message erreur AUTOLT ERRORFermé

Question

Bonjour,
depuis quelque jours j'ai le message derreur suivant
AUTOLT ERROR 
line -1:
error:unable to execute the external program
aprés un truc on chinois ou je sais pas quoi comme dans limage suivante 
https://www.cjoint.com/?dxuA0AoXhq
merci de me repondre rapidement svp

jlpjlp · Answer

slt,


remplace ton firefox par la version 3!


puis


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

mikamiteru · Answer

j'ai fai ce que tu ma dit et jai eu c 2 rapports

RAPPORT 01
Logfile of random's system information tool 1.05 (written by random/random)
Run by ali at 2009-03-21 21:05:29
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 140 MB (1%) free of 20 GB
Total RAM: 383 MB (27% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:05:33, on 21/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Windows\System32\bycool1\windo.exe
C:\Windows\System32\bycool\winacces.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ali\Mes documents\Downloads\Compressed\WLM.Lite.8.5.r7\WLM Lite 8.5.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ali\Mes documents\Downloads\Programs\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\ali.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [EPSON Stylus C79 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGP.EXE /FU "C:\WINDOWS\TEMP\E_S12E.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [DRIVESYS1] C:\Windows\System32\bycool1\windo.exe
O4 - HKLM\..\Run: [DRIVESYS] C:\Windows\System32\bycool\winacces.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\ADOBE\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20" -"http://www.habbo.fr/client?wide=false"
O4 - HKLM\..\Policies\Explorer\Run: [UNICORNI-C74DB5] .vbe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{44A44BD1-F93B-4E4C-9144-9B324812F3A6}: NameServer = 208.67.222.222 193.55.10.102
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

jlpjlp · Answer

ok tu es gavé!


branche tes supports externes (clés usb ...) car elles sont touchées et si tu les a mis dans d'autre pc ils sont infectés aussi!



analyse ces deux fichiers sur virus total et colle les rapports  https://www.virustotal.com/gui/


C:\Windows\System32\bycool1\windo.exe
C:\Windows\System32\bycool\winacces.exe

jlpjlp · Answer

je me mets ceci de coté:


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DRIVESYS1"=C:\Windows\System32\bycool1\windo.exe [2008-08-13 1393777]
"DRIVESYS"=C:\Windows\System32\bycool\winacces.exe [2008-08-13 1133622]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"UNICORNI-C74DB5"=C:\WINDOWS\system32\.vbe [2009-02-24 10000]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"=C:\WINDOWS\system32\ckvo.exe [2008-10-30 105096]
"cdoosoft"=C:\WINDOWS\system32\olhrwef.exe [2009-03-18 110053]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ec5a2af-08e3-11de-b6e8-00e020a0134f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
shell\Ouvrir\command - G:\log.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e5ea56e-1154-11de-b6f1-00e020a0134f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
shell\Ouvrir\command - G:\log.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{549c0933-df4b-11dd-b6bf-00e020a0134f}]
shell\AutoRun\command - G:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cd3417c-e2f7-11dd-b6c0-000000000000}]
shell\AutoRun\command - wscript.exe .\.vbs
shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b67fb434-e96d-11dd-b6c3-00e020a0134f}]
shell\AutoRun\command - wscript.exe .\.vbs
shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8a-df31-11dd-87a8-806d6172696f}]
shell\AutoRun\command - C:\xih9.cmd
shell\explore\command - C:\xih9.cmd
shell\open\command - C:\xih9.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8b-df31-11dd-87a8-806d6172696f}]
shell\AutoRun\command - D:\xih9.cmd
shell\explore\command - D:\xih9.cmd
shell\open\command - D:\xih9.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7f373f8-fdf3-11dd-b6d6-00e020a0134f}]
shell\AutoRun\command - wscript.exe .\.vbs
shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc3-f86f-11dd-b6d5-00e020a0134f}]
shell\AutoRun\command - wscript.exe .\.vbs
shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc4-f86f-11dd-b6d5-000000000000}]
shell\AutoRun\command - wscript.exe .\.vbs
shell\open\command - wscript.exe .\.vbs


2009-03-18 20:58:02 ----RSH---- C:\q0dhfjf.exe
2009-03-18 20:52:02 ----RSH---- C:\xih9.cmd
2009-03-18 20:52:02 ----RSH---- C:\uxkl0apt.bat
2009-03-18 20:48:50 ----SHD---- C:\FOUND.000
                                                 C:\qxty9be.cmd 
2009-03-04 18:40:40 ----SHD---- C:\WINDOWS\system32\f
2009-03-04 18:40:40 ----SHD---- C:\WINDOWS\system32\bycool
2009-03-04 18:40:38 ----SHD---- C:\WINDOWS\system32\bycool1
2009-03-18 20:57:36 ----RSH---- C:\WINDOWS\system32
mdfgds1.dll
2009-03-18 20:57:34 ----RSH---- C:\WINDOWS\system32\olhrwef.exe
2009-03-18 20:51:36 ----RSH---- C:\WINDOWS\system32\ckvo0.dll
2009-03-18 20:51:36 ----N---- C:\WINDOWS\system32
mdfgds0.dll
S4 mchInjDrv;mchInjDrv; \??\C:\DOCUME~1\ali\LOCALS~1\Temp\mc22F8.tmp []

mikamiteru · Answer

scan du C:\Windows\System32\bycool1\windo.exe 

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.101 2009.03.17 Trojan-Dropper.Agent!IK 
AhnLab-V3 5.0.0.2 2009.03.17 - 
AntiVir 7.9.0.116 2009.03.17 TR/Autoit.XV 
Authentium 5.1.0.4 2009.03.17 - 
Avast 4.8.1335.0 2009.03.17 Win32:AutoIt-EV 
AVG 8.0.0.237 2009.03.17 Worm/Autoit.MPG 
BitDefender 7.2 2009.03.17 Worm.Generic.44690 
CAT-QuickHeal 10.00 2009.03.17 Trojan.Agent.IRC 
ClamAV 0.94.1 2009.03.17 Trojan.Autoit-63 
Comodo 1062 2009.03.17 Unclassified Malware 
DrWeb 4.44.0.09170 2009.03.17 - 
eSafe 7.0.17.0 2009.03.17 Suspicious File 
eTrust-Vet 31.6.6388 2009.03.09 - 
F-Prot 4.4.4.56 2009.03.16 - 
F-Secure 8.0.14470.0 2009.03.17 Trojan-Dropper.Win32.Agent.afpc 
Fortinet 3.117.0.0 2009.03.17 W32/AutoIt.JO!worm 
GData 19 2009.03.17 Worm.Generic.44690 
Ikarus T3.1.1.45.0 2009.03.17 Trojan-Dropper.Agent 
K7AntiVirus 7.10.673 2009.03.16 Worm.Win32.AutoIt 
Kaspersky 7.0.0.125 2009.03.17 Worm.Win32.AutoIt.jo 
McAfee 5555 2009.03.16 Generic PWS.ap 
McAfee+Artemis 5555 2009.03.16 Generic PWS.ap 
McAfee-GW-Edition 6.7.6 2009.03.17 Trojan.Autoit.XV 
Microsoft 1.4405 2009.03.17 - 
NOD32 3942 2009.03.17 Win32/AutoRun.Autoit.X 
Norman 6.00.06 2009.03.17 - 
nProtect 2009.1.8.0 2009.03.17 Worm/W32.AutoIt.1393777 
Panda 10.0.0.10 2009.03.16 Trj/Autoit.AQ 
PCTools 4.4.2.0 2009.03.17 - 
Prevx1 V2 2009.03.17 - 
Rising 21.21.12.00 2009.03.17 - 
Sophos 4.39.0 2009.03.17 W32/Autorun-SR 
Sunbelt 3.2.1858.2 2009.03.17 Worm.Win32.AutoIt.jo 
Symantec 1.4.4.12 2009.03.17 W32.Harakit 
TheHacker 6.3.3.0.283 2009.03.16 - 
TrendMicro 8.700.0.1004 2009.03.17 WORM_AUTORUN.DKI 
VBA32 3.12.10.1 2009.03.16 Worm.Win32.AutoIt.jo 
ViRobot 2009.3.17.1652 2009.03.17 Worm.Win32.AutoIt.536576 
VirusBuster 4.6.5.0 2009.03.16 - 
Information additionnelle 
File size: 1393777 bytes 
MD5...: 5e13e8c59937866a41c533ed47ab087b 
SHA1..: 8980158a7a0419eb767770e14eb30c7b9a374342 
SHA256: 4f07ba3ea6095fc4dc01e4ab41fb3f543d227ba74079d2dbc87437ee168cb618 
SHA512: e9bd038c241c23000f8606cdf3c9c913f8cf038944a67cbf0ab93626c6b5632f
8bf490c40051a9c23a9f933947e5061bfdc52b0a527cfa176253890862a9f5aa 
ssdeep: 24576:muGShxmS7J63cCEpshK9pDDk+ZGC4BXj89NTiRDyeu1WL/BF74:2Shxt7c
3c8qNq149NUKA/E
 
PEiD..: - 
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x98440
timedatestamp.....: 0x4850e379 (Thu Jun 12 08:51:05 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x60000 0x39000 0x38600 7.93 646cfca0d452a6c4ea2be9f4c82162fa
.rsrc 0x99000 0x7000 0x6600 2.65 02466e07a2059fed50a9b91fd9f6ba58

( 13 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: ImageList_Create
> comdlg32.dll: GetSaveFileNameW
> GDI32.dll: LineTo
> MPR.dll: WNetUseConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports ) 
 
packers (Kaspersky): PE_Patch.UPX, UPX 
packers (F-Prot): UPX 

scan du C:\Windows\System32\bycool\winacces.exe



Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.101 2009.02.27 Trojan-Dropper.Delf!IK 
AhnLab-V3 5.0.0.2 2009.02.27 - 
AntiVir 7.9.0.98 2009.02.27 TR/Drop.Agent.afpc 
Authentium 5.1.0.4 2009.02.27 - 
Avast 4.8.1335.0 2009.02.26 Win32:Trojan-gen {Other} 
AVG 8.0.0.237 2009.02.27 Worm/Autoit.OQP 
BitDefender 7.2 2009.02.27 - 
CAT-QuickHeal 10.00 2009.02.27 - 
ClamAV 0.94.1 2009.02.27 Trojan.Autoit-63 
Comodo 986 2009.02.20 - 
DrWeb 4.44.0.09170 2009.02.27 - 
eSafe 7.0.17.0 2009.02.26 Suspicious File 
eTrust-Vet 31.6.6376 2009.02.27 Win32/Vxidl.EKF 
F-Prot 4.4.4.56 2009.02.26 - 
F-Secure 8.0.14470.0 2009.02.27 Trojan-Dropper.Win32.Agent.afpc 
Fortinet 3.117.0.0 2009.02.27 W32/Agent.AFPC!tr 
GData 19 2009.02.27 Win32:Trojan-gen {Other} 
Ikarus T3.1.1.45.0 2009.02.27 Trojan-Dropper.Delf 
K7AntiVirus 7.10.648 2009.02.26 Trojan-Dropper.Win32.Autoit 
Kaspersky 7.0.0.125 2009.02.27 Trojan-Dropper.Win32.Agent.afpc 
McAfee 5537 2009.02.26 Generic PWS.ap 
McAfee+Artemis 5537 2009.02.26 Generic PWS.ap 
Microsoft 1.4306 2009.02.27 TrojanDropper:AutoIt/Runner.A 
NOD32 3894 2009.02.27 Win32/Spy.Agent.NLJ 
Norman 6.00.06 2009.02.27 - 
nProtect 2009.1.8.0 2009.02.27 - 
Panda 10.0.0.10 2009.02.26 Trj/MultiDropper.ROY 
PCTools 4.4.2.0 2009.02.27 - 
Prevx1 V2 2009.02.27 Medium Risk Malware 
Rising 21.18.42.00 2009.02.27 - 
SecureWeb-Gateway 6.7.6 2009.02.27 Trojan.Drop.Agent.afpc 
Sophos 4.39.0 2009.02.27 Mal/Generic-A 
Sunbelt 3.2.1858.2 2009.02.26 Trojan-Spy.Win32.Delf.fel 
Symantec 10 2009.02.27 Infostealer 
TheHacker 6.3.2.5.267 2009.02.27 - 
TrendMicro 8.700.0.1004 2009.02.27 - 
VBA32 3.12.10.1 2009.02.26 - 
ViRobot 2009.2.27.1627 2009.02.27 - 
VirusBuster 4.5.11.0 2009.02.26 - 
Information additionnelle 
File size: 1133622 bytes 
MD5...: 7a06dff9189a0cbb23b46afed14cbc74 
SHA1..: 9aee5440c46ef20ef8ad20c7e8a6f54bffb80395 
SHA256: 0388d16dc56e5dd2091deb93ca876fb8bf06051a81122352910f117e7191ef1e 
SHA512: 99a6d847568c15fa51500adc99f406454019640e12b71408ef5756c90b16f7f8
4ae81bf27302862e07c1e783b633dc395355de3849321108efd0bafaf06a8ac7 
ssdeep: 24576:KPatCg7EPzFokV3Mpt7K5YOyyc3QwPIC5aZxSdgJEIYaQ08F+5mUbRVwX8
:htV7EP5VNYSc+1RYaQ0Hmke8
 
PEiD..: - 
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x98ca0
timedatestamp.....: 0x4850e379 (Thu Jun 12 08:51:05 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x60000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x61000 0x38000 0x38000 7.93 203f39ca3a4df8ddeaf319b4b3a70c07
.rsrc 0x99000 0x7000 0x6a00 2.69 2d90f59613795ca42d2cc590ff127cd0

( 13 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: ImageList_Create
> comdlg32.dll: GetSaveFileNameW
> GDI32.dll: LineTo
> MPR.dll: WNetUseConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports ) 
 
CWSandbox info: http://research.sunbelt-software.com/... 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E8E176FA364343B14CF011161900EE00A18552EE 
packers (F-Prot): UPX

jlpjlp · Answer

tu as branché tous tes disques externes?

mikamiteru · Answer

j'ai pas de disques externe !!!

jlpjlp · Answer

et des gens ont mis des clés usb dans ton pc???

Utilisateur anonyme · Answer

Bonsoir ,

Juste pour suivre merci 

ps : merci jérome ;)

jlpjlp · Answer

Et des gens ont mis des clés usb dans ton pc???


___________________

Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe
http://images.malwareremoval.com/jpshortstuff/DirLook.exe
http://downloads.securitycadets.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

C:\WINDOWS\system32\f
C:\WINDOWS\system32\bycool
C:\WINDOWS\system32\bycool1


[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:dl_log.txt
Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires

mikamiteru · Answer

oui mais je les ouvre jamais ou je les format avant ou alors je copie les trucs directement

jlpjlp · Answer

fais le message 10  :



rq:  pour tes clés, le formatage ne suffit pas forcement pour preuve ...

mikamiteru · Answer

alors je fais comment pour ce message enervant !!!!!!! ^^

jlpjlp · Answer

tu fais le message 10

mikamiteru · Answer

ok merci pour tous ^^

mikamiteru · Answer

pour le rapport je le posteré demain ++ et encore merci ^^

jlpjlp · Answer

fais le ce soir svp 

cela prends peu de temps

car demain il y aura un script a faire  et je sais pas si j'aurai le temps demain

sinon tu attendras ...


merci

mikamiteru · Answer

j'ai télécharger dirlook jia cocher les 2 option mais quand jappuis sur Dirlook il se passe rien c normal?

jlpjlp · Answer

il faut que tu mette ce texte (les 3 lignes  ) dedans  (dans le rectangle blanc) puis tu appuie sur dirlook





C:\WINDOWS\system32\f
C:\WINDOWS\system32\bycool
C:\WINDOWS\system32\bycool1

mikamiteru · Answer

ok voila le rapport


DirLook.exe v2.0 by jpshortstuff
Log created at 21:53 on 21/03/2009
==================================[b]
Contents of "C:\WINDOWS\system32\f"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

[b]d[/b] (Created on 04/03/2009 at 17:40) d-----

[b][color=blue]---FILES---[/b][/color]

(none found)

==================================[b]
Contents of "C:\WINDOWS\system32\bycool"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

(none found)

[b][color=blue]---FILES---[/b][/color]

[b]compilateur_auto.exe[/b] (685646 bytes - created on 13/08/2008 at 10:18, modified on 08/03/2008 at 15:07) --a---
[b]my.dll[/b] (144384 bytes - created on 13/08/2008 at 10:18, modified on 02/03/2008 at 23:35) --a---
[b]myapp.exe[/b] (161792 bytes - created on 13/08/2008 at 10:18, modified on 04/03/2008 at 15:50) --a---
[b]winacces.exe[/b] (1133622 bytes - created on 04/03/2009 at 17:40, modified on 13/08/2008 at 10:54) --a---

==================================[b]
Contents of "C:\WINDOWS\system32\bycool1"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

(none found)

[b][color=blue]---FILES---[/b][/color]

[b]log.exe[/b] (1133622 bytes - created on 13/08/2008 at 10:57, modified on 13/08/2008 at 10:54) --a---
[b]windo.exe[/b] (1393777 bytes - created on 04/03/2009 at 17:40, modified on 13/08/2008 at 11:58) -rahs-

==================================
[b][color=blue]=EOF=[/b][/color]

merci pour ta patiente ^^

jlpjlp · Answer

Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

_________________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :




Driver ::
mchInjDrv
File::
C:\Windows\System32\bycool\winacces.exe
C:\WINDOWS\system32\.vbe
C:\Windows\System32\bycool1\windo.exe
C:\WINDOWS\system32\olhrwef.exe
G:\log.exe
G:\autorun.exe
C:\xih9.cmd
D:\xih9.cmd
C:\q0dhfjf.exe
C:\xih9.cmd
C:\uxkl0apt.bat
C:\FOUND.000
C:\qxty9be.cmd
C:\WINDOWS\system32\f
C:\WINDOWS\system32\bycool
C:\WINDOWS\system32\bycool1
C:\WINDOWS\system32
mdfgds1.dll
C:\WINDOWS\system32\olhrwef.exe
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32
mdfgds0.dll
C:\WINDOWS\system32\ckvo.exe
C:\DOCUME~1\ali\LOCALS~1\Temp\mc22F8.tmp 
Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio­n\Run]
"DRIVESYS1"=-
"DRIVESYS"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"UNICORNI-C74DB5"= -
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"=-
"cdoosoft"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ec5a2af-08e3-11de-b6e8-00e020a0134f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e5ea56e-1154-11de-b6f1-00e020a0134f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{549c0933-df4b-11dd-b6bf-00e020a0134f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cd3417c-e2f7-11dd-b6c0-000000000000}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b67fb434-e96d-11dd-b6c3-00e020a0134f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8a-df31-11dd-87a8-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8b-df31-11dd-87a8-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7f373f8-fdf3-11dd-b6d6-00e020a0134f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc3-f86f-11dd-b6d5-00e020a0134f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc4-f86f-11dd-b6d5-000000000000}]





Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


_______________________

mets a jour adobe reader avec la version 9 puis vire ta version d'adobe ancienne la 7

https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

_______________________




Mettre a jour java:
https://javara.fr.malavida.com/

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 
Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application. 

si cela ne fonctionne pas 

https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80 

tu peux désinstaller les vieilles versions. 
_______________________

mets a jour internet explorer avec la version 8
https://support.microsoft.com/fr-fr/allproducts

http://download.microsoft.com/...
_______________________


ensuite fais le message que je t'ai mis en privé 

merci

mikamiteru · Answer

le rapport de combofix ComboFix 09-03-19.02 - ali 2009-03-22 11:49:52.1 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.383.152 [GMT 1:00] Lancé depuis: c:\documents and settings\ali\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\ali\Bureau\CFscript.txt AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! FILE :: c:\docume~1\ali\LOCALS~1\Temp\mc22F8.tmp C:\FOUND.000 C:\q0dhfjf.exe C:\qxty9be.cmd C:\uxkl0apt.bat c:\windows\system32\.vbe c:\windows\system32\bycool c:\windows\System32\bycool\winacces.exe c:\windows\system32\bycool1 c:\windows\System32\bycool1\windo.exe c:\windows\system32\ckvo.exe c:\windows\system32\ckvo0.dll c:\windows\system32\f c:\windows\system32 mdfgds0.dll c:\windows\system32 mdfgds1.dll c:\windows\system32\olhrwef.exe C:\xih9.cmd D:\xih9.cmd G:\autorun.exe G:\log.exe . [color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color] c:\program files\SuperCopier2\SC2Hook.dll (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\2fiy.bat C:\autorun.inf c:\documents and settings\ali\Application Data\addon.dat c:\documents and settings\ali .exe C:\q0dhfjf.exe C:\qxty9be.cmd C:\uvsqfgwd.cmd C:\uxkl0apt.bat c:\windows\system32\.vbe c:\windows\System32\bycool\winacces.exe c:\windows\System32\bycool1\windo.exe c:\windows\system32\ckvo.exe c:\windows\system32\ckvo0.dll c:\windows\system32\ckvo1.dll c:\windows\system32 mdfgds0.dll c:\windows\system32 mdfgds1.dll c:\windows\system32\olhrwef.exe c:\windows\system32\svch0st.exe C:\xih9.cmd D:\2fiy.bat D:\Autorun.inf D:\qxty9be.cmd D:\uvsqfgwd.cmd D:\uxkl0apt.bat D:\xih9.cmd . ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 )))))))))))))))))))))))))))))))))))) . 2009-03-21 21:03 . 2009-03-21 21:03 d-------- C: sit 2009-03-21 21:03 . 2009-03-21 21:03 d-------- c:\program files rend micro 2009-03-21 09:24 . 2009-03-21 09:24 d-------- c:\documents and settings\ali\Application Data\fltk.org 2009-03-21 09:02 . 2005-05-08 17:56 55,808 --a------ c:\windows\zlib1.dll 2009-03-21 09:02 . 2005-05-08 17:56 55,808 --a------ c:\windows\system32\zlib1.dll 2009-03-21 09:02 . 2005-05-08 17:56 55,808 --a------ c:\windows\system\zlib1.dll 2009-03-20 12:49 . 2009-03-20 12:49 d-------- c:\documents and settings\ali\Application Data\Hamachi 2009-03-20 12:48 . 2009-03-20 12:48 d-------- c:\program files\Hamachi 2009-03-20 12:48 . 2009-03-20 12:48 25,280 --a------ c:\windows\system32\drivers\hamachi.sys 2009-03-18 20:48 . 2009-03-18 20:48 d--hs---- C:\FOUND.000 2009-03-18 10:24 . 2009-03-18 10:24 d-------- c:\program files\Vahab Shalchian 2009-03-18 10:22 . 2009-03-18 10:22 d-------- c:\program files\Fichiers communs\Nero 2009-03-18 10:22 . 2009-03-18 10:22 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Nero 2009-03-18 10:22 . 2009-03-18 10:22 d-------- c:\documents and settings\ali\Application Data\Nero 2009-03-18 10:00 . 2009-03-18 10:00 d-------- c:\program files\Nero 2009-03-12 00:13 . 2009-03-12 00:13 d-------- c:\documents and settings\ali\Application Data\VoxOx 2009-03-12 00:09 . 2009-03-12 00:09 d-------- c:\program files\VoxOx 2009-03-06 21:39 . 2009-03-06 09:01 58,952 --a------ c:\windows\system32\MsgPlusLoader.dll 2009-03-06 09:10 . 2009-03-06 09:10 d-------- c:\documents and settings\ali\Application Data\Messenger_for_Skype 2009-03-06 09:07 . 2009-03-06 09:07 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Messenger Plus! 2009-03-06 09:03 . 2009-03-06 09:03 d-------- c:\program files\Microsoft Windows Script 2009-03-06 09:01 . 2009-03-06 09:01 d-------- c:\program files\MessengerPlus! 3 2009-03-05 15:40 . 2009-03-05 15:40 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\18189 2009-03-05 10:34 . 2009-03-05 10:34 d-------- c:\program files\adslTV 2009-03-05 09:22 . 2009-03-05 09:22 d-------- c:\program files\Windows Live 2009-03-04 18:40 . 2009-03-04 18:40 d--hs---- c:\windows\system32\f 2009-03-04 18:40 . 2009-03-04 18:40 d--hs---- c:\windows\system32\bycool1 2009-03-04 18:40 . 2009-03-04 18:40 d--hs---- c:\windows\system32\bycool 2009-03-03 21:12 . 2009-03-03 21:12 d-------- c:\program files\XP Codec Pack 2009-03-03 21:12 . 2008-07-09 10:05 421,888 --a------ c:\windows\system32\ac3filter.acm 2009-03-02 14:06 . 2009-03-02 14:06 d-------- c:\program files\MSN Messenger 2009-03-02 06:57 . 2009-03-02 06:57 d-------- c:\program files\CCleaner 2009-02-27 13:38 . 2009-02-27 13:38 d-------- c:\windows\G2Runner 2009-02-25 20:16 . 2009-03-18 09:52 116 --a------ c:\windows\NeroDigital.ini 2009-02-25 12:51 . 2009-02-25 12:51 d-------- c:\program files\Eidos Interactive 2009-02-24 21:47 . 2009-02-24 21:47 d-------- c:\program files\BurstCopy 2009-02-24 21:47 . 2009-02-24 21:47 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\BurstCopy Labs 2009-02-24 21:39 . 2009-02-24 21:39 d-------- c:\documents and settings\ali\Application Data\TeraCopy 2009-02-24 16:01 . 2009-02-24 16:01 10,000 -r-hs---- c:\windows\.vbe 2009-02-23 19:45 . 2009-02-23 19:46 0 --a------ C: estwma.raw . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-21 19:21 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\396C 2009-02-21 19:20 --------- d-----w c:\program files\BearShare Applications 2009-02-14 08:23 --------- d-----w c:\program files\Guitar Pro 5 2009-02-12 19:55 --------- d-----w c:\program files\San Andreas Mod Installer 2009-02-12 11:59 --------- d-----w c:\program files\Zero G Registry 2009-02-10 16:06 --------- d-----w c:\documents and settings\ali\Application Data\Thinstall 2009-02-10 09:46 --------- d-----w c:\program files\Naruto Shippuden Mugen 2009-02-10 07:51 --------- d-----w c:\documents and settings\ali\Application Data\vlc 2009-02-08 10:20 --------- d-----w c:\documents and settings\ali\Application Data\dvdcss 2009-02-08 10:18 --------- d-----w c:\program files\VideoLAN 2009-02-07 08:08 --------- d-----w c:\program files\Wizzl 2009-02-07 08:07 --------- d-----w c:\documents and settings\ali\Application Data\Wizzl BV 2009-02-06 22:23 --------- d-----w c:\program files\eMule Ultra Accelerator 2009-02-05 11:54 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\WinDS PRO 2009-02-02 20:40 --------- d-----w c:\program files\VeryPDF PDF2TXT v3.2 2009-02-02 19:50 --------- d-----w c:\program files\VeryPDF PDF2Word v3.0 2009-02-02 19:00 --------- d-----w c:\program files\EPSON 2009-02-02 06:23 109,930 --sh--r C:\a2h2.com 2009-02-02 06:14 --------- d-----w c:\program files\Microsoft.NET 2009-02-02 06:11 --------- d-----w c:\program files\Microsoft Works 2009-01-31 15:19 --------- d-----w c:\documents and settings\ali\Application Data\GeoVid 2009-01-31 15:18 --------- d-----w c:\program files\GeoVid 2009-01-31 13:53 13,824 ----a-w c:\windows\system32\drivers\splitcam.sys 2009-01-31 13:53 --------- d-----w c:\program files\SplitCam 2009-01-31 13:38 --------- d-----w c:\program files\CamStudio 2009-01-31 13:17 --------- d-----w c:\program files\TechSmith 2009-01-31 08:18 --------- d-----w c:\documents and settings\ali\Application Data\Camfrog 2009-01-31 08:17 --------- d-----w c:\program files\Camfrog 2009-01-25 19:19 --------- d-----w c:\program files\Google 2009-01-24 19:36 98,304 ----a-w c:\windows\system32\CmdLineExt.dll 2009-01-22 23:47 --------- d-----w c:\documents and settings\ali\Application Data\LimeWire 2009-01-22 23:07 410,984 ----a-w c:\windows\system32\deploytk.dll 2009-01-22 20:09 --------- d-----w c:\program files\PC-Telephone 2009-01-22 14:49 206,256 ----a-w c:\windows\system32\idmmbc.dll 2009-01-10 12:30 42,496 ----a-w C:\dialupass2.exe 2008-12-31 19:30 544,256 ----a-w c:\windows\system32\Multi Skype.exe 2008-12-29 19:30 208,896 ----a-w c:\windows\system32\Skype1.exe 2009-01-25 09:05 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll 2009-01-25 09:05 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll 2009-01-25 09:05 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll 2009-01-25 09:05 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll 2009-01-25 09:05 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-01-23 2745776] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-14 1057280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "FixCamera"="c:\windows\FixCamera.exe" [2007-02-10 20480] "tsnpstd3"="c:\windows snpstd3.exe" [2007-03-10 270336] "snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=MsgPlusLoader.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax "msacm.ac3filter"= ac3filter.acm [HKLM\~\startupfolder\C:^Documents and Settings^ali^Menu Démarrer^Programmes^Démarrage^MagicDisc.lnk] path=c:\documents and settings\ali\Menu Démarrer\Programmes\Démarrage\MagicDisc.lnk backup=c:\windows\pss\MagicDisc.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^ali^Menu Démarrer^Programmes^Démarrage^Messenger-PRO 3.lnk] path=c:\documents and settings\ali\Menu Démarrer\Programmes\Démarrage\Messenger-PRO 3.lnk backup=c:\windows\pss\Messenger-PRO 3.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck] -ra------ 2007-08-09 15:48 528384 c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Globe7] --------- 2008-05-13 09:57 763168 c:\program files\Globe7\Globe7.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] --a------ 2009-03-06 09:01 190024 c:\program files\MessengerPlus! 3\MsgPlus.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2008-11-18 16:31 21633320 c:\program files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2009-01-23 00:07 136600 c:\program files\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoxOx] --a------ 2009-02-28 01:00 5087232 c:\program files\VoxOx\voxox.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wizzl] --a------ 2007-01-08 09:49 6154240 c:\program files\Wizzl\Wizzl.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Google\Google Talk\googletalk.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\LimeWire\LimeWire.exe"= "c:\Program Files\Skype\Phone\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26200:TCP"= 26200:TCP:BitComet 26200 TCP "26200:UDP"= 26200:UDP:BitComet 26200 UDP "20957:TCP"= 20957:TCP:BitComet 20957 TCP "20957:UDP"= 20957:UDP:BitComet 20957 UDP R3 slnt;Silan SC92031 PCI Fast Ethernet Adapter;c:\windows\system32\drivers\slnt.sys [2009-01-10 18004] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-01-24 216232] --- Autres Services/Pilotes en mémoire --- *Deregistered* - mchInjDrv . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file) HKCU-RunOnce-Shockwave Updater - c:\windows\system32\ADOBE\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20) HKLM-Run-DRIVESYS1 - c:\windows\System32\bycool1\windo.exe HKLM-Run-DRIVESYS - c:\windows\System32\bycool\winacces.exe . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.files-ftp.com/~unicorni/phpBB2/index.php IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm IE: E&xporter vers Microsoft Excel - d:\micros~1\OFFICE11\EXCEL.EXE/3000 IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm TCP: {44A44BD1-F93B-4E4C-9144-9B324812F3A6} = 208.67.222.222 193.55.10.102 FF - ProfilePath - c:\documents and settings\ali\Application Data\Mozilla\Firefox\Profiles\7ltzt5lw.default\ FF - prefs.js: browser.startup.homepage - www.google.fr FF - component: c:\documents and settings\ali\Application Data\IDM\idmmzcc2\components\idmmzcc.dll FF - component: c:\documents and settings\ali\Application Data\Mozilla\Firefox\Profiles\7ltzt5lw.default\extensions\{31513E58-F253-47ad-86DB-D5F21E905429}\components\mintray-9178506d-2005072516-trunk.dll FF - component: c:\documents and settings\ali\Application Data\Mozilla\Firefox\Profiles\7ltzt5lw.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - component: c:\program files\Mozilla Firefox\extensions alkback@mozilla.org\components\qfaservices.dll FF - plugin: c:\program files\ma-config.com phardwaredetection.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-22 11:53:21 Windows 5.1.2600 Service Pack 2 FAT NTAPI Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet004\Services\mchInjDrv] "ImagePath"="\??\c:\docume~1\ali\LOCALS~1\Temp\mc21.tmp" . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{51050b86-3c7c-410c-9fe3-612195d5612c}] @Denied: (Full) (Everyone) "Model"=dword:00000047 "Therad"=dword:00000006 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}] @Denied: (Full) (Everyone) "scansk"=hex(0):27,91,e0,60,0f,12,b1,77,72,9e,42,da,d8,8e,e6,16,b6,1a,56,ce,dd, ff,9d,5e,84,ef,35,c2,e8,19,48,ca,2a,08,fd,d0,83,07,11,8d,00,00,00,00,00,00,\ . ------------------------ Autres processus actifs ------------------------ . c:\program files\JAVA\JRE6\BIN\JQS.EXE c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE c:\windows\system32\ADOBE\SHOCKW~1\SWHELP~1.EXE c:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2009-03-22 11:55:15 - La machine a redémarré ComboFix-quarantined-files.txt 2009-03-22 10:55:14 Avant-CF: 94 175 232 octets libres Après-CF: 122,601,472 octets libres 278

jlpjlp · Answer

ok tu peux faire le message donné en privé svp et envoyer le fichier demandé par mail 
merci






jem ets ceci de coté:
c:\windows\.vbe
C:	estwma.raw
C:\a2h2.com

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\ali\LOCALS~1\Temp\mc21.tmp"
.

Message erreur AUTOLT ERROR

23 réponses

Discussions similaires

Newsletters