Probleme cheval de trois
Résolu/Fermé
ma2070
Messages postés
1
Date d'inscription
dimanche 8 février 2009
Statut
Membre
Dernière intervention
8 février 2009
-
8 févr. 2009 à 04:26
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 13 févr. 2009 à 08:02
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 13 févr. 2009 à 08:02
A voir également:
- Probleme cheval de trois
- Message cheval de troie ✓ - Forum Virus
- Tableau à trois entrées - Forum Excel
- Voici trois pannes que l’on peut rencontrer au démarrage d’un ordinateur : - Guide
- Trois bip demarrage pc - Forum Matériel & Système
- Être à cheval entre deux choses - Forum Études / Formation High-Tech
24 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
8 févr. 2009 à 09:31
8 févr. 2009 à 09:31
Bonjour,
Commence par ceci.
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Double-clique sur " RSIT.exe " pour le lancer .
dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
cliques ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse.
deux rapports vont être generés.
Poste gras>en deux messages </gras>le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...
Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
Commence par ceci.
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Double-clique sur " RSIT.exe " pour le lancer .
dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
cliques ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse.
deux rapports vont être generés.
Poste gras>en deux messages </gras>le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...
Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
8 févr. 2009 à 18:04
8 févr. 2009 à 18:04
1) Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
Begin copying:
:Processes
explorer.exe
:Services
WindowsTelephony
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony]
:Files
C:\WINDOWS\snarfp.exe
C:\WINDOWS\System32\bat.exe
C:\WINDOWS\system\svhost.exe
C:\WINDOWS\System32\drivers\sysdrv32.sys
:Commands
[emptytemp]
[reboot]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Ton ordinateur va redémarrer.
Après le redémarrage, un rapport va s'ouvrir.
Poste le rapport
Il se trouve également dans C:\_OTMoveIt\MovedFiles. ( fichier .log )
2) Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.
Chemin : C:\WINDOWS\setdebug.exe
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
3) Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/
Il faut que tu redémarres en mode sans échec.
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
Ton ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.
Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.
Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
A+
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
Begin copying:
:Processes
explorer.exe
:Services
WindowsTelephony
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony]
:Files
C:\WINDOWS\snarfp.exe
C:\WINDOWS\System32\bat.exe
C:\WINDOWS\system\svhost.exe
C:\WINDOWS\System32\drivers\sysdrv32.sys
:Commands
[emptytemp]
[reboot]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Ton ordinateur va redémarrer.
Après le redémarrage, un rapport va s'ouvrir.
Poste le rapport
Il se trouve également dans C:\_OTMoveIt\MovedFiles. ( fichier .log )
2) Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.
Chemin : C:\WINDOWS\setdebug.exe
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
3) Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/
Il faut que tu redémarres en mode sans échec.
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
Ton ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.
Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.
Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
A+
voici les rapports
[b]SDFix: Version 1.240 [/b]
Run by Mamie on 2009-02-08 at 14:13
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\msvcrt2.dll - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-08 14:24:18
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sun 8 Feb 2009 26,624 ..SHR --- "C:\WINDOWS\system\svhost.exe"
Fri 23 Jan 2009 1,131,560 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\94e2de28cb8ee27606822ca199876d4a\BITD4.tmp"
Sat 7 Feb 2009 26,624 A.SHR --- "C:\_OTMoveIt\MovedFiles\02082009_122543\WINDOWS\system\svhost.exe"
[b]Finished![/b]
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service WindowsTelephony .
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony\\ not found.
========== FILES ==========
C:\WINDOWS\snarfp.exe moved successfully.
C:\WINDOWS\System32\bat.exe moved successfully.
C:\WINDOWS\system\svhost.exe moved successfully.
File/Folder C:\WINDOWS\System32\drivers\sysdrv32.sys not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02082009_122543
Files moved on Reboot...
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\XUL.mfl moved successfully.
a-squared 4.0.0.93 2009.02.08 -
AhnLab-V3 5.0.0.2 2009.02.07 -
AntiVir 7.9.0.76 2009.02.07 -
Authentium 5.1.0.4 2009.02.07 -
Avast 4.8.1335.0 2009.02.07 -
AVG 8.0.0.229 2009.02.07 -
BitDefender 7.2 2009.02.08 -
CAT-QuickHeal 10.00 2009.02.07 -
ClamAV 0.94.1 2009.02.08 -
Comodo 971 2009.02.08 -
DrWeb 4.44.0.09170 2009.02.08 -
eSafe 7.0.17.0 2009.02.08 Win32.Banker
eTrust-Vet 31.6.6346 2009.02.07 -
F-Prot 4.4.4.56 2009.02.07 -
F-Secure 8.0.14470.0 2009.02.08 -
Fortinet 3.117.0.0 2009.02.08 -
GData 19 2009.02.08 -
Ikarus T3.1.1.45.0 2009.02.08 -
K7AntiVirus 7.10.623 2009.02.07 -
Kaspersky 7.0.0.125 2009.02.08 -
McAfee 5518 2009.02.07 -
McAfee+Artemis 5519 2009.02.07 -
Microsoft 1.4306 2009.02.08 -
NOD32 3836 2009.02.07 -
Norman 6.00.02 2009.02.06 -
nProtect 2009.1.8.0 2009.02.08 -
Panda 9.5.1.2 2009.02.08 -
PCTools 4.4.2.0 2009.02.08 -
Prevx1 V2 2009.02.08 -
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.08 -
Sophos 4.38.0 2009.02.08 -
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.08 -
TheHacker 6.3.1.5.249 2009.02.08 -
TrendMicro 8.700.0.1004 2009.02.06 -
VBA32 3.12.8.12 2009.02.08 -
ViRobot 2009.2.6.1594 2009.02.06 -
VirusBuster 4.5.11.0 2009.02.08 -
Information additionnelle
File size: 46352 bytes
MD5...: afab870a40df457165c83896e546fe92
SHA1..: e074bb306ad6248e7da146cd35e18eba3328ed6d
SHA256: 76383dd82f7cbba9fef65a415eff57dcbb294a65774fa4710c2f1b69b590b673
SHA512: 919387cd7b34c7a535fb865be128fdb014ad63a1dd30c07bc123d535db93095d
59ee0ee9f18a5c7b108ad1b75ee850d8c98d025e69a61f0afb1ed2034178dba7
ssdeep: 768:AA07Qxjg9hFaPj1S9e1NRTOpxg1dSdOC:VOIgPaP5S41NRTqgfY
PEiD..: InstallShield 2000
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (72.0%)
Win32 Executable Generic (16.2%)
Win16/32 Executable Delphi generic (3.9%)
Generic Win/DOS Executable (3.8%)
DOS Executable Generic (3.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x22c0
timedatestamp.....: 0x3e600792 (Sat Mar 01 01:06:26 2003)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x65d2 0x6600 6.57 f7c25eac83f66d0d2e9a0b27bb9efaa3
.data 0x8000 0x4ad4 0x3600 1.28 4e6a60cf23a78b0ab4b9c03cbae33354
.rsrc 0xd000 0x788 0x800 3.29 46b05df926c7840101558865a5f88068
.reloc 0xe000 0xbc8 0xc00 4.76 08c42685f0870491afac9f219be84fae
( 3 imports )
> KERNEL32.dll: lstrcmpA, lstrcpyA, lstrlenA, TlsSetValue, VirtualFree, HeapCreate, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetCurrentThreadId, lstrcatA, TlsAlloc, SetLastError, TlsGetValue, GetLastError, HeapDestroy, RtlUnwind, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapFree, HeapAlloc, VirtualAlloc, GetProcAddress, LoadLibraryA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetLocaleInfoW, FlushFileBuffers, CloseHandle, SetStdHandle, SetFilePointer
> USER32.dll: MessageBoxA
> ADVAPI32.dll: RegCreateKeyA, RegSetValueExA, RegQueryValueExA, RegCloseKey, RegDeleteKeyA
( 0 exports )
au lancement de xp toujours deux ou trois chevals détcté par antivir
[b]SDFix: Version 1.240 [/b]
Run by Mamie on 2009-02-08 at 14:13
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\msvcrt2.dll - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-08 14:24:18
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sun 8 Feb 2009 26,624 ..SHR --- "C:\WINDOWS\system\svhost.exe"
Fri 23 Jan 2009 1,131,560 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\94e2de28cb8ee27606822ca199876d4a\BITD4.tmp"
Sat 7 Feb 2009 26,624 A.SHR --- "C:\_OTMoveIt\MovedFiles\02082009_122543\WINDOWS\system\svhost.exe"
[b]Finished![/b]
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service WindowsTelephony .
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony\\ not found.
========== FILES ==========
C:\WINDOWS\snarfp.exe moved successfully.
C:\WINDOWS\System32\bat.exe moved successfully.
C:\WINDOWS\system\svhost.exe moved successfully.
File/Folder C:\WINDOWS\System32\drivers\sysdrv32.sys not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02082009_122543
Files moved on Reboot...
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Mamie\Local Settings\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\XUL.mfl moved successfully.
a-squared 4.0.0.93 2009.02.08 -
AhnLab-V3 5.0.0.2 2009.02.07 -
AntiVir 7.9.0.76 2009.02.07 -
Authentium 5.1.0.4 2009.02.07 -
Avast 4.8.1335.0 2009.02.07 -
AVG 8.0.0.229 2009.02.07 -
BitDefender 7.2 2009.02.08 -
CAT-QuickHeal 10.00 2009.02.07 -
ClamAV 0.94.1 2009.02.08 -
Comodo 971 2009.02.08 -
DrWeb 4.44.0.09170 2009.02.08 -
eSafe 7.0.17.0 2009.02.08 Win32.Banker
eTrust-Vet 31.6.6346 2009.02.07 -
F-Prot 4.4.4.56 2009.02.07 -
F-Secure 8.0.14470.0 2009.02.08 -
Fortinet 3.117.0.0 2009.02.08 -
GData 19 2009.02.08 -
Ikarus T3.1.1.45.0 2009.02.08 -
K7AntiVirus 7.10.623 2009.02.07 -
Kaspersky 7.0.0.125 2009.02.08 -
McAfee 5518 2009.02.07 -
McAfee+Artemis 5519 2009.02.07 -
Microsoft 1.4306 2009.02.08 -
NOD32 3836 2009.02.07 -
Norman 6.00.02 2009.02.06 -
nProtect 2009.1.8.0 2009.02.08 -
Panda 9.5.1.2 2009.02.08 -
PCTools 4.4.2.0 2009.02.08 -
Prevx1 V2 2009.02.08 -
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.08 -
Sophos 4.38.0 2009.02.08 -
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.08 -
TheHacker 6.3.1.5.249 2009.02.08 -
TrendMicro 8.700.0.1004 2009.02.06 -
VBA32 3.12.8.12 2009.02.08 -
ViRobot 2009.2.6.1594 2009.02.06 -
VirusBuster 4.5.11.0 2009.02.08 -
Information additionnelle
File size: 46352 bytes
MD5...: afab870a40df457165c83896e546fe92
SHA1..: e074bb306ad6248e7da146cd35e18eba3328ed6d
SHA256: 76383dd82f7cbba9fef65a415eff57dcbb294a65774fa4710c2f1b69b590b673
SHA512: 919387cd7b34c7a535fb865be128fdb014ad63a1dd30c07bc123d535db93095d
59ee0ee9f18a5c7b108ad1b75ee850d8c98d025e69a61f0afb1ed2034178dba7
ssdeep: 768:AA07Qxjg9hFaPj1S9e1NRTOpxg1dSdOC:VOIgPaP5S41NRTqgfY
PEiD..: InstallShield 2000
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (72.0%)
Win32 Executable Generic (16.2%)
Win16/32 Executable Delphi generic (3.9%)
Generic Win/DOS Executable (3.8%)
DOS Executable Generic (3.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x22c0
timedatestamp.....: 0x3e600792 (Sat Mar 01 01:06:26 2003)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x65d2 0x6600 6.57 f7c25eac83f66d0d2e9a0b27bb9efaa3
.data 0x8000 0x4ad4 0x3600 1.28 4e6a60cf23a78b0ab4b9c03cbae33354
.rsrc 0xd000 0x788 0x800 3.29 46b05df926c7840101558865a5f88068
.reloc 0xe000 0xbc8 0xc00 4.76 08c42685f0870491afac9f219be84fae
( 3 imports )
> KERNEL32.dll: lstrcmpA, lstrcpyA, lstrlenA, TlsSetValue, VirtualFree, HeapCreate, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetCurrentThreadId, lstrcatA, TlsAlloc, SetLastError, TlsGetValue, GetLastError, HeapDestroy, RtlUnwind, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapFree, HeapAlloc, VirtualAlloc, GetProcAddress, LoadLibraryA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetLocaleInfoW, FlushFileBuffers, CloseHandle, SetStdHandle, SetFilePointer
> USER32.dll: MessageBoxA
> ADVAPI32.dll: RegCreateKeyA, RegSetValueExA, RegQueryValueExA, RegCloseKey, RegDeleteKeyA
( 0 exports )
au lancement de xp toujours deux ou trois chevals détcté par antivir
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
8 févr. 2009 à 21:59
8 févr. 2009 à 21:59
On verra plus tard pour le fichier setdebug.exe
Je vois que Malwarebytes est installé sur la machine.
Peux-tu faire un examen complet et poster le rapport ?
( commence par le mettre à jour puis lance-le )
A+
Je vois que Malwarebytes est installé sur la machine.
Peux-tu faire un examen complet et poster le rapport ?
( commence par le mettre à jour puis lance-le )
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le rapport
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1738
Windows 5.1.2600 Service Pack 1
2009-02-08 16:26:48
mbam-log-2009-02-08 (16-26-48).txt
Type de recherche: Examen rapide
Eléments examinés: 49551
Temps écoulé: 4 minute(s), 38 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft(R) System Manager (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\csrsc.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
malwarebytes' Anti-Malware 1.33
Version de la base de données: 1738
Windows 5.1.2600 Service Pack 1
2009-02-08 16:26:38
mbam-log-2009-02-08 (16-26-26).txt
Type de recherche: Examen rapide
Eléments examinés: 49551
Temps écoulé: 4 minute(s), 38 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winspoolsvc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winspoolsvc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winspoolsvc (Trojan.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft(R) System Manager (Backdoor.Bot) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\csrsc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> No action taken.
je ne sais pas si c'est un double mais j'ai eu deux rapport a la fin merci
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1738
Windows 5.1.2600 Service Pack 1
2009-02-08 16:26:48
mbam-log-2009-02-08 (16-26-48).txt
Type de recherche: Examen rapide
Eléments examinés: 49551
Temps écoulé: 4 minute(s), 38 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft(R) System Manager (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\csrsc.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
malwarebytes' Anti-Malware 1.33
Version de la base de données: 1738
Windows 5.1.2600 Service Pack 1
2009-02-08 16:26:38
mbam-log-2009-02-08 (16-26-26).txt
Type de recherche: Examen rapide
Eléments examinés: 49551
Temps écoulé: 4 minute(s), 38 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winspoolsvc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winspoolsvc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winspoolsvc (Trojan.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft(R) System Manager (Backdoor.Bot) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\csrsc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> No action taken.
je ne sais pas si c'est un double mais j'ai eu deux rapport a la fin merci
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
8 févr. 2009 à 22:51
8 févr. 2009 à 22:51
Je t'avais demandé un examen complet.
Il dure bien plus longtemps que 5 mn.
Poste moi un rapport RSIT .
Il n'y aura qu'un seul rapport cette fois-ci.
A+
Il dure bien plus longtemps que 5 mn.
Poste moi un rapport RSIT .
Il n'y aura qu'un seul rapport cette fois-ci.
A+
désolé mal vue voici le rapport
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1738
Windows 5.1.2600 Service Pack 1
2009-02-08 22:24:58
mbam-log-2009-02-08 (22-24-58).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 77268
Temps écoulé: 33 minute(s), 9 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft(R) System Manager (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\csrsc.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
merci
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1738
Windows 5.1.2600 Service Pack 1
2009-02-08 22:24:58
mbam-log-2009-02-08 (22-24-58).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 77268
Temps écoulé: 33 minute(s), 9 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winspoolsvc (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft(R) System Manager (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\csrsc.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\sysmgr.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
merci
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
9 févr. 2009 à 07:50
9 févr. 2009 à 07:50
Passe au rapport RSIT.
A+
A+
Logfile of random's system information tool 1.05 (written by random/random)
Run by Mamie at 2009-02-09 17:34:08
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 12 GB (61%) free of 19 GB
Total RAM: 255 MB (13% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:26, on 2009-02-09
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\BellCanada\McciTrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\sysmgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Motive\McciCMService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system\svhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Mamie\Bureau\RSIT.exe
C:\Program Files\trend micro\Mamie.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BellCanada_McciTrayApp] C:\Program Files\BellCanada\McciTrayApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe
O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS\system\svhost.exe
Run by Mamie at 2009-02-09 17:34:08
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 12 GB (61%) free of 19 GB
Total RAM: 255 MB (13% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:26, on 2009-02-09
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\BellCanada\McciTrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\sysmgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Motive\McciCMService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system\svhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Mamie\Bureau\RSIT.exe
C:\Program Files\trend micro\Mamie.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BellCanada_McciTrayApp] C:\Program Files\BellCanada\McciTrayApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe
O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS\system\svhost.exe
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
9 févr. 2009 à 23:52
9 févr. 2009 à 23:52
Onj recommence la manip avec OTMoveIT3.
J'avais oublié une chose.
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
Begin copying:
:Processes
explorer.exe
svhost.exe
:Services
WindowsTelephony
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
:Files
C:\WINDOWS\System32\sysmgr.exe
C:\WINDOWS\system\svhost.exe
C:\WINDOWS\System32\msvcrt2.dll
:Commands
[reboot]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Ton ordinateur va redémarrer.
Après le redémarrage, un rapport va s'ouvrir.
Poste le rapport
Il se trouve également dans C:\_OTMoveIt\MovedFiles. ( fichier .log )
A+
J'avais oublié une chose.
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
Begin copying:
:Processes
explorer.exe
svhost.exe
:Services
WindowsTelephony
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
:Files
C:\WINDOWS\System32\sysmgr.exe
C:\WINDOWS\system\svhost.exe
C:\WINDOWS\System32\msvcrt2.dll
:Commands
[reboot]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Ton ordinateur va redémarrer.
Après le redémarrage, un rapport va s'ouvrir.
Poste le rapport
Il se trouve également dans C:\_OTMoveIt\MovedFiles. ( fichier .log )
A+
========== PROCESSES ==========
Process explorer.exe killed successfully.
Unable to kill process: svhost.exe
========== SERVICES/DRIVERS ==========
Unable to stop service WindowsTelephony .
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony\\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony\\ not found.
========== FILES ==========
C:\WINDOWS\System32\sysmgr.exe moved successfully.
C:\WINDOWS\system\svhost.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\System32\msvcrt2.dll
C:\WINDOWS\System32\msvcrt2.dll NOT unregistered.
C:\WINDOWS\System32\msvcrt2.dll moved successfully.
========== COMMANDS ==========
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02092009_180924
durant la supression trogan tr/crypt.ukpm.gen
detecté par antivir
et un autre message
l'aplication ou la dll c:/windows/systeme32/msvcrt2.dll n'est pas une image qindowa valide
vérifier a l'aide de votre disquette d'instalation
merci a+
Process explorer.exe killed successfully.
Unable to kill process: svhost.exe
========== SERVICES/DRIVERS ==========
Unable to stop service WindowsTelephony .
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony\\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony\\ not found.
========== FILES ==========
C:\WINDOWS\System32\sysmgr.exe moved successfully.
C:\WINDOWS\system\svhost.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\System32\msvcrt2.dll
C:\WINDOWS\System32\msvcrt2.dll NOT unregistered.
C:\WINDOWS\System32\msvcrt2.dll moved successfully.
========== COMMANDS ==========
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02092009_180924
durant la supression trogan tr/crypt.ukpm.gen
detecté par antivir
et un autre message
l'aplication ou la dll c:/windows/systeme32/msvcrt2.dll n'est pas une image qindowa valide
vérifier a l'aide de votre disquette d'instalation
merci a+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
10 févr. 2009 à 00:25
10 févr. 2009 à 00:25
Je t'explique.
Il y a un service malicieux installé sur ton PC et qu'il faut qu'on arrive à supprimer.
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
Lance Combofix.exe et suis les invites.
Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Il y a un service malicieux installé sur ton PC et qu'il faut qu'on arrive à supprimer.
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
Lance Combofix.exe et suis les invites.
Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
ComboFix 09-02-08.02 - Mamie 2009-02-09 19:02:00.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.255.90 [GMT -5:00]
Lancé depuis: c:\documents and settings\Mamie\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\INSTALL.LOG
c:\windows\system\svhost.exe
c:\windows\system32\12341198892108.exe
c:\windows\system32\sysmgr.exe
c:\windows\system32\tmp.reg
c:\windows\Temp\10.exe
c:\windows\Temp\11.exe
c:\windows\Temp\15.exe
c:\windows\Temp\37.exe
c:\windows\Temp\76.exe
c:\windows\Temp\78.exe
c:\windows\Temp\88.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_WINSPOOLSVC
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))
.
2009-02-09 18:55 . 2009-02-09 18:55 102,413 --a------ c:\windows\system32\msvcrt2.dll
2009-02-09 18:54 . 2009-02-09 18:54 26,624 --a------ c:\windows\system32\38.scr
2009-02-08 16:18 . 2009-02-08 16:18 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-08 16:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-08 16:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-08 16:12 . 2009-02-08 21:47 65,014 --a------ C:\batman.exe
2009-02-08 16:03 . 2009-02-08 16:03 65,014 --a------ c:\documents and settings\Mamie\12341269861876.exe
2009-02-08 14:10 . 2009-02-08 14:10 <REP> d-------- c:\windows\ERUNT
2009-02-08 12:54 . 2009-02-08 14:26 <REP> d-------- C:\SDFix
2009-02-08 12:25 . 2009-02-08 12:25 <REP> d-------- C:\_OTMoveIt
2009-02-08 09:23 . 2009-02-08 09:24 <REP> d-------- C:\rsit
2009-02-08 09:23 . 2009-02-09 17:34 <REP> d-------- c:\program files\trend micro
2009-02-07 23:02 . 2009-02-07 23:02 1,172 --a------ c:\windows\mozver.dat
2009-02-07 22:59 . 2009-02-07 22:59 0 --a------ c:\windows\nsreg.dat
2009-02-07 20:52 . 2009-02-07 22:13 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-07 20:52 . 2009-02-07 22:14 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\program files\Avira
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-07 17:05 . 2009-02-07 17:05 <REP> d-------- c:\documents and settings\Mamie\Application Data\Malwarebytes
2009-02-07 17:04 . 2009-02-07 17:04 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-08 17:22 --------- d-----w c:\documents and settings\Mamie\Application Data\MSN6
2009-02-07 21:53 --------- d-----w c:\program files\CCleaner
2007-12-11 21:16 17,576 ----a-w c:\documents and settings\Mamie\Application Data\GDIPFONTCACHEV1.DAT
2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2006-01-24 7094272]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-03-11 114688]
"BellCanada_McciTrayApp"="c:\program files\BellCanada\McciTrayApp.exe" [2008-05-28 1468928]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2004-05-16 106560]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-02-07 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-02-07 45376]
S2 WindowsTelephony;Windows Telephony;"c:\windows\system\svhost.exe" --> c:\windows\system\svhost.exe [?]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-Microsoft(R) System Manager - c:\windows\system32\sysmgr.exe
HKLM-Run-StandardInstall - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Mamie\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\
FF - prefs.js: browser.startup.homepage - hxxp://sympatico.msn.ca/defaultf.aspx?lang=fr-ca&OCID=hmlogout
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-09 19:05:16
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\ODBC32.dll
- - - - - - - > 'lsass.exe'(716)
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\Motive\McciCMService.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Heure de fin: 2009-02-09 19:07:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-10 00:07:42
Avant-CF: 12 105 768 960 octets libres
Après-CF: 12,101,865,472 octets libres
winxpsp1_fr_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect
142 --- E O F --- 2009-02-07 22:44:49
a+
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.255.90 [GMT -5:00]
Lancé depuis: c:\documents and settings\Mamie\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\INSTALL.LOG
c:\windows\system\svhost.exe
c:\windows\system32\12341198892108.exe
c:\windows\system32\sysmgr.exe
c:\windows\system32\tmp.reg
c:\windows\Temp\10.exe
c:\windows\Temp\11.exe
c:\windows\Temp\15.exe
c:\windows\Temp\37.exe
c:\windows\Temp\76.exe
c:\windows\Temp\78.exe
c:\windows\Temp\88.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_WINSPOOLSVC
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))
.
2009-02-09 18:55 . 2009-02-09 18:55 102,413 --a------ c:\windows\system32\msvcrt2.dll
2009-02-09 18:54 . 2009-02-09 18:54 26,624 --a------ c:\windows\system32\38.scr
2009-02-08 16:18 . 2009-02-08 16:18 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-08 16:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-08 16:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-08 16:12 . 2009-02-08 21:47 65,014 --a------ C:\batman.exe
2009-02-08 16:03 . 2009-02-08 16:03 65,014 --a------ c:\documents and settings\Mamie\12341269861876.exe
2009-02-08 14:10 . 2009-02-08 14:10 <REP> d-------- c:\windows\ERUNT
2009-02-08 12:54 . 2009-02-08 14:26 <REP> d-------- C:\SDFix
2009-02-08 12:25 . 2009-02-08 12:25 <REP> d-------- C:\_OTMoveIt
2009-02-08 09:23 . 2009-02-08 09:24 <REP> d-------- C:\rsit
2009-02-08 09:23 . 2009-02-09 17:34 <REP> d-------- c:\program files\trend micro
2009-02-07 23:02 . 2009-02-07 23:02 1,172 --a------ c:\windows\mozver.dat
2009-02-07 22:59 . 2009-02-07 22:59 0 --a------ c:\windows\nsreg.dat
2009-02-07 20:52 . 2009-02-07 22:13 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-07 20:52 . 2009-02-07 22:14 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\program files\Avira
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-07 17:05 . 2009-02-07 17:05 <REP> d-------- c:\documents and settings\Mamie\Application Data\Malwarebytes
2009-02-07 17:04 . 2009-02-07 17:04 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-08 17:22 --------- d-----w c:\documents and settings\Mamie\Application Data\MSN6
2009-02-07 21:53 --------- d-----w c:\program files\CCleaner
2007-12-11 21:16 17,576 ----a-w c:\documents and settings\Mamie\Application Data\GDIPFONTCACHEV1.DAT
2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2006-01-24 7094272]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-03-11 114688]
"BellCanada_McciTrayApp"="c:\program files\BellCanada\McciTrayApp.exe" [2008-05-28 1468928]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2004-05-16 106560]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-02-07 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-02-07 45376]
S2 WindowsTelephony;Windows Telephony;"c:\windows\system\svhost.exe" --> c:\windows\system\svhost.exe [?]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-Microsoft(R) System Manager - c:\windows\system32\sysmgr.exe
HKLM-Run-StandardInstall - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Mamie\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\
FF - prefs.js: browser.startup.homepage - hxxp://sympatico.msn.ca/defaultf.aspx?lang=fr-ca&OCID=hmlogout
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-09 19:05:16
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\ODBC32.dll
- - - - - - - > 'lsass.exe'(716)
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\Motive\McciCMService.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Heure de fin: 2009-02-09 19:07:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-10 00:07:42
Avant-CF: 12 105 768 960 octets libres
Après-CF: 12,101,865,472 octets libres
winxpsp1_fr_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect
142 --- E O F --- 2009-02-07 22:44:49
a+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
10 févr. 2009 à 09:31
10 févr. 2009 à 09:31
1) Ouvre le bloc-notes et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.
Enregistre le fichier sur le bureau et nomme-le CFScript.txt.
driver::
WindowsTelephony
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
File::
c:\documents and settings\Mamie\12341269861876.exe
C:\batman.exe
c:\windows\system32\38.scr
c:\windows\system32\msvcrt2.dll
Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
Glisse/dépose le script sur ComBoFix comme indiqué sur le lien suivant :
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
Suis les invites.
Ton bureau va disparaître à plusieurs reprises. Normal.
L'ordinateur va redémarrer et un arrport sera crée.
tu enregistres le rapport et tu le postes avec un rapport Hijackthis.
Si tu ne le trouves pas, il est en C:\Combofix.txt
2) Poste moi ensuite un rapport RSIT.
A+
Copie/colle ce texte dans le bloc-notes.
Enregistre le fichier sur le bureau et nomme-le CFScript.txt.
driver::
WindowsTelephony
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
File::
c:\documents and settings\Mamie\12341269861876.exe
C:\batman.exe
c:\windows\system32\38.scr
c:\windows\system32\msvcrt2.dll
Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
Glisse/dépose le script sur ComBoFix comme indiqué sur le lien suivant :
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
Suis les invites.
Ton bureau va disparaître à plusieurs reprises. Normal.
L'ordinateur va redémarrer et un arrport sera crée.
tu enregistres le rapport et tu le postes avec un rapport Hijackthis.
Si tu ne le trouves pas, il est en C:\Combofix.txt
2) Poste moi ensuite un rapport RSIT.
A+
ComboFix 09-02-08.02 - Mamie 2009-02-10 6:31:48.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.255.86 [GMT -5:00]
Lancé depuis: c:\documents and settings\Mamie\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Mamie\Bureau\CFScript.txt..txt
* Un nouveau point de restauration a été créé
FILE ::
C:\batman.exe
c:\documents and settings\Mamie\12341269861876.exe
c:\windows\system32\38.scr
c:\windows\system32\msvcrt2.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\batman.exe
c:\documents and settings\Mamie\12341269861876.exe
c:\windows\system\svhost.exe
c:\windows\system32\msvcrt2.dll
c:\windows\temp
c:\windows\temp\74.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_WINDOWSTELEPHONY
-------\Service_WindowsTelephony
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))
.
2009-02-09 22:03 . 2009-02-09 22:04 26,624 --a------ c:\windows\system32\50.scr
2009-02-09 21:17 . 2009-02-09 21:17 26,624 --a------ c:\windows\system32\80.scr
2009-02-09 21:02 . 2009-02-09 21:02 26,624 --a------ c:\windows\system32\71.scr
2009-02-09 20:51 . 2009-02-09 20:52 26,624 --a------ c:\windows\system32\23.scr
2009-02-08 16:18 . 2009-02-08 16:18 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-08 16:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-08 16:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-08 14:10 . 2009-02-08 14:10 <REP> d-------- c:\windows\ERUNT
2009-02-08 12:54 . 2009-02-08 14:26 <REP> d-------- C:\SDFix
2009-02-08 12:25 . 2009-02-08 12:25 <REP> d-------- C:\_OTMoveIt
2009-02-08 09:23 . 2009-02-08 09:24 <REP> d-------- C:\rsit
2009-02-08 09:23 . 2009-02-09 17:34 <REP> d-------- c:\program files\trend micro
2009-02-07 23:02 . 2009-02-07 23:02 1,172 --a------ c:\windows\mozver.dat
2009-02-07 22:59 . 2009-02-07 22:59 0 --a------ c:\windows\nsreg.dat
2009-02-07 20:52 . 2009-02-07 22:13 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-07 20:52 . 2009-02-07 22:14 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\program files\Avira
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-07 17:05 . 2009-02-07 17:05 <REP> d-------- c:\documents and settings\Mamie\Application Data\Malwarebytes
2009-02-07 17:04 . 2009-02-07 17:04 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-10 03:47 --------- d-----w c:\documents and settings\Mamie\Application Data\MSN6
2009-02-07 21:53 --------- d-----w c:\program files\CCleaner
2007-12-11 21:16 17,576 ----a-w c:\documents and settings\Mamie\Application Data\GDIPFONTCACHEV1.DAT
2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-02-09_19.06.41.43 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-09 03:26:06 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-10 01:11:45 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-09 03:26:06 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-10 01:11:45 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-10 01:14:18 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2006-01-24 7094272]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-03-11 114688]
"BellCanada_McciTrayApp"="c:\program files\BellCanada\McciTrayApp.exe" [2008-05-28 1468928]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2004-05-16 106560]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-02-07 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-02-07 45376]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Mamie\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\
FF - prefs.js: browser.startup.homepage - hxxp://sympatico.msn.ca/defaultf.aspx?lang=fr-ca&OCID=hmlogout
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-10 06:35:53
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\ODBC32.dll
- - - - - - - > 'lsass.exe'(716)
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\Motive\McciCMService.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Heure de fin: 2009-02-10 6:38:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-10 11:38:24
ComboFix2.txt 2009-02-10 00:07:48
Avant-CF: 12 095 254 528 octets libres
Après-CF: 12,086,386,688 octets libres
137 --- E O F --- 2009-02-07 22:44:49
Logfile of random's system information tool 1.05 (written by random/random)
Run by Mamie at 2009-02-10 06:48:42
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 12 GB (60%) free of 19 GB
Total RAM: 255 MB (23% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:48:49, on 2009-02-10
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Motive\McciCMService.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\BellCanada\McciTrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Mamie\Bureau\RSIT.exe
C:\Program Files\trend micro\Mamie.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BellCanada_McciTrayApp] C:\Program Files\BellCanada\McciTrayApp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.255.86 [GMT -5:00]
Lancé depuis: c:\documents and settings\Mamie\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Mamie\Bureau\CFScript.txt..txt
* Un nouveau point de restauration a été créé
FILE ::
C:\batman.exe
c:\documents and settings\Mamie\12341269861876.exe
c:\windows\system32\38.scr
c:\windows\system32\msvcrt2.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\batman.exe
c:\documents and settings\Mamie\12341269861876.exe
c:\windows\system\svhost.exe
c:\windows\system32\msvcrt2.dll
c:\windows\temp
c:\windows\temp\74.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_WINDOWSTELEPHONY
-------\Service_WindowsTelephony
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))
.
2009-02-09 22:03 . 2009-02-09 22:04 26,624 --a------ c:\windows\system32\50.scr
2009-02-09 21:17 . 2009-02-09 21:17 26,624 --a------ c:\windows\system32\80.scr
2009-02-09 21:02 . 2009-02-09 21:02 26,624 --a------ c:\windows\system32\71.scr
2009-02-09 20:51 . 2009-02-09 20:52 26,624 --a------ c:\windows\system32\23.scr
2009-02-08 16:18 . 2009-02-08 16:18 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-08 16:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-08 16:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-08 14:10 . 2009-02-08 14:10 <REP> d-------- c:\windows\ERUNT
2009-02-08 12:54 . 2009-02-08 14:26 <REP> d-------- C:\SDFix
2009-02-08 12:25 . 2009-02-08 12:25 <REP> d-------- C:\_OTMoveIt
2009-02-08 09:23 . 2009-02-08 09:24 <REP> d-------- C:\rsit
2009-02-08 09:23 . 2009-02-09 17:34 <REP> d-------- c:\program files\trend micro
2009-02-07 23:02 . 2009-02-07 23:02 1,172 --a------ c:\windows\mozver.dat
2009-02-07 22:59 . 2009-02-07 22:59 0 --a------ c:\windows\nsreg.dat
2009-02-07 20:52 . 2009-02-07 22:13 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-07 20:52 . 2009-02-07 22:14 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\program files\Avira
2009-02-07 19:19 . 2009-02-07 19:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-07 17:05 . 2009-02-07 17:05 <REP> d-------- c:\documents and settings\Mamie\Application Data\Malwarebytes
2009-02-07 17:04 . 2009-02-07 17:04 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-02-07 16:26 . 2001-08-23 17:04 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys
2009-02-07 16:26 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-10 03:47 --------- d-----w c:\documents and settings\Mamie\Application Data\MSN6
2009-02-07 21:53 --------- d-----w c:\program files\CCleaner
2007-12-11 21:16 17,576 ----a-w c:\documents and settings\Mamie\Application Data\GDIPFONTCACHEV1.DAT
2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-02-09_19.06.41.43 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-09 03:26:06 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-10 01:11:45 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-09 03:26:06 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-10 01:11:45 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-10 01:14:18 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2006-01-24 7094272]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-03-11 114688]
"BellCanada_McciTrayApp"="c:\program files\BellCanada\McciTrayApp.exe" [2008-05-28 1468928]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2004-05-16 106560]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-02-07 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-02-07 45376]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Mamie\Application Data\Mozilla\Firefox\Profiles\4t6dtnrq.default\
FF - prefs.js: browser.startup.homepage - hxxp://sympatico.msn.ca/defaultf.aspx?lang=fr-ca&OCID=hmlogout
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-10 06:35:53
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\ODBC32.dll
- - - - - - - > 'lsass.exe'(716)
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\Motive\McciCMService.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Heure de fin: 2009-02-10 6:38:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-10 11:38:24
ComboFix2.txt 2009-02-10 00:07:48
Avant-CF: 12 095 254 528 octets libres
Après-CF: 12,086,386,688 octets libres
137 --- E O F --- 2009-02-07 22:44:49
Logfile of random's system information tool 1.05 (written by random/random)
Run by Mamie at 2009-02-10 06:48:42
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 12 GB (60%) free of 19 GB
Total RAM: 255 MB (23% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:48:49, on 2009-02-10
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Motive\McciCMService.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\BellCanada\McciTrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Mamie\Bureau\RSIT.exe
C:\Program Files\trend micro\Mamie.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BellCanada_McciTrayApp] C:\Program Files\BellCanada\McciTrayApp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
10 févr. 2009 à 13:19
10 févr. 2009 à 13:19
Non, Hijackthis est une partie du rapport de RSIT.
RSIT donne beaucoup plus d'infos ( fichiers crées, clés de la base de registre, liste des drivers et des services ).
On y est presque.
1) Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
Begin copying:
:Processes
explorer.exe
:Files
c:\windows\system32\50.scr
c:\windows\system32\80.scr
c:\windows\system32\71.scr
c:\windows\system32\23.scr
:Commands
[start explorer]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Copie/colle ce rapport dans ton prochain message.
Il se trouve également dans C:\_OTMoveIt\MovedFiles. ( fichier .log )
2) On va installer un parefeu. Tu n'en as pas sur ton PC.
C'est une faille de sécurité qui laisse la porte ouverte aux virus.
je t'indique trois produits. Installe en un et dis moi ton choix.
Essaie le et comprend le fonctionnement de ce type de protection.
pare-feu gratuits :
Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
Attention décochez lors de l'installation les options relatives à AskBar
- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/
Le meilleur, à mon avis, est Comodo., mais il faut savoir le configurer.
il y a différents niveaux de protection ( trial pour apprentissage, safe par défaut, .., paranoid déconseillé ).
ZoneAlarm est connu. Lis le tuto. Il y a une partie Contrôle des programmes et leurs accès à internet. Ceci t'expliquera comment réagir avec les alertes.
3) Lance un scan d'Antivir.
* Mets à jour Antivir et lance un scan complet
* Pour cela, clique sur l'onglet Protection Locale puis Contrôler
* Choisis les éléments à scanner ( disques durs locaux ).
* Lance le scan en cliquant sur la loupe.
Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
Poste le rapport.
Si tu as des questions pour le parefeu, n'hésite pas.
A+
RSIT donne beaucoup plus d'infos ( fichiers crées, clés de la base de registre, liste des drivers et des services ).
On y est presque.
1) Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
Begin copying:
:Processes
explorer.exe
:Files
c:\windows\system32\50.scr
c:\windows\system32\80.scr
c:\windows\system32\71.scr
c:\windows\system32\23.scr
:Commands
[start explorer]
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Copie/colle ce rapport dans ton prochain message.
Il se trouve également dans C:\_OTMoveIt\MovedFiles. ( fichier .log )
2) On va installer un parefeu. Tu n'en as pas sur ton PC.
C'est une faille de sécurité qui laisse la porte ouverte aux virus.
je t'indique trois produits. Installe en un et dis moi ton choix.
Essaie le et comprend le fonctionnement de ce type de protection.
pare-feu gratuits :
Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
Attention décochez lors de l'installation les options relatives à AskBar
- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/
Le meilleur, à mon avis, est Comodo., mais il faut savoir le configurer.
il y a différents niveaux de protection ( trial pour apprentissage, safe par défaut, .., paranoid déconseillé ).
ZoneAlarm est connu. Lis le tuto. Il y a une partie Contrôle des programmes et leurs accès à internet. Ceci t'expliquera comment réagir avec les alertes.
3) Lance un scan d'Antivir.
* Mets à jour Antivir et lance un scan complet
* Pour cela, clique sur l'onglet Protection Locale puis Contrôler
* Choisis les éléments à scanner ( disques durs locaux ).
* Lance le scan en cliquant sur la loupe.
Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
Poste le rapport.
Si tu as des questions pour le parefeu, n'hésite pas.
A+
voici le rapport du scan antivir
Avira AntiVir Personal
Date de création du fichier de rapport : 10 février 2009 21:34
La recherche porte sur 1329361 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 1) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Mamie
Nom de l'ordinateur :CHAMPA
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 2008-12-02 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 14:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 2008-07-21 19:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 18:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 2008-07-04 13:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 17:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 2009-01-14 00:24:44
ANTIVIR2.VDF : 7.1.1.240 1659904 Bytes 2009-02-07 00:25:06
ANTIVIR3.VDF : 7.1.2.5 83456 Bytes 2009-02-10 02:09:41
Version du moteur: 8.2.0.76
AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-02-08 00:25:30
AESCRIPT.DLL : 8.1.1.43 344442 Bytes 2009-02-08 00:25:29
AESCN.DLL : 8.1.1.6 127348 Bytes 2009-02-08 00:25:26
AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 19:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 2009-02-08 00:25:25
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 2009-02-08 00:25:22
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 2009-02-08 00:25:21
AEHELP.DLL : 8.1.2.0 119159 Bytes 2009-02-08 00:25:11
AEGEN.DLL : 8.1.1.14 332148 Bytes 2009-02-08 00:25:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 16:05:56
AECORE.DLL : 8.1.6.4 176501 Bytes 2009-02-08 00:25:08
AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 16:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 14:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 15:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 18:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 17:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 14:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 18:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 23:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 18:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 18:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-04 13:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 2008-07-17 16:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Disques durs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : 10 février 2009 21:34
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'McciCMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WZQKPICK.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'McciTrayApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'26' processus ont été contrôlés avec '26' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '49' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Qoobox\Quarantine\C\batman.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a063b01.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\Documents and Settings\Mamie\12341269861876.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c53ad7.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\system\svhost.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 49fa3b1f.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\system32\12341198892108.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c53ae0.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\system32\sysmgr.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a053b2e.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\10.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03ae6.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\11.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03ae7.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\15.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aeb.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\37.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aee.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\74.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4bae5f5c.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\76.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aed.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\78.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aef.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\88.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03af0.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02082009_122543\WINDOWS\snarfp.exe
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49f33d4a.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02082009_122543\WINDOWS\System32\bat.exe
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a063d3d.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02092009_180924\WINDOWS\system\svhost.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 49fa3d52.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02092009_180924\WINDOWS\System32\sysmgr.exe
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a053d56.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
Fin de la recherche : 10 février 2009 21:50
Temps nécessaire: 16:10 Minute(s)
La recherche a été effectuée intégralement
2321 Les répertoires ont été contrôlés
88226 Des fichiers ont été contrôlés
17 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
17 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
17 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
88208 Fichiers non infectés
666 Les archives ont été contrôlées
1 Avertissements
17 Consignes
mon ordi bloc de temps a autre est ce normal ?
Avira AntiVir Personal
Date de création du fichier de rapport : 10 février 2009 21:34
La recherche porte sur 1329361 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 1) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Mamie
Nom de l'ordinateur :CHAMPA
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 2008-12-02 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 14:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 2008-07-21 19:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 18:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 2008-07-04 13:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 17:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 2009-01-14 00:24:44
ANTIVIR2.VDF : 7.1.1.240 1659904 Bytes 2009-02-07 00:25:06
ANTIVIR3.VDF : 7.1.2.5 83456 Bytes 2009-02-10 02:09:41
Version du moteur: 8.2.0.76
AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-02-08 00:25:30
AESCRIPT.DLL : 8.1.1.43 344442 Bytes 2009-02-08 00:25:29
AESCN.DLL : 8.1.1.6 127348 Bytes 2009-02-08 00:25:26
AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 19:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 2009-02-08 00:25:25
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 2009-02-08 00:25:22
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 2009-02-08 00:25:21
AEHELP.DLL : 8.1.2.0 119159 Bytes 2009-02-08 00:25:11
AEGEN.DLL : 8.1.1.14 332148 Bytes 2009-02-08 00:25:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 16:05:56
AECORE.DLL : 8.1.6.4 176501 Bytes 2009-02-08 00:25:08
AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 16:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 14:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 15:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 18:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 17:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 14:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 18:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 23:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 18:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 18:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-04 13:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 2008-07-17 16:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Disques durs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : 10 février 2009 21:34
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'McciCMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WZQKPICK.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'McciTrayApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'26' processus ont été contrôlés avec '26' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '49' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Qoobox\Quarantine\C\batman.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a063b01.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\Documents and Settings\Mamie\12341269861876.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c53ad7.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\system\svhost.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 49fa3b1f.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\system32\12341198892108.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c53ae0.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\system32\sysmgr.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a053b2e.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\10.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03ae6.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\11.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03ae7.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\15.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aeb.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\37.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aee.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\74.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4bae5f5c.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\76.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aed.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\78.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03aef.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Qoobox\Quarantine\C\WINDOWS\Temp\88.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c03af0.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02082009_122543\WINDOWS\snarfp.exe
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 49f33d4a.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02082009_122543\WINDOWS\System32\bat.exe
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a063d3d.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02092009_180924\WINDOWS\system\svhost.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 49fa3d52.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\_OTMoveIt\MovedFiles\02092009_180924\WINDOWS\System32\sysmgr.exe
[RESULTAT] Contient le cheval de Troie TR/Buzus.akrx
[REMARQUE] Une copie de sécurité a été créée sous le nom 4a053d56.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
Fin de la recherche : 10 février 2009 21:50
Temps nécessaire: 16:10 Minute(s)
La recherche a été effectuée intégralement
2321 Les répertoires ont été contrôlés
88226 Des fichiers ont été contrôlés
17 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
17 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
17 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
88208 Fichiers non infectés
666 Les archives ont été contrôlées
1 Avertissements
17 Consignes
mon ordi bloc de temps a autre est ce normal ?
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 févr. 2009 à 10:05
11 févr. 2009 à 10:05
Pour les virus, c'est bon. Antivir n'a trouvé que des fichiers en quarantaine.
Ton ordi bloque de temps en temps.
Normal, regarde :
System drive C: has 12 GB (61%) free of 19 GB
Total RAM: 255 MB (13% free)
Si tu lances trop d'applis, ton PC n'a plus de mémoire à lui allouer.
Tu devrais rajouter 1 go et ton PC serait bien plus performant.
Du coup, j'hésite à te demander de faire la mise à jour du service pack de windows.
Platform: Windows XP SP1 (WinNT 5.01.2600)
On en est au SP3 et tu devrais intaller ce service pack car il corrige beaucoup de failles de sécurité de windows.
Comptes-tu ajouter de la mémoire dans le PC ou pas ?
A+
Ton ordi bloque de temps en temps.
Normal, regarde :
System drive C: has 12 GB (61%) free of 19 GB
Total RAM: 255 MB (13% free)
Si tu lances trop d'applis, ton PC n'a plus de mémoire à lui allouer.
Tu devrais rajouter 1 go et ton PC serait bien plus performant.
Du coup, j'hésite à te demander de faire la mise à jour du service pack de windows.
Platform: Windows XP SP1 (WinNT 5.01.2600)
On en est au SP3 et tu devrais intaller ce service pack car il corrige beaucoup de failles de sécurité de windows.
Comptes-tu ajouter de la mémoire dans le PC ou pas ?
A+
pour la memoire je vais lui conseillé d'en rajouté mais ce n'est pas a moi alors je ne prend pas de descision..
est ce que tout est réglé??
messenger me demande de faire une mise a jour ,quand je la fait a la fin ca dit qu'il n'est pas capable ded l'installé
est ce normal?
a+
est ce que tout est réglé??
messenger me demande de faire une mise a jour ,quand je la fait a la fin ca dit qu'il n'est pas capable ded l'installé
est ce normal?
a+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 févr. 2009 à 14:17
11 févr. 2009 à 14:17
Pour les mises à jour, cela peut attendre quand elle aura plus de mémoire sur son PC car cela va sans doute accroitre la place prise par les processus.
mais 256 Mo, c'est bien peu pour de la RAM sur un PC.
1) Vide la quarantaine d'antivir.
Pour cela, click droit sur l'icône d'antivir dans la barre des taches --> ouvrir antivir
Administration --> quarantaine
Supprime tous les fichiers qui y sont.
2) Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.
Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt
3) Utilise CCleaner et les deux options nettoyeur et registre.
4) je te conseille enfin de recréer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.
- Désactivation de la restauration système :
Panneau de configuration --> Système --> Restauration du sytème
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Création d'un nouveau point de restauration :
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
mais 256 Mo, c'est bien peu pour de la RAM sur un PC.
1) Vide la quarantaine d'antivir.
Pour cela, click droit sur l'icône d'antivir dans la barre des taches --> ouvrir antivir
Administration --> quarantaine
Supprime tous les fichiers qui y sont.
2) Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.
Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt
3) Utilise CCleaner et les deux options nettoyeur et registre.
4) je te conseille enfin de recréer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.
- Désactivation de la restauration système :
Panneau de configuration --> Système --> Restauration du sytème
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Création d'un nouveau point de restauration :
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
8 févr. 2009 à 15:28
info.txt logfile of random's system information tool 1.05 2009-02-08 09:24:01
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee Classic-->C:\PROGRA~1\ACDSee32\UNWISE.EXE C:\PROGRA~1\ACDSee32\INSTALL.LOG
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Barre d'outils MSN-->C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\mtbs.exe c
Canon Camera Support Core Library-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{B9B9863A-32FD-4133-ADB7-46244ED77694} /l1036
Canon Camera Window for ZoomBrowser EX-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{F37942A8-B21B-4C5A-A1D2-B676BF55EAE0}
Canon MovieEdit Task for ZoomBrowser EX-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{DE286975-ACF1-45B8-9EF7-34E162B2C817}
Canon PhotoRecord-->MsiExec.exe /X{BEF56F2D-56ED-4176-BF72-7B68D4A3B98D}
Canon RAW Image Task for ZoomBrowser EX-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{9518F764-C54D-47B2-9E73-154B21E79FD2}
Canon RemoteCapture Task for ZoomBrowser EX-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{2C164906-E68F-462A-9010-70DD022223EF}
Canon Utilities PhotoStitch 3.1-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}
Canon Utilities ZoomBrowser EX-->MsiExec.exe /X{C1D76D7A-F3BB-47EA-A746-5B1E2FFC1DF2}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Correctif Lecteur Windows Media 9 [Voir KB885492 pour plus d'informations]-->C:\WINDOWS\$NtUninstallKB885492$\spuninst\spuninst.exe
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]-->C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe
Correctif Windows XP - KB823182-->C:\WINDOWS\$NtUninstallKB823182$\spuninst\spuninst.exe
Correctif Windows XP - KB823559-->C:\WINDOWS\$NtUninstallKB823559$\spuninst\spuninst.exe
Correctif Windows XP - KB824105-->C:\WINDOWS\$NtUninstallKB824105$\spuninst\spuninst.exe
Correctif Windows XP - KB828035-->C:\WINDOWS\$NtUninstallKB828035$\spuninst\spuninst.exe
Correctif Windows XP - KB828741-->C:\WINDOWS\$NtUninstallKB828741$\spuninst\spuninst.exe
Correctif Windows XP - KB833987-->C:\WINDOWS\$NtUninstallKB833987$\spuninst\spuninst.exe
Correctif Windows XP - KB835732-->C:\WINDOWS\$NtUninstallKB835732$\spuninst\spuninst.exe
Correctif Windows XP - KB837001-->C:\WINDOWS\$NtUninstallKB837001$\spuninst\spuninst.exe
Correctif Windows XP - KB839645-->C:\WINDOWS\$NtUninstallKB839645$\spuninst\spuninst.exe
Correctif Windows XP - KB840374-->C:\WINDOWS\$NtUninstallKB840374$\spuninst\spuninst.exe
Correctif Windows XP - KB840987-->C:\WINDOWS\$NtUninstallKB840987$\spuninst\spuninst.exe
Correctif Windows XP - KB841356-->C:\WINDOWS\$NtUninstallKB841356$\spuninst\spuninst.exe
Correctif Windows XP - KB841533-->C:\WINDOWS\$NtUninstallKB841533$\spuninst\spuninst.exe
Correctif Windows XP - KB841873-->C:\WINDOWS\$NtUninstallKB841873$\spuninst\spuninst.exe
Correctif Windows XP - KB842773-->C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe
Correctif Windows XP - KB871250-->C:\WINDOWS\$NtUninstallKB871250$\spuninst\spuninst.exe
Correctif Windows XP - KB873333-->C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Correctif Windows XP - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Correctif Windows XP - KB873376-->C:\WINDOWS\$NtUninstallKB873376$\spuninst\spuninst.exe
Correctif Windows XP - KB885250-->C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Correctif Windows XP - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Correctif Windows XP - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Correctif Windows XP - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Correctif Windows XP - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Correctif Windows XP - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Correctif Windows XP - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Correctif Windows XP - KB892944-->"C:\WINDOWS\$NtUninstallKB892944$\spuninst\spuninst.exe"
Correctif Windows XP - KB893086-->"C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
Correctif Windows XP - KB896688-->"C:\WINDOWS\$NtUninstallKB896688-IE6SP1-20051004.130236$\spuninst\spuninst.exe"
Correctif Windows XP - KB896727-->"C:\WINDOWS\$NtUninstallKB896727-IE6SP1-20050719.165959$\spuninst\spuninst.exe"
Correctif Windows XP - KB897715-->"C:\WINDOWS\$NtUninstallKB897715-OE6SP1-20050503.210336$\spuninst\spuninst.exe"
Correctif Windows XP - KB905915-->"C:\WINDOWS\$NtUninstallKB905915-IE6SP1-20051122.175908$\spuninst\spuninst.exe"
Correctif Windows XP - KB911567-->"C:\WINDOWS\$NtUninstallKB911567-OE6SP1-20060316.165634$\spuninst\spuninst.exe"
Correctif Windows XP - KB912812-->"C:\WINDOWS\$NtUninstallKB912812-IE6SP1-20060322.182418$\spuninst\spuninst.exe"
Correctif Windows XP - KB916281-->"C:\WINDOWS\$NtUninstallKB916281-IE6SP1-20060526.162249$\spuninst\spuninst.exe"
Correctif Windows XP - KB918439-->"C:\WINDOWS\$NtUninstallKB918439-IE6SP1-20060530.145346$\spuninst\spuninst.exe"
Correctif Windows XP - KB918899-->"C:\WINDOWS\$NtUninstallKB918899-IE6SP1-20060725.123917$\spuninst\spuninst.exe"
Correctif Windows XP - KB925486-->"C:\WINDOWS\$NtUninstallKB925486-IE6SP1-20060918.120000$\spuninst\spuninst.exe"
Correctif Windows XP (SP2) Q329170-->C:\WINDOWS\$NtUninstallQ329170$\spuninst\spuninst.exe
Correctif Windows XP (SP2) Q329441-->C:\WINDOWS\$NtUninstallQ329441$\spuninst\spuninst.exe
Correctif Windows XP (SP2) Q810565-->C:\WINDOWS\$NtUninstallQ810565$\spuninst\spuninst.exe
Correctif Windows XP (SP2) Q810833-->C:\WINDOWS\$NtUninstallQ810833$\spuninst\spuninst.exe
Correctif Windows XP (SP2) Q814033-->C:\WINDOWS\$NtUninstallQ814033$\spuninst\spuninst.exe
Correctif Windows XP (SP2) Q815021-->C:\WINDOWS\$NtUninstallQ815021$\spuninst\spuninst.exe
Correctif Windows XP (SP2) Q817606-->C:\WINDOWS\$NtUninstallQ817606$\spuninst\spuninst.exe
Desktop SheetMusic 2003 XP 2003-->C:\WINDOWS\Unwise32.EXE C:\PROGRA~1\IDD\DESKTO~1\Install.LOG
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Intel(R) Extreme Graphics Driver-->RUNDLL32.EXE C:\WINDOWS\System32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2562
Intel(R) PRO Ethernet Adapter and Software-->Prounstl.exe
Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Macromedia Flash Player 8-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\swflash.inf,DefaultUninstall,5
Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB893066)-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896424)-->"C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896426)-->"C:\WINDOWS\$NtUninstallKB896426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899588)-->"C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899589)-->"C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905495)-->"C:\WINDOWS\$NtUninstallKB905495$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB913446)-->"C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917159)-->"C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917422)-->"C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB921398)-->"C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB922616)-->"C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924191)-->"C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB835409)-->"C:\WINDOWS\$NtUninstallKB835409$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.20)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSN Messenger 7.5-->MsiExec.exe /I{BAFD3C1E-03EC-11DA-BFBD-00065BBDC0B5}
NHL 2004-->C:\Program Files\EA SPORTS\NHL 2004\EAUninstall.exe
Package du correctif Windows XP [voir Q329048 pour plus de détails]-->C:\WINDOWS\$NtUninstallQ329048$\spuninst\spuninst.exe
Package du correctif Windows XP [voir Q329115 pour plus de détails]-->C:\WINDOWS\$NtUninstallQ329115$\spuninst\spuninst.exe
Package du correctif Windows XP [voir Q329390 pour plus de détails]-->C:\WINDOWS\$NtUninstallQ329390$\spuninst\spuninst.exe
Package du correctif Windows XP [voir Q329834 pour plus de détails]-->C:\WINDOWS\$NtUninstallQ329834$\spuninst\spuninst.exe
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Tap'Touche Garfield-->"C:\Program Files\Tap'Touche Garfield\désinstaller.exe"
Vérification Internet-->C:\Program Files\BellCanada\bcunwise.exe
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
WinZip-->"C:\Program Files\WinZip\WINZIP32.EXE" /uninstall
System event log
Computer Name: CHAMPA
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.
Record Number: 47439
Source Name: EventLog
Time Written: 20081023123358.000000-240
Event Type: information
User:
Computer Name: CHAMPA
Event Code: 17
Message:
Record Number: 47438
Source Name: avgntdd
Time Written: 20081023123420.000000-240
Event Type: information
User:
Computer Name: CHAMPA
Event Code: 6006
Message: Le service d'Enregistrement d'événement a été arrêté.
Record Number: 47437
Source Name: EventLog
Time Written: 20081022193821.000000-240
Event Type: information
User:
Computer Name: CHAMPA
Event Code: 7036
Message: Le service Service de transfert intelligent en arrière-plan est entré dans l'état : en cours d'exécution.
Record Number: 47436
Source Name: Service Control Manager
Time Written: 20081022185449.000000-240
Event Type: information
User:
Computer Name: CHAMPA
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service de transfert intelligent en arrière-plan.
Record Number: 47435
Source Name: Service Control Manager
Time Written: 20081022185449.000000-240
Event Type: information
User: AUTORITE NT\SYSTEM
Application event log
Computer Name: CHAMPA
Event Code: 0
Message:
Record Number: 3805
Source Name: McciCMService
Time Written: 20081227174119.000000-300
Event Type: information
User:
Computer Name: CHAMPA
Event Code: 4609
Message: Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est C0000005 à partir de la ligne 44 de d:\nt_qxp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.
Record Number: 3804
Source Name: EventSystem
Time Written: 20081227174114.000000-300
Event Type: error
User:
Computer Name: CHAMPA
Event Code: 4096
Message:
Record Number: 3803
Source Name: H+BEDV AntiVir
Time Written: 20081226170236.000000-300
Event Type: information
User: AUTORITE NT\SYSTEM
Computer Name: CHAMPA
Event Code: 0
Message:
Record Number: 3802
Source Name: McciCMService
Time Written: 20081226170231.000000-300
Event Type: information
User:
Computer Name: CHAMPA
Event Code: 4609
Message: Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est C0000005 à partir de la ligne 44 de d:\nt_qxp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.
Record Number: 3801
Source Name: EventSystem
Time Written: 20081226170224.000000-300
Event Type: error
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 1 Stepping 3, GenuineIntel
"PROCESSOR_REVISION"=0103
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
voici le deuxieme rapport
Logfile of random's system information tool 1.05 (written by random/random)
Run by Mamie at 2009-02-08 09:23:37
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 12 GB (61%) free of 19 GB
Total RAM: 255 MB (34% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:23:56, on 2009-02-08
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\BellCanada\McciTrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Motive\McciCMService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system\svhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Mamie\Bureau\RSIT.exe
C:\Program Files\trend micro\Mamie.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BellCanada_McciTrayApp] C:\Program Files\BellCanada\McciTrayApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe
O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS\system\svhost.exe
O23 - Service: Windows Spool Services (WinSpoolSvc) - Unknown owner - C:\WINDOWS\system32\csrsc.exe (file missing)