Virus X.tmp
Fermé
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
-
5 févr. 2009 à 18:31
jalobservateur - 17 juin 2009 à 18:41
jalobservateur - 17 juin 2009 à 18:41
A voir également:
- Virus X.tmp
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
59 réponses
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
7 févr. 2009 à 03:00
7 févr. 2009 à 03:00
Salut,
"[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR
[COLOR=RED] c:\windows\system32\svchost.exe . . . est infecté!!/COLOR
[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infecté!!/COLOR
[COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR"
---> Ah oui, c'est parfaitement clean en effet...
"[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR
[COLOR=RED] c:\windows\system32\svchost.exe . . . est infecté!!/COLOR
[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infecté!!/COLOR
[COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR"
---> Ah oui, c'est parfaitement clean en effet...
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 févr. 2009 à 16:36
7 févr. 2009 à 16:36
Bonjour,
fais tourner Combofix comme demandé et poste le rapport.
Après, si il est propre, on te fera supprimer les outils inutiles.
fais tourner Combofix comme demandé et poste le rapport.
Après, si il est propre, on te fera supprimer les outils inutiles.
noctambule28
Messages postés
31791
Date d'inscription
samedi 12 mai 2007
Statut
Webmaster
Dernière intervention
13 février 2022
2 858
5 févr. 2009 à 23:41
5 févr. 2009 à 23:41
Salut
Pour seconder Kvin, mais c'est lui qui va continuer
T'as télecharger , installer un truc recemmment ( qui serait pas très clair )
2009-02-04 19:05 . 2009-02-04 19:05 3,584 --a------ c:\windows\vcbaprwa.exe , ça c'est inconnu sur le web, et ça a produit des drivers ....
Il y a un bon paquet de truc à verifier sur ton combo
J'aimerais bien un rapport smitfraud
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
@+
Pour seconder Kvin, mais c'est lui qui va continuer
T'as télecharger , installer un truc recemmment ( qui serait pas très clair )
2009-02-04 19:05 . 2009-02-04 19:05 3,584 --a------ c:\windows\vcbaprwa.exe , ça c'est inconnu sur le web, et ça a produit des drivers ....
Il y a un bon paquet de truc à verifier sur ton combo
J'aimerais bien un rapport smitfraud
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
@+
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
16 févr. 2009 à 23:27
16 févr. 2009 à 23:27
Comment tu sais qu'il est infecté ton PC ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
1
17 févr. 2009 à 00:15
17 févr. 2009 à 00:15
les processus 3.TMP et compagnie revenaient, et j'avais exactement les mêmes symptômes que la première fois que j'ai posté
depuis que j'ai formaté TOUS les disques (et pas que celui contenant le système d'exploitation) et que je n'accède à aucun périphérique externe genre clé usb ou disque externe ça "semble" s'être arrêté
histoire de faire une auto-citation et de ne pas tout retaper
"
Ceci dit, j'avais sauvegardé tous mes documents sur un disque dur externe, qui ne sert que de disque de stockage. Seulement, je redoute que le virus ce soit "migré" là dessus, attendant l'occasion propice de revenir sur mon système. Que faire ? D'après ce que j'ai pu comprendre (cf post Comment supprimer Virut ?), un "logiciel exécutable ou zippé" et un risque potentiel. Cela signifie t-il qu'un fichier vidéo/audio/texte est sans risque ?
"
depuis que j'ai formaté TOUS les disques (et pas que celui contenant le système d'exploitation) et que je n'accède à aucun périphérique externe genre clé usb ou disque externe ça "semble" s'être arrêté
histoire de faire une auto-citation et de ne pas tout retaper
"
Ceci dit, j'avais sauvegardé tous mes documents sur un disque dur externe, qui ne sert que de disque de stockage. Seulement, je redoute que le virus ce soit "migré" là dessus, attendant l'occasion propice de revenir sur mon système. Que faire ? D'après ce que j'ai pu comprendre (cf post Comment supprimer Virut ?), un "logiciel exécutable ou zippé" et un risque potentiel. Cela signifie t-il qu'un fichier vidéo/audio/texte est sans risque ?
"
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 18:34
5 févr. 2009 à 18:34
Salut
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Une fois sauvegardé sur ton bureau, double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
* Redémarre ton ordinateur
* Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l’outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
TUTO Si besoin
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Une fois sauvegardé sur ton bureau, double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
* Redémarre ton ordinateur
* Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l’outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
TUTO Si besoin
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
1
5 févr. 2009 à 18:39
5 févr. 2009 à 18:39
Merci de cette réponse aussi rapide.
J'ai oublie de préciser que je l'avais déjà fait, voici le rapport
[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 05/02/2009 at 17:03
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Rootkit Found :
C:\windows\system32\drivers\ATI6AMXX.sys - Rootkit Pandex/Cutwail - Protect.sys
[b]Name [/b]:
protect
ATI6AMXX
[b]Path [/b]:
System32\drivers\protect.sys
System32\Drivers\ati6amxx.sys
protect - Deleted
ATI6AMXX - Deleted
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Service ATI6AMXX - Deleted after Reboot
[b]Checking Files [/b]:
Trojan Files Found:
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\windows\system32\2.tmp - Deleted
C:\windows\system32\3.tmp - Deleted
C:\windows\system32\4.tmp - Deleted
C:\windows\system32\5.tmp - Deleted
C:\windows\system32\6.tmp - Deleted
C:\windows\system32\7.tmp - Deleted
C:\windows\system32\8.tmp - Deleted
C:\windows\system32\9.tmp - Deleted
C:\windows\system32\2.tmp - Deleted
C:\windows\services.exe - Deleted
C:\windows\system32\drivers\protect.sys - Deleted
C:\windows\system32\drivers\ATI6AMXX.sys - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 17:11:10
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ff,57,64,3a,de,ea,51,74,64,e8,ed,ba,ef,2d,84,be,bf,a4,79,23,50,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:64,62,02,00,c0,73,3c,00,0e,f3,6a,ce,a8,ff,ff,ff,7b,00,34,00,44,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c5,73,c9,60,e9,c7,9d,61,40,22,9b,21,88,8b,a9,7a,61,fb,f1,ca,4d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:52,71,93,40,3f,6f,2d,66,d1,0d,6f,73,29,23,fc,40,aa,8a,fd,44,0d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3c,63,b8,c9,1e,59,76,77,4c,0d,3e,a5,b9,65,f1,06,5a,7f,f7,c9,be,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d8,48,3a,a8,56,14,67,1b,c1,c8,bd,cc,71,16,66,f4,97,fd,cf,65,3a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:f8,ce,2e,ea,b9,38,3d,2e,55,92,70,4b,65,65,c1,bb,49,59,28,7b,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:8a,a9,6e,69,98,92,bf,40,f5,38,8c,60,52,4a,54,08,ca,c8,f0,be,05,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3c,63,b8,c9,1e,59,76,77,4c,0d,3e,a5,b9,65,f1,06,5a,7f,f7,c9,be,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d8,48,3a,a8,56,14,67,1b,c1,c8,bd,cc,71,16,66,f4,97,fd,cf,65,3a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:f8,ce,2e,ea,b9,38,3d,2e,55,92,70,4b,65,65,c1,bb,49,59,28,7b,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,a1,b4,c5,4b,db,54,36,e5,28,25,03,c5,47,87,6a,a2,70,00,24,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:9b,04,39,f0,fa,81,77,bb,6c,3a,4f,df,1d,7d,58,59,11,cc,77,76,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:b2,1e,6d,1b,df,8e,67,c4,8a,0f,9b,9f,59,08,b5,c4,25,01,5e,1d,e9,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xbqigro]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\windows\system32\drivers\wskcuhw.sys"
"DisplayName"="xbqigro"
"RulesData"=hex:03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xbqigro\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,a1,b4,c5,4b,db,54,36,e5,28,25,03,c5,47,87,6a,a2,70,00,24,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:9b,04,39,f0,fa,81,77,bb,6c,3a,4f,df,1d,7d,58,59,11,cc,77,76,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:b2,1e,6d,1b,df,8e,67,c4,8a,0f,9b,9f,59,08,b5,c4,25,01,5e,1d,e9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"D:\\Program Files\\uTorrent\\utorrent.exe"="D:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\SmartFTP Client\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.5"
"C:\\Program Files\\FlashGet\\flashget.exe"="C:\\Program Files\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"C:\\Program Files\\RayV\\RayV\\RayV.exe"="C:\\Program Files\\RayV\\RayV\\RayV.exe:*:Enabled:RayV"
"C:\\Program Files\\Joost\\xulrunner\\tvprunner.exe"="C:\\Program Files\\Joost\\xulrunner\\tvprunner.exe:*:Enabled:tvprunner"
"\\??\\C:\\windows\\system32\\winlogon.exe"="\\??\\C:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sun 4 Feb 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
[b]Finished![/b]
J'ai oublie de préciser que je l'avais déjà fait, voici le rapport
[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 05/02/2009 at 17:03
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Rootkit Found :
C:\windows\system32\drivers\ATI6AMXX.sys - Rootkit Pandex/Cutwail - Protect.sys
[b]Name [/b]:
protect
ATI6AMXX
[b]Path [/b]:
System32\drivers\protect.sys
System32\Drivers\ati6amxx.sys
protect - Deleted
ATI6AMXX - Deleted
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Service ATI6AMXX - Deleted after Reboot
[b]Checking Files [/b]:
Trojan Files Found:
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\DOCUME~1\Administrateur\Local - Deleted
C:\windows\system32\2.tmp - Deleted
C:\windows\system32\3.tmp - Deleted
C:\windows\system32\4.tmp - Deleted
C:\windows\system32\5.tmp - Deleted
C:\windows\system32\6.tmp - Deleted
C:\windows\system32\7.tmp - Deleted
C:\windows\system32\8.tmp - Deleted
C:\windows\system32\9.tmp - Deleted
C:\windows\system32\2.tmp - Deleted
C:\windows\services.exe - Deleted
C:\windows\system32\drivers\protect.sys - Deleted
C:\windows\system32\drivers\ATI6AMXX.sys - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 17:11:10
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ff,57,64,3a,de,ea,51,74,64,e8,ed,ba,ef,2d,84,be,bf,a4,79,23,50,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:64,62,02,00,c0,73,3c,00,0e,f3,6a,ce,a8,ff,ff,ff,7b,00,34,00,44,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c5,73,c9,60,e9,c7,9d,61,40,22,9b,21,88,8b,a9,7a,61,fb,f1,ca,4d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:52,71,93,40,3f,6f,2d,66,d1,0d,6f,73,29,23,fc,40,aa,8a,fd,44,0d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3c,63,b8,c9,1e,59,76,77,4c,0d,3e,a5,b9,65,f1,06,5a,7f,f7,c9,be,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d8,48,3a,a8,56,14,67,1b,c1,c8,bd,cc,71,16,66,f4,97,fd,cf,65,3a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:f8,ce,2e,ea,b9,38,3d,2e,55,92,70,4b,65,65,c1,bb,49,59,28,7b,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:8a,a9,6e,69,98,92,bf,40,f5,38,8c,60,52,4a,54,08,ca,c8,f0,be,05,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3c,63,b8,c9,1e,59,76,77,4c,0d,3e,a5,b9,65,f1,06,5a,7f,f7,c9,be,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d8,48,3a,a8,56,14,67,1b,c1,c8,bd,cc,71,16,66,f4,97,fd,cf,65,3a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:f8,ce,2e,ea,b9,38,3d,2e,55,92,70,4b,65,65,c1,bb,49,59,28,7b,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,a1,b4,c5,4b,db,54,36,e5,28,25,03,c5,47,87,6a,a2,70,00,24,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:9b,04,39,f0,fa,81,77,bb,6c,3a,4f,df,1d,7d,58,59,11,cc,77,76,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:b2,1e,6d,1b,df,8e,67,c4,8a,0f,9b,9f,59,08,b5,c4,25,01,5e,1d,e9,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xbqigro]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\windows\system32\drivers\wskcuhw.sys"
"DisplayName"="xbqigro"
"RulesData"=hex:03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xbqigro\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8c,21,0c,68,00,dd,29,8c,55,22,ab,74,8d,30,38,c2,05,42,64,7f,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,d5,6b,10,a5,61,13,28,64,1c,ff,3a,38,26,dd,34,0a,..
"khjeh"=hex:19,ac,57,a6,b1,46,27,f8,9e,ff,06,23,a7,6b,ed,09,c0,13,20,16,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,a1,b4,c5,4b,db,54,36,e5,28,25,03,c5,47,87,6a,a2,70,00,24,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:9b,04,39,f0,fa,81,77,bb,6c,3a,4f,df,1d,7d,58,59,11,cc,77,76,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:b2,1e,6d,1b,df,8e,67,c4,8a,0f,9b,9f,59,08,b5,c4,25,01,5e,1d,e9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:63,ce,10,68,e9,68,b0,39,4a,9b,f8,a5,5d,1b,99,67,82,9e,df,37,cb,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"D:\\Program Files\\uTorrent\\utorrent.exe"="D:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\SmartFTP Client\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.5"
"C:\\Program Files\\FlashGet\\flashget.exe"="C:\\Program Files\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"C:\\Program Files\\RayV\\RayV\\RayV.exe"="C:\\Program Files\\RayV\\RayV\\RayV.exe:*:Enabled:RayV"
"C:\\Program Files\\Joost\\xulrunner\\tvprunner.exe"="C:\\Program Files\\Joost\\xulrunner\\tvprunner.exe:*:Enabled:tvprunner"
"\\??\\C:\\windows\\system32\\winlogon.exe"="\\??\\C:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sun 4 Feb 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
[b]Finished![/b]
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 18:42
5 févr. 2009 à 18:42
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport et refais un nouveau rapport hijackthis stp
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport et refais un nouveau rapport hijackthis stp
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
1
5 févr. 2009 à 19:26
5 févr. 2009 à 19:26
ça m'a pris un peu de temps.... un boot.ini que j'ai du créé (je ne sais pas pourquoi il était absent) et des problèmes de connexion
ComboFix 09-02-04.04 - Administrateur 2009-02-05 19:10:11.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.667 [GMT 1:00]
LancÈ depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated)
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\str.sys . . . . impossible ‡ supprimer
[COLOR=RED] c:\windows\system32\userinit.exe . . . est infectÈ!!/COLOR
[COLOR=RED] c:\windows\system32\svchost.exe . . . est infectÈ!!/COLOR
[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infectÈ!!/COLOR
[COLOR=RED] c:\windows\explorer.exe . . . est infectÈ!!/COLOR
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_Passthru
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))
.
2009-02-05 18:02 . 2009-02-05 18:02 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-05 18:02 . 2009-02-05 18:02 32,768 --ah----- c:\documents and settings\Administrateur\kgyolwv.exe
2009-02-05 18:02 . 2009-02-05 18:02 1,748 --a------ c:\windows\system32\netsf.inf
2009-02-05 18:02 . 2009-02-05 18:02 695 --a------ c:\windows\system32\netsf_m.inf
2009-02-05 18:02 . 2009-02-05 18:02 130 --a------ c:\windows\adobe.bat
2009-02-05 18:01 . 2009-02-05 18:01 124 --a------ c:\windows\system32\2.tmp
2009-02-05 17:01 . 2009-02-05 17:01 <REP> d-------- c:\windows\ERUNT
2009-02-05 17:00 . 2009-02-05 17:12 <REP> d-------- C:\SDFix
2009-02-05 16:57 . 2009-02-05 16:44 1,529,241 --a------ C:\SDFix.exe
2009-02-05 15:24 . 2009-02-05 15:25 <REP> d-------- c:\windows\system32\pouet
2009-02-05 14:52 . 2009-02-05 14:52 <REP> d-------- c:\program files\Prevx
2009-02-05 14:52 . 2009-02-05 18:09 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PrevxCSI
2009-02-05 14:52 . 2009-02-05 14:52 21,512 --a------ c:\windows\system32\drivers\pxscan.sys
2009-02-05 14:52 . 2009-02-05 14:52 79 --a------ c:\windows\wininit.ini
2009-02-05 14:51 . 2009-02-05 14:51 <REP> d--h-c--- c:\documents and settings\All Users.WINDOWS\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2009-02-05 02:40 . 2009-02-05 02:40 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PC Tools
2009-02-05 02:40 . 2008-12-02 23:28 160,792 --a------ c:\windows\system32\drivers\pctfw2.sys
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 23:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-04 23:41 . 2009-02-04 23:41 <REP> d-------- c:\program files\BitComet
2009-02-04 23:30 . 2009-02-04 23:30 <REP> d-------- c:\documents and settings\NetworkService.AUTORITE NT\Menu DÈmarrer
2009-02-04 19:32 . 2009-02-04 19:32 33,920 --a------ c:\windows\system32\drivers\aqowrmmm.sys
2009-02-04 19:06 . 2009-02-05 18:02 66,560 ---h----- c:\windows\system32\secupdat.dat
2009-02-04 19:06 . 2009-02-04 19:06 0 --a------ c:\windows\mqcd.dbt
2009-02-04 19:05 . 2009-02-04 19:05 138,080 --a------ c:\windows\system32\drivers\ethdmqlp.sys
2009-02-04 19:05 . 2009-02-04 19:05 3,584 --a------ c:\windows\vcbaprwa.exe
2009-02-02 11:54 . 2009-02-02 11:54 <REP> d-------- c:\windows\ACAMPREF
2009-02-02 11:53 . 2009-02-02 12:00 <REP> d-------- C:\Realmz
2009-02-02 11:53 . 1996-06-05 05:09 12,800 --a------ c:\windows\system32\wing32.dll
2009-02-02 11:53 . 2009-02-04 23:47 1,033 --a------ c:\windows\wacam.ini
2009-02-02 11:53 . 1999-03-12 21:42 592 --a------ c:\windows\wacam.bak
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 17:28 --------- d-----w c:\program files\Hijackthis Version FranÁaise
2009-02-05 16:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\SecTaskMan
2009-02-05 02:06 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2009-02-05 02:06 --------- d-----w c:\program files\Spyware Doctor
2009-02-05 01:40 --------- d-----w c:\program files\Fichiers communs\PC Tools
2009-02-05 00:12 --------- d-----w c:\program files\RegCure
2009-02-05 00:03 --------- d-----w c:\program files\Starcraft
2009-02-04 22:25 --------- d-----w c:\program files\a-squared Free
2009-02-04 19:27 --------- d-----w c:\program files\Zoom Player
2009-02-04 18:05 578,048 ----a-w c:\windows\system32\DllCache\user32.dll.vir
2009-02-03 22:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
2009-02-03 12:47 --------- d-----w c:\program files\eclipse
2009-02-02 13:21 --------- d-----w c:\program files\eMule
2009-01-26 14:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2008-12-30 18:27 --------- d-----w c:\program files\KONAMI
2008-12-29 17:25 7,430 ----a-w c:\windows\system32\wvylwnt.dll
2008-12-29 17:25 289,792 ----a-w c:\windows\system32\dts3212.exe
2008-12-20 17:53 --------- d-----w c:\program files\adslTV
2008-12-18 19:01 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-18 19:01 --------- d--h--r c:\documents and settings\Administrateur\Application Data\SecuROM
2008-12-18 18:48 --------- d-----w c:\documents and settings\Administrateur\Application Data\gnupg
2008-12-18 06:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\RayV
2008-12-18 06:12 --------- d-----w c:\program files\easycleaner
2008-12-18 06:04 --------- d-----w c:\program files\Mozilla XULRunner
2008-12-15 17:16 --------- d-----w c:\documents and settings\Administrateur\Application Data\vlc
2008-12-15 06:45 --------- d-----w c:\documents and settings\Administrateur\Application Data\Hamachi
2008-12-15 06:42 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys
2008-12-12 03:50 --------- d-----w c:\program files\mplayer-1.0pre8-3.4.2
2008-10-17 14:07 470,272 ----a-w c:\program files\fxdecod1.dll
2007-10-03 13:15 809,699 ----a-w c:\program files\copguy6eg.gif
2007-08-08 15:46 1 ----a-w c:\documents and settings\Administrateur\SI.bin
2007-06-16 13:44 2,855 ----a-w c:\documents and settings\Administrateur\Install.PIF
2006-12-01 11:40 162 ----a-w c:\program files\DivFix.ini
2006-09-30 14:48 3,808,512 ----a-w c:\program files\FoxitReader.exe
2003-05-05 12:10 210,944 ----a-w c:\program files\DivFix.exe
.
------- Sigcheck -------
2004-08-03 23:55 31744 369afa0663a8ae86888238d65c206b9a c:\windows\system32\svchost.exe
2004-08-03 23:55 31744 c9763724a16b0651f5e9869d0c5f49f8 c:\windows\system32\DllCache\svchost.exe
2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\user32.dll
2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\DllCache\user32.dll
2009-02-04 19:05 578048 2e01db6bc40ca7cc16edd72d1c1aa46d c:\windows\system32\pouet\user32.DLL
2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\DllCache\TCPIP.SYS
2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\drivers\TCPIP.SYS
2004-08-03 23:54 1053696 3a22c315dde5cccfb28a7d5d39752f06 c:\windows\explorer.exe
2004-08-03 23:54 1053696 c076cdcd758b6601c508d788825cea2c c:\windows\system32\DllCache\explorer.exe
2004-08-03 23:54 32768 e951027b2d15c9566f6f370f6ada0de7 c:\windows\system32\ctfmon.exe
2004-08-03 23:54 32768 4d8345932cf8851113a39ea754e789ea c:\windows\system32\DllCache\ctfmon.exe
2004-08-03 23:55 75776 c791d971195e041b3c8a82abe0a99825 c:\windows\system32\spoolsv.exe
2004-08-03 23:55 75264 5ac6da17b5a309e6bacd5ae00e4ec145 c:\windows\system32\DllCache\spoolsv.exe
2004-08-03 23:55 130048 ec28ada3b508d47e78ecf649e61df336 c:\windows\system32\wuauclt.exe
2004-08-03 23:55 130048 b3a3590010ac99aff151ac5ab536e19a c:\windows\system32\DllCache\wuauclt.exe
2004-08-03 23:55 42496 d9005d85fd35de4eac0c0e21379810ae c:\windows\system32\userinit.exe
2004-08-03 23:55 42496 91ed217a0fea6c7ee625bf6047e18e9f c:\windows\system32\DllCache\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-05_18.50.50.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-05 18:14:24 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-05 17:48:53 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-05 18:14:24 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-05 18:14:24 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 229432]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-05 61440]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 84408]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 c:\windows\system32\nvmctray.dll]
"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.FMVC"= fmcodec.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aqowrmmm.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu DÈmarrer^Programmes^DÈmarrage^Might and Magic VIII.lnk]
backup=c:\windows\pss\Might and Magic VIII.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
--a------ 2008-08-25 12:36 1168264 c:\program files\Spyware Doctor\pctsTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
-r------- 2006-04-20 09:07 405504 c:\windows\system32\JMRaidTool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 307200 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoveIT Pro XT]
--a------ 2008-09-16 14:02 602112 c:\program files\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-07-12 03:00 132496 c:\program files\Java\jre1.6.0_02\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-07-10 23:27 185896 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-10-30 19:49 16286720 c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 18:04 2899968 c:\windows\SkyTel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"a2free"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16023:TCP"= 16023:TCP:BitComet 16023 TCP
"16023:UDP"= 16023:UDP:BitComet 16023 UDP
"16124:TCP"= 16124:TCP:BitComet 16124 TCP
"16124:UDP"= 16124:UDP:BitComet 16124 UDP
R0 aqowrmmm;aqowrmmm;c:\windows\system32\drivers\aqowrmmm.sys [2009-02-04 33920]
R0 IABFilt;Iomega Snapshot Volume Filter;c:\windows\system32\drivers\IABFilt.sys [2007-03-31 25344]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2009-02-05 21512]
R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2009-02-05 160792]
R2 CSIScanner;CSIScanner;c:\program files\Prevx\prevx.exe [2009-02-05 4107832]
R2 LtcyCfgSvc;PCI Latency Tool Service;c:\program files\PCI Latency Tool 3\LtcyCfgSvc.exe [2005-12-25 22528]
R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 31744]
R3 LtcyCfgWDM;PCI Latency Tool Driver Service;c:\windows\system32\drivers\LtcyCfgWDM.sys [2005-12-25 6656]
S1 ethdmqlp;ethdmqlp;c:\windows\system32\drivers\ethdmqlp.sys [2009-02-04 138080]
S2 NtfsSvc;Microsoft NtfsSvc Manager Service; [x]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-12-02 356920]
S3 urvpndrv;F5 Networks VPN Adapter;c:\windows\system32\DRIVERS\urvpndrv.sys --> c:\windows\system32\DRIVERS\urvpndrv.sys [?]
S3 XDva020;XDva020;\??\c:\windows\system32\XDva020.sys --> c:\windows\system32\XDva020.sys [?]
S3 XDva090;XDva090;\??\c:\windows\system32\XDva090.sys --> c:\windows\system32\XDva090.sys [?]
S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]
.
Contenu du dossier 'T‚ches planifiÈes'
2009-02-05 c:\windows\Tasks\ayattnhg.job
- c:\windows\system32\geBrppPi.dll []
2009-02-05 c:\windows\Tasks\RegCure Program Check.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]
2009-02-05 c:\windows\Tasks\RegCure.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]
.
.
------- Examen supplÈmentaire -------
.
uStart Page = about:blank
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
LSP: c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPuroamHost.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Panda Security\TotalScan\npwrapper.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 19:14:38
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
Recherche de processus cachÈs ...
Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...
Recherche de fichiers cachÈs ...
c:\windows\system32\drivers\str.sys 0 bytes
Scan terminÈ avec succËs
Fichiers cachÈs: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\xbqigro]
"ImagePath"="\??\c:\windows\system32\drivers\wskcuhw.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\Administrator\Software\SecuROM\License information*]
"datasecu"=hex:ad,5a,18,f8,62,ba,4e,d4,eb,ee,91,cc,4f,a5,92,e2,50,d1,8d,c7,fc,
4f,4d,b9,1e,ea,5d,81,e7,06,2d,f4,a4,f3,23,ab,27,64,3e,29,2a,20,64,42,4d,9f,\
"rkeysecu"=hex:1b,b5,52,6d,b9,b0,2c,c1,55,51,23,8c,25,8e,a7,8c
.
--------------------- DLLs chargÈes dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1208)
c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-02-05 19:18:13 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2009-02-05 18:18:10
ComboFix2.txt 2009-02-05 17:52:10
Avant-CF: 9†135†968†256 octets libres
AprËs-CF: 9,123,135,488 octets libres
Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
325
Logfile of HijackThis v1.99.1
Scan saved at 19:20:22, on 05/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\windows\system32\notepad.exe
C:\Program Files\Hijackthis Version Fran�aise\VERSION TRADUITE ORIGINALE.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\windows\explorer.exe,
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\windows\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe" /service (file missing)
O23 - Service: PCI Latency Tool Service (LtcyCfgSvc) - Unknown owner - C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
O23 - Service: Microsoft NtfsSvc Manager Service (NtfsSvc) - Unknown owner - (no file)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
ComboFix 09-02-04.04 - Administrateur 2009-02-05 19:10:11.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.667 [GMT 1:00]
LancÈ depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated)
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\str.sys . . . . impossible ‡ supprimer
[COLOR=RED] c:\windows\system32\userinit.exe . . . est infectÈ!!/COLOR
[COLOR=RED] c:\windows\system32\svchost.exe . . . est infectÈ!!/COLOR
[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infectÈ!!/COLOR
[COLOR=RED] c:\windows\explorer.exe . . . est infectÈ!!/COLOR
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_Passthru
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))
.
2009-02-05 18:02 . 2009-02-05 18:02 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-05 18:02 . 2009-02-05 18:02 32,768 --ah----- c:\documents and settings\Administrateur\kgyolwv.exe
2009-02-05 18:02 . 2009-02-05 18:02 1,748 --a------ c:\windows\system32\netsf.inf
2009-02-05 18:02 . 2009-02-05 18:02 695 --a------ c:\windows\system32\netsf_m.inf
2009-02-05 18:02 . 2009-02-05 18:02 130 --a------ c:\windows\adobe.bat
2009-02-05 18:01 . 2009-02-05 18:01 124 --a------ c:\windows\system32\2.tmp
2009-02-05 17:01 . 2009-02-05 17:01 <REP> d-------- c:\windows\ERUNT
2009-02-05 17:00 . 2009-02-05 17:12 <REP> d-------- C:\SDFix
2009-02-05 16:57 . 2009-02-05 16:44 1,529,241 --a------ C:\SDFix.exe
2009-02-05 15:24 . 2009-02-05 15:25 <REP> d-------- c:\windows\system32\pouet
2009-02-05 14:52 . 2009-02-05 14:52 <REP> d-------- c:\program files\Prevx
2009-02-05 14:52 . 2009-02-05 18:09 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PrevxCSI
2009-02-05 14:52 . 2009-02-05 14:52 21,512 --a------ c:\windows\system32\drivers\pxscan.sys
2009-02-05 14:52 . 2009-02-05 14:52 79 --a------ c:\windows\wininit.ini
2009-02-05 14:51 . 2009-02-05 14:51 <REP> d--h-c--- c:\documents and settings\All Users.WINDOWS\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2009-02-05 02:40 . 2009-02-05 02:40 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PC Tools
2009-02-05 02:40 . 2008-12-02 23:28 160,792 --a------ c:\windows\system32\drivers\pctfw2.sys
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 23:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-04 23:41 . 2009-02-04 23:41 <REP> d-------- c:\program files\BitComet
2009-02-04 23:30 . 2009-02-04 23:30 <REP> d-------- c:\documents and settings\NetworkService.AUTORITE NT\Menu DÈmarrer
2009-02-04 19:32 . 2009-02-04 19:32 33,920 --a------ c:\windows\system32\drivers\aqowrmmm.sys
2009-02-04 19:06 . 2009-02-05 18:02 66,560 ---h----- c:\windows\system32\secupdat.dat
2009-02-04 19:06 . 2009-02-04 19:06 0 --a------ c:\windows\mqcd.dbt
2009-02-04 19:05 . 2009-02-04 19:05 138,080 --a------ c:\windows\system32\drivers\ethdmqlp.sys
2009-02-04 19:05 . 2009-02-04 19:05 3,584 --a------ c:\windows\vcbaprwa.exe
2009-02-02 11:54 . 2009-02-02 11:54 <REP> d-------- c:\windows\ACAMPREF
2009-02-02 11:53 . 2009-02-02 12:00 <REP> d-------- C:\Realmz
2009-02-02 11:53 . 1996-06-05 05:09 12,800 --a------ c:\windows\system32\wing32.dll
2009-02-02 11:53 . 2009-02-04 23:47 1,033 --a------ c:\windows\wacam.ini
2009-02-02 11:53 . 1999-03-12 21:42 592 --a------ c:\windows\wacam.bak
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 17:28 --------- d-----w c:\program files\Hijackthis Version FranÁaise
2009-02-05 16:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\SecTaskMan
2009-02-05 02:06 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2009-02-05 02:06 --------- d-----w c:\program files\Spyware Doctor
2009-02-05 01:40 --------- d-----w c:\program files\Fichiers communs\PC Tools
2009-02-05 00:12 --------- d-----w c:\program files\RegCure
2009-02-05 00:03 --------- d-----w c:\program files\Starcraft
2009-02-04 22:25 --------- d-----w c:\program files\a-squared Free
2009-02-04 19:27 --------- d-----w c:\program files\Zoom Player
2009-02-04 18:05 578,048 ----a-w c:\windows\system32\DllCache\user32.dll.vir
2009-02-03 22:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
2009-02-03 12:47 --------- d-----w c:\program files\eclipse
2009-02-02 13:21 --------- d-----w c:\program files\eMule
2009-01-26 14:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2008-12-30 18:27 --------- d-----w c:\program files\KONAMI
2008-12-29 17:25 7,430 ----a-w c:\windows\system32\wvylwnt.dll
2008-12-29 17:25 289,792 ----a-w c:\windows\system32\dts3212.exe
2008-12-20 17:53 --------- d-----w c:\program files\adslTV
2008-12-18 19:01 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-18 19:01 --------- d--h--r c:\documents and settings\Administrateur\Application Data\SecuROM
2008-12-18 18:48 --------- d-----w c:\documents and settings\Administrateur\Application Data\gnupg
2008-12-18 06:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\RayV
2008-12-18 06:12 --------- d-----w c:\program files\easycleaner
2008-12-18 06:04 --------- d-----w c:\program files\Mozilla XULRunner
2008-12-15 17:16 --------- d-----w c:\documents and settings\Administrateur\Application Data\vlc
2008-12-15 06:45 --------- d-----w c:\documents and settings\Administrateur\Application Data\Hamachi
2008-12-15 06:42 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys
2008-12-12 03:50 --------- d-----w c:\program files\mplayer-1.0pre8-3.4.2
2008-10-17 14:07 470,272 ----a-w c:\program files\fxdecod1.dll
2007-10-03 13:15 809,699 ----a-w c:\program files\copguy6eg.gif
2007-08-08 15:46 1 ----a-w c:\documents and settings\Administrateur\SI.bin
2007-06-16 13:44 2,855 ----a-w c:\documents and settings\Administrateur\Install.PIF
2006-12-01 11:40 162 ----a-w c:\program files\DivFix.ini
2006-09-30 14:48 3,808,512 ----a-w c:\program files\FoxitReader.exe
2003-05-05 12:10 210,944 ----a-w c:\program files\DivFix.exe
.
------- Sigcheck -------
2004-08-03 23:55 31744 369afa0663a8ae86888238d65c206b9a c:\windows\system32\svchost.exe
2004-08-03 23:55 31744 c9763724a16b0651f5e9869d0c5f49f8 c:\windows\system32\DllCache\svchost.exe
2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\user32.dll
2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\DllCache\user32.dll
2009-02-04 19:05 578048 2e01db6bc40ca7cc16edd72d1c1aa46d c:\windows\system32\pouet\user32.DLL
2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\DllCache\TCPIP.SYS
2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\drivers\TCPIP.SYS
2004-08-03 23:54 1053696 3a22c315dde5cccfb28a7d5d39752f06 c:\windows\explorer.exe
2004-08-03 23:54 1053696 c076cdcd758b6601c508d788825cea2c c:\windows\system32\DllCache\explorer.exe
2004-08-03 23:54 32768 e951027b2d15c9566f6f370f6ada0de7 c:\windows\system32\ctfmon.exe
2004-08-03 23:54 32768 4d8345932cf8851113a39ea754e789ea c:\windows\system32\DllCache\ctfmon.exe
2004-08-03 23:55 75776 c791d971195e041b3c8a82abe0a99825 c:\windows\system32\spoolsv.exe
2004-08-03 23:55 75264 5ac6da17b5a309e6bacd5ae00e4ec145 c:\windows\system32\DllCache\spoolsv.exe
2004-08-03 23:55 130048 ec28ada3b508d47e78ecf649e61df336 c:\windows\system32\wuauclt.exe
2004-08-03 23:55 130048 b3a3590010ac99aff151ac5ab536e19a c:\windows\system32\DllCache\wuauclt.exe
2004-08-03 23:55 42496 d9005d85fd35de4eac0c0e21379810ae c:\windows\system32\userinit.exe
2004-08-03 23:55 42496 91ed217a0fea6c7ee625bf6047e18e9f c:\windows\system32\DllCache\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-05_18.50.50.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-05 18:14:24 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-05 17:48:53 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-05 18:14:24 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-05 18:14:24 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 229432]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-05 61440]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 84408]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 c:\windows\system32\nvmctray.dll]
"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.FMVC"= fmcodec.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aqowrmmm.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu DÈmarrer^Programmes^DÈmarrage^Might and Magic VIII.lnk]
backup=c:\windows\pss\Might and Magic VIII.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
--a------ 2008-08-25 12:36 1168264 c:\program files\Spyware Doctor\pctsTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
-r------- 2006-04-20 09:07 405504 c:\windows\system32\JMRaidTool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 307200 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoveIT Pro XT]
--a------ 2008-09-16 14:02 602112 c:\program files\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-07-12 03:00 132496 c:\program files\Java\jre1.6.0_02\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-07-10 23:27 185896 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-10-30 19:49 16286720 c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 18:04 2899968 c:\windows\SkyTel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"a2free"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16023:TCP"= 16023:TCP:BitComet 16023 TCP
"16023:UDP"= 16023:UDP:BitComet 16023 UDP
"16124:TCP"= 16124:TCP:BitComet 16124 TCP
"16124:UDP"= 16124:UDP:BitComet 16124 UDP
R0 aqowrmmm;aqowrmmm;c:\windows\system32\drivers\aqowrmmm.sys [2009-02-04 33920]
R0 IABFilt;Iomega Snapshot Volume Filter;c:\windows\system32\drivers\IABFilt.sys [2007-03-31 25344]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2009-02-05 21512]
R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2009-02-05 160792]
R2 CSIScanner;CSIScanner;c:\program files\Prevx\prevx.exe [2009-02-05 4107832]
R2 LtcyCfgSvc;PCI Latency Tool Service;c:\program files\PCI Latency Tool 3\LtcyCfgSvc.exe [2005-12-25 22528]
R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 31744]
R3 LtcyCfgWDM;PCI Latency Tool Driver Service;c:\windows\system32\drivers\LtcyCfgWDM.sys [2005-12-25 6656]
S1 ethdmqlp;ethdmqlp;c:\windows\system32\drivers\ethdmqlp.sys [2009-02-04 138080]
S2 NtfsSvc;Microsoft NtfsSvc Manager Service; [x]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-12-02 356920]
S3 urvpndrv;F5 Networks VPN Adapter;c:\windows\system32\DRIVERS\urvpndrv.sys --> c:\windows\system32\DRIVERS\urvpndrv.sys [?]
S3 XDva020;XDva020;\??\c:\windows\system32\XDva020.sys --> c:\windows\system32\XDva020.sys [?]
S3 XDva090;XDva090;\??\c:\windows\system32\XDva090.sys --> c:\windows\system32\XDva090.sys [?]
S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]
.
Contenu du dossier 'T‚ches planifiÈes'
2009-02-05 c:\windows\Tasks\ayattnhg.job
- c:\windows\system32\geBrppPi.dll []
2009-02-05 c:\windows\Tasks\RegCure Program Check.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]
2009-02-05 c:\windows\Tasks\RegCure.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]
.
.
------- Examen supplÈmentaire -------
.
uStart Page = about:blank
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
LSP: c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPuroamHost.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Panda Security\TotalScan\npwrapper.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 19:14:38
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
Recherche de processus cachÈs ...
Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...
Recherche de fichiers cachÈs ...
c:\windows\system32\drivers\str.sys 0 bytes
Scan terminÈ avec succËs
Fichiers cachÈs: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\xbqigro]
"ImagePath"="\??\c:\windows\system32\drivers\wskcuhw.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\Administrator\Software\SecuROM\License information*]
"datasecu"=hex:ad,5a,18,f8,62,ba,4e,d4,eb,ee,91,cc,4f,a5,92,e2,50,d1,8d,c7,fc,
4f,4d,b9,1e,ea,5d,81,e7,06,2d,f4,a4,f3,23,ab,27,64,3e,29,2a,20,64,42,4d,9f,\
"rkeysecu"=hex:1b,b5,52,6d,b9,b0,2c,c1,55,51,23,8c,25,8e,a7,8c
.
--------------------- DLLs chargÈes dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1208)
c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-02-05 19:18:13 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2009-02-05 18:18:10
ComboFix2.txt 2009-02-05 17:52:10
Avant-CF: 9†135†968†256 octets libres
AprËs-CF: 9,123,135,488 octets libres
Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
325
Logfile of HijackThis v1.99.1
Scan saved at 19:20:22, on 05/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\windows\system32\notepad.exe
C:\Program Files\Hijackthis Version Fran�aise\VERSION TRADUITE ORIGINALE.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\windows\explorer.exe,
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\windows\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe" /service (file missing)
O23 - Service: PCI Latency Tool Service (LtcyCfgSvc) - Unknown owner - C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
O23 - Service: Microsoft NtfsSvc Manager Service (NtfsSvc) - Unknown owner - (no file)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 19:28
5 févr. 2009 à 19:28
Whaou là c'est d'un autre niveau que le mien j'apelle un meilleur helpeur que moi
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
1
5 févr. 2009 à 19:29
5 févr. 2009 à 19:29
tu pourrais me dire ce qui te fais penser ça? quelles lignes
c'est si... compliqué que ça ? je demande juste :/
c'est si... compliqué que ça ? je demande juste :/
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 21:19
5 févr. 2009 à 21:19
Bon tes fichiers source de windows sont infecter
---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.
---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe
---> Double-clique sur OTMoveIt3.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
:file
c:\windows\system32\drivers\str.sys
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.
---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe
---> Double-clique sur OTMoveIt3.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
:file
c:\windows\system32\drivers\str.sys
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
1
5 févr. 2009 à 21:44
5 févr. 2009 à 21:44
02052009_213219.log
========== PROCESSES ==========
Process explorer.exe killed successfully.
Error: Unable to interpret <:file> in the current context!
Error: Unable to interpret <c:\windows\system32\drivers\str.sys> in the current context!
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Administrateur\Local Settings\Temp\etilqs_4hwe4G6M5lrCvTzBGS05 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_213219
Files moved on Reboot...
File C:\DOCUME~1\Administrateur\Local Settings\Temp\etilqs_4hwe4G6M5lrCvTzBGS05 not found!
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\XUL.mfl moved successfully.
je me suis pris un bel écran bleu au redémarrage, mais en re-redémarrant c'est "bon"
depuis, j'ai trois 6.tmp et un nombre incalculable de cmd.exe qui sont apparus dans le gestionnaire de tâches
j'ai peur :s
edit: et un nombre hallucinant de services.exe, j'ai TRES peur
========== PROCESSES ==========
Process explorer.exe killed successfully.
Error: Unable to interpret <:file> in the current context!
Error: Unable to interpret <c:\windows\system32\drivers\str.sys> in the current context!
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Administrateur\Local Settings\Temp\etilqs_4hwe4G6M5lrCvTzBGS05 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_213219
Files moved on Reboot...
File C:\DOCUME~1\Administrateur\Local Settings\Temp\etilqs_4hwe4G6M5lrCvTzBGS05 not found!
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\XUL.mfl moved successfully.
je me suis pris un bel écran bleu au redémarrage, mais en re-redémarrant c'est "bon"
depuis, j'ai trois 6.tmp et un nombre incalculable de cmd.exe qui sont apparus dans le gestionnaire de tâches
j'ai peur :s
edit: et un nombre hallucinant de services.exe, j'ai TRES peur
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 21:49
5 févr. 2009 à 21:49
Télécharge Malwarebytes’ Anti-Malware
tuto ICI
NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici
- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
- Enregistres le sur le bureau
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-cliques sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen rapide
- Clique sur Rechercher
- Le scan démarre
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
/!\ NE SUPPRIME PAS LES INFECTIONS /!\
tuto ICI
NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici
- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
- Enregistres le sur le bureau
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-cliques sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen rapide
- Clique sur Rechercher
- Le scan démarre
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
/!\ NE SUPPRIME PAS LES INFECTIONS /!\
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
1
5 févr. 2009 à 22:02
5 févr. 2009 à 22:02
j'imagine que je dois poster le log? je préfère demander avant
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 22:10
5 févr. 2009 à 22:10
Oui poste le log
skybenouche
Messages postés
31
Date d'inscription
jeudi 5 février 2009
Statut
Membre
Dernière intervention
20 février 2009
1
5 févr. 2009 à 22:13
5 févr. 2009 à 22:13
Malwarebytes' Anti-Malware 1.33
Database version: 1654
Windows 5.1.2600 Service Pack 2
05/02/2009 21:59:43
mbam-log-2009-02-05 (21-59-38).txt
Scan type: Quick Scan
Objects scanned: 64192
Time elapsed: 11 minute(s), 4 second(s)
Memory Processes Infected: 2
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7
Memory Processes Infected:
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> No action taken.
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\passthru (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Backdoor.Bot) -> No action taken.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ndisio.sys (Backdoor.Bot) -> No action taken.
Database version: 1654
Windows 5.1.2600 Service Pack 2
05/02/2009 21:59:43
mbam-log-2009-02-05 (21-59-38).txt
Scan type: Quick Scan
Objects scanned: 64192
Time elapsed: 11 minute(s), 4 second(s)
Memory Processes Infected: 2
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7
Memory Processes Infected:
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> No action taken.
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\passthru (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Backdoor.Bot) -> No action taken.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ndisio.sys (Backdoor.Bot) -> No action taken.
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 22:17
5 févr. 2009 à 22:17
Supprime ce qu'il a trouver
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 22:17
5 févr. 2009 à 22:17
Supprime ce qu'il a trouver
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 22:19
5 févr. 2009 à 22:19
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 22:19
5 févr. 2009 à 22:19
et supprime ce que a trouver malwarebyte's
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
5 févr. 2009 à 22:21
5 févr. 2009 à 22:21
Ah le rapport été pas passer tout a l'heure j'aurais du attendre :S
7 févr. 2009 à 11:56