
varach
Messages postés
225
Date d'inscription
vendredi 14 janvier 2005
Statut
Membre
Dernière intervention
29 septembre 2016
3
6 janv. 2009 à 12:58
6 janv. 2009 à 12:58
le second
ComboFix 09-01-05.05 - Utilisateur 2009-01-06 12:52:56.9 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2047.1417 [GMT 1:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\killbagleexe.exe
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Downloaded Program Files\setup.inf
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.
2009-01-06 12:44 . 2009-01-06 12:47 <REP> d-------- c:\program files\UsbFix
2009-01-06 11:51 . 2009-01-06 11:53 <REP> d-------- c:\program files\SafeSoft
2009-01-05 13:39 . 2009-01-05 13:39 0 --a------ c:\windows\licview.INI
2009-01-05 13:28 . 2009-01-05 13:29 214,528 --a------ C:\[u]0[/u]9010500.lgh
2009-01-05 13:28 . 2009-01-05 13:29 30,720 --a------ C:\[u]0[/u]9010500.idx
2009-01-05 11:03 . 2009-01-05 11:38 <REP> d-------- c:\program files\a-squared Anti-Malware
2009-01-05 09:29 . 2009-01-05 09:30 <REP> d-------- c:\program files\TTERMPRO
2009-01-05 09:28 . 2009-01-05 09:29 43 --a------ c:\windows\iltwain.ini
2008-12-31 08:06 . 2008-12-31 08:06 <REP> d-------- c:\documents and settings\Utilisateur\Application Data\ArchestrA
2008-12-31 07:48 . 2008-12-31 07:48 0 --a------ c:\windows\aaLicView.INI
2008-12-31 07:38 . 2008-12-31 07:38 <REP> d-------- c:\program files\Wonderware
2008-12-31 07:38 . 2008-12-31 07:38 <REP> d-------- c:\program files\Rainbow Technologies
2008-12-31 07:38 . 2009-01-05 13:21 <REP> d-------- c:\program files\Fichiers communs\ArchestrA
2008-12-31 07:38 . 2008-12-31 07:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Wonderware
2008-12-31 07:38 . 2008-12-31 07:39 <REP> d-------- c:\documents and settings\All Users\Application Data\ArchestrA
2008-12-22 09:34 . 2008-12-22 09:34 <REP> d-------- c:\program files\Google
2008-12-17 13:06 . 2008-12-17 13:06 <REP> d-------- c:\program files\Microsoft
2008-12-17 13:05 . 2008-12-17 13:05 <REP> d-------- c:\program files\Windows Live SkyDrive
2008-12-11 07:27 . 2008-12-11 07:27 <REP> d-------- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2008-12-08 08:57 . 2008-12-15 08:17 593 --a------ c:\windows\imsins.BAK
2008-12-08 08:47 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 07:17 --------- d-----w c:\program files\Advanced IP Scanner
2009-01-06 05:32 --------- d-----w c:\program files\LogMeIn
2008-12-31 10:53 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-31 10:33 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-12-30 10:57 --------- d-----w c:\program files\Siemens
2008-12-29 13:02 --------- d-----w c:\program files\CS6
2008-12-17 12:11 --------- d-----w c:\program files\Messenger Plus! Live
2008-12-17 12:05 --------- d-----w c:\program files\Windows Live
2008-12-08 13:42 --------- d-----w c:\documents and settings\Utilisateur\Application Data\U3
2008-12-05 12:41 --------- d-----w c:\program files\Java
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll
2008-11-25 08:03 --------- d-----w c:\documents and settings\Utilisateur\Application Data\TomTom
2008-11-25 08:03 --------- d-----w c:\documents and settings\All Users\Application Data\TomTom
2008-11-25 07:57 --------- d-----w c:\program files\TomTom DesktopSuite
2008-11-17 06:30 --------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-11-14 13:35 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-11-14 10:29 --------- d-----w c:\program files\Trend Micro
2008-11-14 07:44 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Tyre
2008-11-13 15:18 --------- d-----w c:\program files\Microsoft Silverlight
2008-11-13 08:49 --------- d-----w c:\program files\Fichiers communs\SWF Studio
2008-11-13 07:21 --------- d-----w c:\program files\PS-Wizard
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-11-07 13:08 --------- d-----w c:\program files\Avira
2008-11-07 13:08 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2008-11-06 07:06 --------- d-----w c:\program files\PDF Editeur 2
2008-11-06 07:06 --------- d-----w c:\program files\Fichiers communs\XPressUpdate
2008-10-18 05:34 87,352 ----a-w c:\windows\system32\LMIinit.dll
2008-10-18 05:34 83,288 ----a-w c:\windows\system32\LMIRfsClientNP.dll
2008-10-18 05:34 28,984 ----a-w c:\windows\system32\LMIport.dll
2008-10-18 05:34 23,736 ----a-w c:\windows\system32\lmimirr.dll
2008-10-18 05:34 10,040 ----a-w c:\windows\system32\lmimirr2.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:07 208,744 ----a-w c:\windows\system32\muweb.dll
2008-04-10 12:54 88 --sh--r c:\documents and settings\All Users\Application Data\3B54EF5A91.sys
2008-04-10 12:54 2,516 --sha-w c:\documents and settings\All Users\Application Data\KGyGaAvL.sys
1998-04-27 18:15 570,128 ------w c:\program files\Fichiers communs\dao350.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-06-11 163840]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-07 827392]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2007-09-12 63048]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 196608]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]
"S7UB Start"="c:\program files\common files\Siemens\S7ubtoox\s7ubtstx.exe" [2008-07-14 102453]
"WinCC flexible Smart Start"="c:\program files\Siemens\SIMATIC WinCC flexible\WinCC flexible 2008\HmiSmartStart.exe" [2008-08-02 114688]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2005-06-09 20530]
"Client Access Help Update"="c:\program files\IBM\Client Access\cwbinhlp.exe" [2005-06-09 24626]
"Client Access Check Version"="c:\program files\IBM\Client Access\cwbckver.exe" [2005-06-09 45106]
"Client Access Express Welcome"="c:\program files\IBM\Client Access\cwbwlwiz.exe" [2005-06-09 20480]
"Client Access PC5250 Sound"="c:\program files\IBM\Client Access\Emulator\pcssnd.exe" [2005-06-09 40960]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
c:\documents and settings\Utilisateur\Menu D‚marrer\Programmes\D‚marrage\
SyncBack.lnk - c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2008-07-08 2936064]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]
start.bat [2008-11-06 226]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-18 06:34 87352 c:\windows\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0[/u]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\UltraVNC\\winvnc.exe"=
"c:\\Program Files\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe"=
"c:\\Program Files\\Siemens\\Step7\\S7INF\\S7usiapx.exe"=
"c:\\WINDOWS\\system32\\s7otbxsx.exe"=
"c:\\Program Files\\common files\\Siemens\\ace\\bin\\CCAgent.exe"=
"c:\\Program Files\\common files\\Siemens\\ace\\bin\\CCEServer.exe"=
"c:\\Program Files\\common files\\Siemens\\ace\\bin\\RedundancyControl.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\HmiES.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\TraceServer.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\Miniweb.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\SmartServer.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\HmiLoad.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe"=
"c:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe"=
"c:\\Program Files\\Wonderware\\InTouch\\wm.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\OpcEnum.exe"=
"c:\\WINDOWS\\system32\\dllhost.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"445:TCP"= 445:TCP:@xpsp2res.dll,-22005
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"102:TCP"= 102:TCP:DAS SI 102
"135:TCP"= 135:TCP:DCOM 135
"502:TCP"= 502:TCP:Modicon 502
"1434:UDP"= 1434:UDP:SQL Server Browser 1434
"1433:TCP"= 1433:TCP:SQL TCP 1433
"2221:TCP"= 2221:TCP:DAS ABTCP 2221
"2222:TCP"= 2222:TCP:DAS ABTCP 2222
"2223:TCP"= 2223:TCP:DAS ABTCP 2223
"5413:TCP"= 5413:TCP:Port 5413
"80:TCP"= 80:TCP:SuiteVoyager 80
"443:TCP"= 443:TCP:SuiteVoyager 443
"9001:TCP"= 9001:TCP:vista 9001
"9002:TCP"= 9002:TCP:EnvMngr 9002
"9003:TCP"= 9003:TCP:MsgMngr 9003
"9004:TCP"= 9004:TCP:SecMngr 9004
"9006:TCP"= 9006:TCP:RedMngr 9006
"9007:TCP"= 9007:TCP:UnilinkMngr 9007
"9008:TCP"= 9008:TCP:BatchMngr 9008
"9011:TCP"= 9011:TCP:LogMngr 9011
"9012:TCP"= 9012:TCP:InfoMngr 9012
"9013:UDP"= 9013:UDP:RedMngrX 9013
"9014:UDP"= 9014:UDP:RedMngrX2 9014
"9015:TCP"= 9015:TCP:HistQMngrvista 9015
"9016:TCP"= 9016:TCP:HistQReader 9016
"44818:TCP"= 44818:TCP:Logix 44818
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"Enabled"= 0 (0x0)
R3 fwkbdrtm;fwkbdrtm;c:\windows\system32\drivers\fwkbdrtm.sys [2008-08-01 5632]
R4 almservice;Automation License Manager Service;c:\program files\common files\Siemens\SWS\almsrv\almsrvx.exe [2008-05-20 1146880]
R4 CCAgent;CCAgent;c:\program files\common files\Siemens\ace\bin\CCAgent.exe [2007-06-28 266307]
R4 CCEServer;CCEServer;c:\program files\common files\Siemens\ace\bin\CCEServer.exe [2007-06-28 192581]
R4 Dpmtrcdd;Dpmtrcdd;c:\windows\system32\drivers\dpmtrcdd.sys [2007-06-25 28363]
R4 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [2007-09-12 12856]
R4 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2007-11-19 47640]
R4 MSSQL$WINCCFLEXEXPRESS;SQL Server (WINCCFLEXEXPRESS);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504]
R4 Peakcan;Peakcan;c:\windows\system32\drivers\PEAKCAN.SYS [2007-12-03 177296]
R4 RedundancyControl;RedundancyControl;c:\program files\common files\Siemens\ace\bin\RedundancyControl.exe [2007-06-28 331853]
R4 RedundancyState;RedundancyState;c:\program files\common files\Siemens\ace\bin\RedundancyState.exe [2007-06-28 110667]
R4 s7asysvx;S7 Global Services;c:\program files\Siemens\Step7\S7BIN\s7asysvx.exe [2008-07-14 69685]
R4 s7odpx2x;SIMATIC MPI/PROFIBUS DPX2 Driver;c:\windows\system32\drivers\s7odpx2x.sys [2008-07-03 77312]
R4 s7oiehsx;SIMATIC IEPG Help Service;c:\program files\common files\Siemens\S7IEPG\s7oiehsx.exe [2008-07-03 1571912]
R4 S7opcsrtx;PROFINET IO RT-Protocol (LLDP);c:\windows\system32\drivers\s7opcsrtx.sys [2008-07-03 31232]
R4 s7osmcax;s7osmcax;c:\windows\system32\drivers\s7osmcax.sys [2008-07-03 173568]
R4 s7snsrtx;PROFINET IO RT-Protocol;c:\windows\system32\drivers\s7snsrtx.sys [2007-07-30 71168]
R4 S7TraceServiceX;S7TraceServiceX;c:\program files\Fichiers communs\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe [2008-07-03 240712]
R4 SCSMonitor;SCSMonitor;c:\program files\common files\Siemens\ace\bin\SCSMX.exe [2007-06-28 122945]
S3 CCEClient;CCEClient;c:\program files\common files\Siemens\ace\bin\CCEClient.exe [2007-06-28 225349]
S3 dpmcslv;dpmcslv;c:\windows\system32\drivers\dpmcslv.sys [2005-07-04 68280]
S3 S5S7DRV;S5S7DRV;c:\s5w\s5s7drv.sys [2008-04-24 51640]
S3 s7oefs_x;SIMATIC MPI/EFS Driver;c:\windows\system32\drivers\s7oefs_x.sys [2002-10-18 30512]
S3 s7oppinx;s7oppinx;c:\windows\system32\drivers\s7oppinx.sys [2008-07-03 124928]
S3 S7OUPC2X;SIMATIC PC Adapter USB Driver;c:\windows\system32\drivers\s7oupc2x.sys [2007-11-19 21536]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
S4 SsfdcPp;Parallel Port Ssfdc Programmer Driver;c:\windows\system32\drivers\SsfdcPp.sys [2007-12-12 12583]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2009-01-06 c:\windows\Tasks\SyncBack Pc Vers H.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2008-02-12 10:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = 192.168.1.2:8080
uInternet Settings,ProxyOverride = <local>
Trusted Zone: chat.tchatche.com
Trusted Zone: fr.mg40.mail.yahoo.com
c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 12:54:58
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*NULL*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
.
Heure de fin: 2009-01-06 12:56:12
ComboFix-quarantined-files.txt 2009-01-06 11:56:10
Avant-CF: 5 990 608 896 octets libres
Après-CF: 6,035,177,472 octets libres
264 --- E O F --- 2008-12-08 11:00:12
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
6 janv. 2009 à 13:50
6 janv. 2009 à 13:50
mwouais,
rien de dramatique
Télécharge SDfix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Tu peux suivre le tutorial SDFix de Malekal pour t'aider :
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Si SDFix ne se lance pas
Clique sur Démarrer > Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
Clique sur Ok.
Redémarre et essaie de relance SDFix.
rien de dramatique
Télécharge SDfix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Tu peux suivre le tutorial SDFix de Malekal pour t'aider :
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Si SDFix ne se lance pas
Clique sur Démarrer > Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
Clique sur Ok.
Redémarre et essaie de relance SDFix.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
varach
Messages postés
225
Date d'inscription
vendredi 14 janvier 2005
Statut
Membre
Dernière intervention
29 septembre 2016
3
6 janv. 2009 à 13:51
6 janv. 2009 à 13:51
c parti ......
varach
Messages postés
225
Date d'inscription
vendredi 14 janvier 2005
Statut
Membre
Dernière intervention
29 septembre 2016
3
6 janv. 2009 à 14:08
6 janv. 2009 à 14:08
le rapport
[b]SDFix: Version 1.240 [/b]
Run by Utilisateur on 06/01/2009 at 13:56
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 14:03:54
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"OfflineDetectionPending"=dword:00000001
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\UltraVNC\\winvnc.exe"="C:\\Program Files\\UltraVNC\\winvnc.exe:*:Enabled:UltraVnc"
"C:\\Program Files\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe"="C:\\Program Files\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe:*:Enabled:SIEMENS STEP7 SIMATIC Manager"
"C:\\Program Files\\Siemens\\Step7\\S7INF\\S7usiapx.exe"="C:\\Program Files\\Siemens\\Step7\\S7INF\\S7usiapx.exe:*:Enabled:SIEMENS STEP7 S7InfoBox"
"C:\\WINDOWS\\system32\\s7otbxsx.exe"="C:\\WINDOWS\\system32\\s7otbxsx.exe:*:Enabled:SIEMENS STEP7 Block Administration"
"C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCAgent.exe"="C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCAgent.exe:*:Enabled:CCAgent"
"C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCEServer.exe"="C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCEServer.exe:*:Enabled:CCEServer"
"C:\\Program Files\\common files\\Siemens\\ace\\bin\\RedundancyControl.exe"="C:\\Program Files\\common files\\Siemens\\ace\\bin\\RedundancyControl.exe:*:Enabled:RedundancyControl"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\HmiES.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\HmiES.exe:*:Enabled:SIMATIC WinCC flexible 2008 Application"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\TraceServer.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\TraceServer.exe:*:Enabled:SIMATIC WinCC flexible 2008 Trace Server"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\Miniweb.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\Miniweb.exe:*:Disabled:WinCC flexible RT Module MiniWeb"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\SmartServer.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\SmartServer.exe:*:Disabled:WinCC flexible RT Module SmartServer"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\HmiLoad.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\HmiLoad.exe:*:Enabled:WinCC flexible RT Module HmiLoad"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe:*:Enabled:aaLogger.exe"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe:*:Enabled:Slssvc.exe"
"C:\\Program Files\\Wonderware\\InTouch\\wm.exe"="C:\\Program Files\\Wonderware\\InTouch\\wm.exe:*:Enabled:wm.exe"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:mmc.exe"
"C:\\WINDOWS\\system32\\OpcEnum.exe"="C:\\WINDOWS\\system32\\OpcEnum.exe:*:Enabled:OPCEnum.exe"
"C:\\WINDOWS\\system32\\dllhost.exe"="C:\\WINDOWS\\system32\\dllhost.exe:*:Enabled:dllhost.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe:*:Enabled:aaLogger.exe"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe:*:Enabled:Slssvc.exe"
"C:\\Program Files\\Wonderware\\InTouch\\wm.exe"="C:\\Program Files\\Wonderware\\InTouch\\wm.exe:*:Enabled:wm.exe"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:mmc.exe"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\DASAgent.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\DASAgent.exe:*:Enabled:DASAgent.exe"
"C:\\WINDOWS\\system32\\OpcEnum.exe"="C:\\WINDOWS\\system32\\OpcEnum.exe:*:Enabled:OPCEnum.exe"
"C:\\WINDOWS\\system32\\dllhost.exe"="C:\\WINDOWS\\system32\\dllhost.exe:*:Enabled:dllhost.exe"
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Thu 10 Apr 2008 88 ..SHR --- "C:\Documents and Settings\All Users\Application Data\3B54EF5A91.sys"
Thu 10 Apr 2008 2,516 A.SH. --- "C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys"
Wed 26 Mar 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 23 Jan 2003 65,952 ..SHR --- "C:\Program Files\Autodesk\Autodesk Express Viewer\Setup.exe"
Mon 26 May 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 26 May 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0b2a5d3729102bcb5f9c439959308769\BIT7.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1a79d286b69e512b23d951bb64a72265\BIT5.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\37cc3320d848589a26c262a19e379099\BITC.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\396049922280871121dbde1adcfa780a\BITD.tmp"
Fri 19 Dec 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\405ae8e48aa46e265982686e1678047b\BIT492.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4f48480c3bff7fa275c02353aba158bb\BITF.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\72ae9b28c31b455ef5c8ceea36724fb8\BITA.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\850294be8fc47beacbce9b6c332e9d59\BIT9.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\916bfa969481cdaef14e1805a5f36838\BIT4.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b15f12905daf2d5f4bb1d398773d75a0\BITB.tmp"
Mon 19 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT4B.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\dcfb3f0fee0b76240a4ce7e93515b1e3\BIT8.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fc379404d05b26b2f6ffb6c71844aaf2\BITE.tmp"
Tue 6 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fcf5cd6cb2fc221b406515dd1d2eb26b\BIT6.tmp"
[b]Finished![/b]
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
6 janv. 2009 à 14:28
6 janv. 2009 à 14:28
c'est cool,
par sureté
fais ceci
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau.
https://www.malwarebytes.com/
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )
A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation.
Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et en fin d'installation, vérifie que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" soit cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.
La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur.
L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
Si des malwares sont détectés, leur liste s'affiche.
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE*** , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
par sureté
fais ceci
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau.
https://www.malwarebytes.com/
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )
A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation.
Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et en fin d'installation, vérifie que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" soit cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.
La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur.
L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
Si des malwares sont détectés, leur liste s'affiche.
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE*** , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
varach
Messages postés
225
Date d'inscription
vendredi 14 janvier 2005
Statut
Membre
Dernière intervention
29 septembre 2016
3
6 janv. 2009 à 15:22
6 janv. 2009 à 15:22
ci joint le rapport .. et encore merci
Malwarebytes' Anti-Malware 1.32 Version de la base de données: 1624 Windows 5.1.2600 Service Pack 2 06/01/2009 15:21:54 mbam-log-2009-01-06 (15-21-54).txt Type de recherche: Examen complet (C:\|D:\|) Eléments examinés: 175539 Temps écoulé: 49 minute(s), 45 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté)
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
6 janv. 2009 à 15:25
6 janv. 2009 à 15:25
ok,
tu n'es plus infecté
Supprime Combofix ainsi :
~>Clique sur " Démarrer " ~> " Exécuter "( ou combine la touche Windows + R ) -> copie/colle cette ligne :
ComboFix /u
( laisse l'espace entre Combofix et /u )
~>Valide .
Télécharge ToolsCleaner sur ton bureau.
-->
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
ensuite
Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
***très important***
Suppression des points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche "Désactiver la restauration système"
6.Valide par Ok
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3
9.Décoche "Désactiver la restauration système"
10.Valide par Ok
sous vista
https://www.01net.com/actualites/
http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista
Ne pas oublier de créer un nouveau point de restauration en procédant comme indiqué sur le lien ci dessous
https://www.vulgarisation-informatique.com/creer-point-restauration.php
si tu n as pas d autres soucis change le statut du sujet en resolu stp
tu n'es plus infecté
Supprime Combofix ainsi :
~>Clique sur " Démarrer " ~> " Exécuter "( ou combine la touche Windows + R ) -> copie/colle cette ligne :
ComboFix /u
( laisse l'espace entre Combofix et /u )
~>Valide .
Télécharge ToolsCleaner sur ton bureau.
-->
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
ensuite
Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
***très important***
Suppression des points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche "Désactiver la restauration système"
6.Valide par Ok
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3
9.Décoche "Désactiver la restauration système"
10.Valide par Ok
sous vista
https://www.01net.com/actualites/
http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista
Ne pas oublier de créer un nouveau point de restauration en procédant comme indiqué sur le lien ci dessous
https://www.vulgarisation-informatique.com/creer-point-restauration.php
si tu n as pas d autres soucis change le statut du sujet en resolu stp
varach
Messages postés
225
Date d'inscription
vendredi 14 janvier 2005
Statut
Membre
Dernière intervention
29 septembre 2016
3
6 janv. 2009 à 15:27
6 janv. 2009 à 15:27
OK merci pour ton aide . je met resolu
yann
yann
