Création
d'entreprise
Posez votre question Signaler

Trojan TR/Drop.agent.gna.2

wallacebarth - Dernière réponse le 19 juil. 2009 à 19:56
Bonjour tous le monde,
Je viens de faire une mise a jur manuelle d'avira antivir et "oh surprise" la présence du trjan TR/Drop.agent.gna.2 a été detecté. Je pesne que c'est lui qui m'empeche de faire les mises a jours automatique de antivir.
Le souci etant que la bestiole tente de se connecter a chaque lancement d un exe...
et elle se multiplie plus bien.
Donc si quelqu'un à un logiciel effice dédié à cette bestiole se sera avec plaisir. Au pire, je poste un hijack en 2eme message, pour les courageux !
Lire la suite 

Trojan TR/Drop.agent.gna.2 »

17 réponses
Réponse
+0
moins plus
wallacebarth 6 juil. 2009 à 18:34
Logfile of HijackThis v1.99.0
Scan saved at 18:27:26, on 06/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
c:\program files\a-squared\a2service.exe
C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Digidesign\Drivers\MMERefresh.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Quequete tueuse\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/19.11/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: a-squared Free Service - Emsi Software GmbH - c:\program files\a-squared\a2service.exe
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Digidesign MME Refresh Service - Digidesign, A Division of Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ced_King 3636Messages postés 2 mars 2009Date d'inscription 30 mai 2012Dernière intervention 6 juil. 2009 à 19:34
Salut,

- En envoyant le rapport hijackthis, tu as répondu à ton 1er post, donc les " helpers " du forum pensaient que quelqu'un t'avait pris en charge...

- Pourquoi SP3 n'est pas installé ?

- La version Hijackthis date de Mathusalem, elle est obsolète !

Tout d'abord,

Rends toi sur le site Virustotal

- Clique sur parcourir et cherche ce fichier : :C:\WINDOWS\system32\servises.exe

- Puis clique sur " envoyer le fichier " pour démarrer le scan

- A la fin de l'analyse, un rapport va s'élaborer ligne à ligne.

- Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note et copie le dans ta réponse.

Tuto scanner un fichier sur virustotal

---------------------
puis,

Télécharge et installe ccleaner

- Durant l'installation, décoche la case proposant la barre d'outils yahoo et celle: " ajouter l'option des mises à jour"

- Une fois installé, fermes toutes les applications en cours et lance ccleaner

- clic sur -->" option " --> " avancé " et décoche " effacer les fichiers etc... plus vieux que 48h

- Sélectionne " nettoyeur " --> clic sur " Analyse " et ensuite sur " nettoyage" , puis referme le programme...

---------------------------
Télécharge RSIT " Random's System Information Tool " sur ton bureau

- Ferme toutes les applications en cours et double clic sur RSIT.exe

- Clique sur " Continue " à l'écran --> RSIT va analyser le pc et vérifier si l'outil hijackthis ( version à jour) est présent sur le pc, comme ce n'est pas le cas, RSIT le téléchargera --> il faudra alors accepter la licence

- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent :
--> log.txt à l'écran et info.txt dans la barre des taches

- Poste le contenu des 2 rapports

Ajouter un commentaire
wallacebarth - 6 juil. 2009 à 23:12
info .txt



info.txt logfile of random's system information tool 1.06 2009-07-06 23:10:48

======Uninstall list======

-->MsiExec /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
-->MsiExec.exe /I{26792CA7-D87A-4DBE-896B-C2F66B344511}
-->MsiExec.exe /I{7FD9FD10-9F7F-4DDF-B9F0-911209FF0CEA}
-->MsiExec.exe /I{EB748B9B-F872-4E95-98E8-5CA7E5425DAF}
-->MsiExec.exe /X{1359D6D8-B1F0-4335-AE79-49CD2AF8EA26}
-->MsiExec.exe /X{69495273-FCDC-4A86-BCB7-49B504D3FB0E}
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6FD3298D-5A7E-4498-8CB2-9D8749D7420D}\Setup.exe" -l0x9
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
3D Custom Girl-->"C:\Documents and Settings\All Users\Application Data\{F3D79B30-A394-4389-B080-D198DF1E6244}\3DCGSetup.exe.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Illustrator CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{91A4AD99-69CE-4745-97B7-0E0DFBECFDE5}\setup.exe"
Adobe InDesign CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{416DFEDD-9F1B-4EFC-AF70-FCA891AE0251}\zidxp.exe"
Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x40c
Adobe Premiere Pro CS3-->C:\Program Files\Fichiers communs\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
Adobe Setup-->MsiExec.exe /I{BB81360F-041C-4CF7-B15E-71380D154244}
AGEIA PhysX v7.01.12-->MsiExec.exe /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Azureus-->C:\Program Files\Azureus\Uninstall.exe
Binary News Reaper 0.14.7 Beta-->"C:\Program Files\Binary News Reaper\unins000.exe"
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
Canon Digital Camera USB WIA Driver-->C:\WINDOWS\IsUn0411.exe -f"C:\Program Files\Canon\DC USB WIA\Uninst.isu" -c"C:\Program Files\Canon\DC USB WIA\SetupWia.dll"
Catalyst Control Center - Branding-->MsiExec.exe /I{4893A35F-0A23-48EC-8E74-24969244D6F2}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CloneDVD2-->"C:\Program Files\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Program Files\CloneDVD2"
Dawn Of War - Winter Assault-->MsiExec.exe /X{DD8408E9-9421-484F-979D-DB6361E3E828}
DawnOfWar-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{362D5167-9716-44BE-89FD-BF9EB6EF814B}
EasyRecovery Professional-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1036
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EVEREST Ultimate Edition v4.50-->"C:\Program Files\EVEREST Ultimate Edition\unins000.exe"
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
FileZilla (remove only)-->"C:\Program Files\FileZilla\uninstall.exe"
Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\SETUP.EXE" -l0x40c -removeonly
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
hp deskjet 3500-->msiexec /x{C7EC0699-D82C-4451-B701-C98C330D43AF}
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
K-Lite Codec Pack 4.1.4 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Macromedia Dreamweaver MX 2004-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x40c mmUninstall
Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\Setup.exe" -l0x40c mmUninstall
Macromedia Fireworks 8-->MsiExec.exe /I{4C24A8C1-7CFA-4650-AF15-732F5BD7B46D}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour de sécurité pour Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (1.5)-->C:\Program Files\Mozilla Thunderbird\uninstall\uninstall.exe /ua "1.5 (fr)"
Nero Lite 7.8.5.0-->"C:\Program Files\Nero\unins000.exe"
Oblivion - Horse Armor Pack-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3ABEBD00-299D-4DCA-967F-B912163AB5EA}\setup.exe" -l0x9 -removeonly
Oblivion-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{35CB6715-41F8-4F99-8881-6FC75BF054B0}\setup.exe" -l0x40c -removeonly
Package de pilotes Windows - Sony PSP Type B (11/20/2005 20051120)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\System32\DRVSTORE\psp_87D46C3F73EF6B7F5CD27D922EEE14783E1AD3BF\psp.inf
PDFCreator-->"C:\Program Files\PDFCreator\unins000.exe"
Picasa 2-->"C:\Program Files\Picasa\Uninstall.exe"
PowerQuest PartitionMagic 7.0 Demo-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1E5007FA-DA5E-4EDD-BDE5-14D128D66887}\Setup.exe"
QuickTime Alternative 1.81-->"C:\Program Files\QT Alter\unins000.exe"
RaPiZ PSP Software-->"C:\Program Files\RaPiZ PSP Software\uninstall.exe"
Real Alternative 1.23-->"C:\Program Files\Real Alternative\unins000.exe"
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins001.exe"
UseNeXT-->"C:\Program Files\UseNeXT\unins000.exe"
VideoLAN VLC media player 0.8.6d-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Winmail Opener 1.2-->C:\Program Files\Winmail Opener\uninst.exe
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
WordBiz version 1.8-->"C:\Program Files\WordBiz\unins000.exe"

======Hosts File======

127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com

======Security center information======

AV: AntiVir Desktop (outdated)

======System event log======

Computer Name: ULTIMA
Event Code: 7036
Message: Le service Service de découvertes SSDP est entré dans l'état : en cours d'exécution.

Record Number: 40036
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service de découvertes SSDP.

Record Number: 40035
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: ULTIMA
Event Code: 7036
Message: Le service Gestionnaire de connexions d'accès distant est entré dans l'état : en cours d'exécution.

Record Number: 40034
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

Record Number: 40033
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User: ULTIMA\Quequete tueuse

Computer Name: ULTIMA
Event Code: 7036
Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

Record Number: 40032
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User:

=====Application event log=====

Computer Name: ULTIMA
Event Code: 1001
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés.
Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système
et les dernières entrées du registre d'aide.

Record Number: 11955
Source Name: LoadPerf
Time Written: 20081225105115.000000+060
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 866
Message: L'accès à C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe a été restreint par votre administrateur par l'emplacement avec une règle de stratégie {9eddbc3a-91d1-42ea-b8d6-7bd85e64f4bc} placée sur le chemin d'accès C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe

Record Number: 11954
Source Name: Software Restriction Policies
Time Written: 20081225104908.000000+060
Event Type: Avertissement
User:

Computer Name: ULTIMA
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 11953
Source Name: SecurityCenter
Time Written: 20081225104707.000000+060
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 4096
Message: Le service AntiVir a bien démarré!

Record Number: 11952
Source Name: Avira AntiVir
Time Written: 20081225104652.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: ULTIMA
Event Code: 1000
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 11951
Source Name: LoadPerf
Time Written: 20081224181304.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Liquid.6\QTPlugIns;C:\Program Files\Samsung\Samsung PC Studio 3\;C:\Program Files\Sonic\MyDVD;C:\PROGRA~1\DISKEE~1\DISKEE~1\;C:\Program Files\Fichiers communs\Avid;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Sonic\MyDVD;;C:\Program Files\Sonic\MyDVD
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"VERSION"=2.1.5
"SESSIONID"=1191376412273g1u0358c.austin.hp.com73c01385:116b21ff008:195b
"COLLECTIONID"=COL7299
"ITEMID"=oj-21918-1
"UPDATEDIR"=C:\DOCUME~1\QUEQUE~1\LOCALS~1\Temp\rad13AB4.tmp
"TOOLPATH"=/C:\Program%20Files\Hewlett-Packard\HP%20Software%20Update\install.htm
"HMSERVER"=https://vausnzisprob.austin.hp.com/wuss/servlet/WUSSServlet
"SWUTVER"=1.0.18.30716
"OSVER"=winXPP
"LANG"=1036
"TIMEOUT"=0
"RoxioCentral"=C:\Program Files\Fichiers communs\Roxio Shared\Roxio Central\

-----------------EOF-----------------
wallacebarth - 7 juil. 2009 à 19:13
heu ... j'ai dit ou fait un truc qu'il fallait pas ??
Ajouter un commentaire
Réponse
+0
moins plus
wallacebarth 6 juil. 2009 à 23:02
alors pour virustotal

Fichier services.exe reçu le 2009.05.14 20:25:10 (UTC)Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.14 -
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 -
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5615 2009.05.14 -
McAfee+Artemis 5615 2009.05.14 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 -
NOD32 4076 2009.05.14 -
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.14 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 -

Information additionnelle
File size: 108544 bytes
MD5   : 63dcde1a0d86eeb8924d6738ff616ead
SHA1  : 59fa407a9f18cfa84e220f450e2a08ecf64cbe42
SHA256: 349eed6ba2e6d89e95be681c001360fe6307e310959deb878a44ac3b928943df
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xB5CC<BR>timedatestamp.....: 0x41107EB3 (Wed Aug 4 08:14:11 2004)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x18F55 0x19000 6.27 8ff2bbf546e1ef8832de2fa905a7a4e4<BR>.data 0x1A000 0xA14 0xA00 2.05 fd6fc84823efda2858a97fe8e6dd8f76<BR>.rsrc 0x1B000 0x8B8 0xA00 3.79 a42d45f05d2e70211c3682cefccbc0e1<BR><BR>( 10 imports )<BR><BR>> advapi32.dll: RegOpenKeyW, ConvertSidToStringSidW, LogonUserExW, LsaStorePrivateData, LsaLookupNames, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, FreeSid, AllocateAndInitializeSid, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, ImpersonateLoggedOnUser, CreateProcessAsUserW, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf<BR>> kernel32.dll: TerminateProcess, SetProcessShutdownParameters, lstrcmpiW, FormatMessageW, ExitThread, ReleaseMutex, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, CreateMutexW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, SetConsoleCtrlHandler, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW, OpenEventW, GetCurrentThread<BR>> msvcrt.dll: wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, _XcptFilter, _cexit, _wcsicmp, exit, __initenv, __getmainargs, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, wcslen, wcsncmp, _wtol, wcscpy, _itow, _wcsnicmp, wcscat, _initterm, wcsncpy, wcscspn, _ultow<BR>> ncobjapi.dll: WmiSetAndCommitObject, WmiEventSourceConnect, WmiCreateObjectWithFormat<BR>> ntdll.dll: RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, NtQueryInformationToken, RtlQuerySecurityObject, RtlAddAccessAllowedAce, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlCreateSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, RtlSetSecurityObject, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject<BR>> rpcrt4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, NdrAsyncClientCall, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf, RpcServerListen, RpcServerUnregisterIf<BR>> scesrv.dll: ScesrvInitializeServer, ScesrvTerminateServer<BR>> umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys<BR>> user32.dll: wsprintfW, BroadcastSystemMessageW, MessageBoxW, LoadStringW, RegisterServicesProcess<BR>> userenv.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock<BR><BR>( 0 exports )<BR>
TrID  : File type identification<BR>Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:2TEFQwemxUxDQOYxKO9IYpRbyMkP+roEacrcdISq/Oj/iyxqOxMmO:2q/xUxDQOYxKCIEoSoEUISq/OEOxMmO
PEiD  : -
CWSandbox: <A href="http://research.sunbelt-software.com/..." target=_blank>http://research.sunbelt-software.com/...
RDS   : NSRL Reference Data Set<BR>-

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
wallacebarth 6 juil. 2009 à 23:12
log .txt



Logfile of random's system information tool 1.06 (written by random/random)
Run by Quequete tueuse at 2009-07-06 23:10:40
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 10 GB (18%) free of 56 GB
Total RAM: 2046 MB (76% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:47, on 06/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
c:\program files\a-squared\a2service.exe
C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Digidesign\Drivers\MMERefresh.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Quequete tueuse\Bureau\RSIT.exe
C:\Program Files\trend micro\Quequete tueuse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/19.11/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
wallacebarth 6 juil. 2009 à 23:18
info.txt logfile of random's system information tool 1.06 2009-07-06 23:10:48

======Uninstall list======

-->MsiExec /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
-->MsiExec.exe /I{26792CA7-D87A-4DBE-896B-C2F66B344511}
-->MsiExec.exe /I{7FD9FD10-9F7F-4DDF-B9F0-911209FF0CEA}
-->MsiExec.exe /I{EB748B9B-F872-4E95-98E8-5CA7E5425DAF}
-->MsiExec.exe /X{1359D6D8-B1F0-4335-AE79-49CD2AF8EA26}
-->MsiExec.exe /X{69495273-FCDC-4A86-BCB7-49B504D3FB0E}
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6FD3298D-5A7E-4498-8CB2-9D8749D7420D}\Setup.exe" -l0x9
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
3D Custom Girl-->"C:\Documents and Settings\All Users\Application Data\{F3D79B30-A394-4389-B080-D198DF1E6244}\3DCGSetup.exe.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Illustrator CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{91A4AD99-69CE-4745-97B7-0E0DFBECFDE5}\setup.exe"
Adobe InDesign CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{416DFEDD-9F1B-4EFC-AF70-FCA891AE0251}\zidxp.exe"
Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x40c
Adobe Premiere Pro CS3-->C:\Program Files\Fichiers communs\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
Adobe Setup-->MsiExec.exe /I{BB81360F-041C-4CF7-B15E-71380D154244}
AGEIA PhysX v7.01.12-->MsiExec.exe /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Azureus-->C:\Program Files\Azureus\Uninstall.exe
Binary News Reaper 0.14.7 Beta-->"C:\Program Files\Binary News Reaper\unins000.exe"
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
Canon Digital Camera USB WIA Driver-->C:\WINDOWS\IsUn0411.exe -f"C:\Program Files\Canon\DC USB WIA\Uninst.isu" -c"C:\Program Files\Canon\DC USB WIA\SetupWia.dll"
Catalyst Control Center - Branding-->MsiExec.exe /I{4893A35F-0A23-48EC-8E74-24969244D6F2}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CloneDVD2-->"C:\Program Files\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Program Files\CloneDVD2"
Dawn Of War - Winter Assault-->MsiExec.exe /X{DD8408E9-9421-484F-979D-DB6361E3E828}
DawnOfWar-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{362D5167-9716-44BE-89FD-BF9EB6EF814B}
EasyRecovery Professional-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1036
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EVEREST Ultimate Edition v4.50-->"C:\Program Files\EVEREST Ultimate Edition\unins000.exe"
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
FileZilla (remove only)-->"C:\Program Files\FileZilla\uninstall.exe"
Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\SETUP.EXE" -l0x40c -removeonly
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
hp deskjet 3500-->msiexec /x{C7EC0699-D82C-4451-B701-C98C330D43AF}
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
K-Lite Codec Pack 4.1.4 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Macromedia Dreamweaver MX 2004-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x40c mmUninstall
Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\Setup.exe" -l0x40c mmUninstall
Macromedia Fireworks 8-->MsiExec.exe /I{4C24A8C1-7CFA-4650-AF15-732F5BD7B46D}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour de sécurité pour Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (1.5)-->C:\Program Files\Mozilla Thunderbird\uninstall\uninstall.exe /ua "1.5 (fr)"
Nero Lite 7.8.5.0-->"C:\Program Files\Nero\unins000.exe"
Oblivion - Horse Armor Pack-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3ABEBD00-299D-4DCA-967F-B912163AB5EA}\setup.exe" -l0x9 -removeonly
Oblivion-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{35CB6715-41F8-4F99-8881-6FC75BF054B0}\setup.exe" -l0x40c -removeonly
Package de pilotes Windows - Sony PSP Type B (11/20/2005 20051120)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\System32\DRVSTORE\psp_87D46C3F73EF6B7F5CD27D922EEE14783E1AD3BF\psp.inf
PDFCreator-->"C:\Program Files\PDFCreator\unins000.exe"
Picasa 2-->"C:\Program Files\Picasa\Uninstall.exe"
PowerQuest PartitionMagic 7.0 Demo-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1E5007FA-DA5E-4EDD-BDE5-14D128D66887}\Setup.exe"
QuickTime Alternative 1.81-->"C:\Program Files\QT Alter\unins000.exe"
RaPiZ PSP Software-->"C:\Program Files\RaPiZ PSP Software\uninstall.exe"
Real Alternative 1.23-->"C:\Program Files\Real Alternative\unins000.exe"
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins001.exe"
UseNeXT-->"C:\Program Files\UseNeXT\unins000.exe"
VideoLAN VLC media player 0.8.6d-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Winmail Opener 1.2-->C:\Program Files\Winmail Opener\uninst.exe
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
WordBiz version 1.8-->"C:\Program Files\WordBiz\unins000.exe"

======Hosts File======

127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com

======Security center information======

AV: AntiVir Desktop (outdated)

======System event log======

Computer Name: ULTIMA
Event Code: 7036
Message: Le service Service de découvertes SSDP est entré dans l'état : en cours d'exécution.

Record Number: 40036
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service de découvertes SSDP.

Record Number: 40035
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: ULTIMA
Event Code: 7036
Message: Le service Gestionnaire de connexions d'accès distant est entré dans l'état : en cours d'exécution.

Record Number: 40034
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

Record Number: 40033
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User: ULTIMA\Quequete tueuse

Computer Name: ULTIMA
Event Code: 7036
Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

Record Number: 40032
Source Name: Service Control Manager
Time Written: 20090527100313.000000+120
Event Type: Informations
User:

=====Application event log=====

Computer Name: ULTIMA
Event Code: 1001
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés.
Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système
et les dernières entrées du registre d'aide.

Record Number: 11955
Source Name: LoadPerf
Time Written: 20081225105115.000000+060
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 866
Message: L'accès à C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe a été restreint par votre administrateur par l'emplacement avec une règle de stratégie {9eddbc3a-91d1-42ea-b8d6-7bd85e64f4bc} placée sur le chemin d'accès C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe

Record Number: 11954
Source Name: Software Restriction Policies
Time Written: 20081225104908.000000+060
Event Type: Avertissement
User:

Computer Name: ULTIMA
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 11953
Source Name: SecurityCenter
Time Written: 20081225104707.000000+060
Event Type: Informations
User:

Computer Name: ULTIMA
Event Code: 4096
Message: Le service AntiVir a bien démarré!

Record Number: 11952
Source Name: Avira AntiVir
Time Written: 20081225104652.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: ULTIMA
Event Code: 1000
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 11951
Source Name: LoadPerf
Time Written: 20081224181304.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Liquid.6\QTPlugIns;C:\Program Files\Samsung\Samsung PC Studio 3\;C:\Program Files\Sonic\MyDVD;C:\PROGRA~1\DISKEE~1\DISKEE~1\;C:\Program Files\Fichiers communs\Avid;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Sonic\MyDVD;;C:\Program Files\Sonic\MyDVD
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"VERSION"=2.1.5
"SESSIONID"=1191376412273g1u0358c.austin.hp.com73c01385:116b21ff008:195b
"COLLECTIONID"=COL7299
"ITEMID"=oj-21918-1
"UPDATEDIR"=C:\DOCUME~1\QUEQUE~1\LOCALS~1\Temp\rad13AB4.tmp
"TOOLPATH"=/C:\Program%20Files\Hewlett-Packard\HP%20Software%20Update\install.htm
"HMSERVER"=https://vausnzisprob.austin.hp.com/wuss/servlet/WUSSServlet
"SWUTVER"=1.0.18.30716
"OSVER"=winXPP
"LANG"=1036
"TIMEOUT"=0
"RoxioCentral"=C:\Program Files\Fichiers communs\Roxio Shared\Roxio Central\

-----------------EOF-----------------

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ced_King 3636Messages postés 2 mars 2009Date d'inscription 30 mai 2012Dernière intervention 7 juil. 2009 à 22:17
Bonjour,

Pour l'analyse Virustotal, il y a une erreur de ta part :

--> Il ne s'agit pas du fichier services.exe qu'il fallait faire analyser mais de servises.exe
C'est " ses " à la fin et non pas " ces "

* Télécharge OTM (OldTimer) sur ton Bureau.
* Double-clique sur OTM.exe afin de le lancer.
* Copie (Ctrl+C) le texte suivant ci-dessous :


:processes
explorer.exe

:files
C:\WINDOWS\system32\servises.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At100.job
C:\WINDOWS\tasks\At101.job
C:\WINDOWS\tasks\At102.job
C:\WINDOWS\tasks\At103.job
C:\WINDOWS\tasks\At104.job
C:\WINDOWS\tasks\At105.job
C:\WINDOWS\tasks\At106.job
C:\WINDOWS\tasks\At107.job
C:\WINDOWS\tasks\At108.job
C:\WINDOWS\tasks\At109.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At110.job
C:\WINDOWS\tasks\At111.job
C:\WINDOWS\tasks\At112.job
C:\WINDOWS\tasks\At113.job
C:\WINDOWS\tasks\At114.job
C:\WINDOWS\tasks\At115.job
C:\WINDOWS\tasks\At116.job
C:\WINDOWS\tasks\At117.job
C:\WINDOWS\tasks\At118.job
C:\WINDOWS\tasks\At119.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At120.job
C:\WINDOWS\tasks\At121.job
C:\WINDOWS\tasks\At122.job
C:\WINDOWS\tasks\At123.job
C:\WINDOWS\tasks\At124.job
C:\WINDOWS\tasks\At125.job
C:\WINDOWS\tasks\At126.job
C:\WINDOWS\tasks\At127.job
C:\WINDOWS\tasks\At128.job
C:\WINDOWS\tasks\At129.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At130.job
C:\WINDOWS\tasks\At131.job
C:\WINDOWS\tasks\At132.job
C:\WINDOWS\tasks\At133.job
C:\WINDOWS\tasks\At134.job
C:\WINDOWS\tasks\At135.job
C:\WINDOWS\tasks\At136.job
C:\WINDOWS\tasks\At137.job
C:\WINDOWS\tasks\At138.job
C:\WINDOWS\tasks\At139.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At140.job
C:\WINDOWS\tasks\At141.job
C:\WINDOWS\tasks\At142.job
C:\WINDOWS\tasks\At143.job
C:\WINDOWS\tasks\At144.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At97.job
C:\WINDOWS\tasks\At98.job
C:\WINDOWS\tasks\At99.job

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"servises"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"servises"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"servises"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"servises"=-

:commands
[purity]
[emptytemp]
[reboot]


* Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
* Clique maintenant sur le bouton MoveIt! puis ferme OTM.


---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

* Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

---> Le nom du rapport correspond au moment de sa création : date_heure.log

---------------------


Ajouter un commentaire
wallacebarth - 8 juil. 2009 à 18:25
Alors je ne trouve pas de fichier servises.exe dans system32 meme en affichant les fichier cachés ...

je te poste le rapport OTM :


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\WINDOWS\system32\servises.exe not found.
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At100.job moved successfully.
C:\WINDOWS\tasks\At101.job moved successfully.
C:\WINDOWS\tasks\At102.job moved successfully.
C:\WINDOWS\tasks\At103.job moved successfully.
C:\WINDOWS\tasks\At104.job moved successfully.
C:\WINDOWS\tasks\At105.job moved successfully.
C:\WINDOWS\tasks\At106.job moved successfully.
C:\WINDOWS\tasks\At107.job moved successfully.
C:\WINDOWS\tasks\At108.job moved successfully.
C:\WINDOWS\tasks\At109.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At110.job moved successfully.
C:\WINDOWS\tasks\At111.job moved successfully.
C:\WINDOWS\tasks\At112.job moved successfully.
C:\WINDOWS\tasks\At113.job moved successfully.
C:\WINDOWS\tasks\At114.job moved successfully.
C:\WINDOWS\tasks\At115.job moved successfully.
C:\WINDOWS\tasks\At116.job moved successfully.
C:\WINDOWS\tasks\At117.job moved successfully.
C:\WINDOWS\tasks\At118.job moved successfully.
C:\WINDOWS\tasks\At119.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At120.job moved successfully.
C:\WINDOWS\tasks\At121.job moved successfully.
C:\WINDOWS\tasks\At122.job moved successfully.
C:\WINDOWS\tasks\At123.job moved successfully.
C:\WINDOWS\tasks\At124.job moved successfully.
C:\WINDOWS\tasks\At125.job moved successfully.
C:\WINDOWS\tasks\At126.job moved successfully.
C:\WINDOWS\tasks\At127.job moved successfully.
C:\WINDOWS\tasks\At128.job moved successfully.
C:\WINDOWS\tasks\At129.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At130.job moved successfully.
C:\WINDOWS\tasks\At131.job moved successfully.
C:\WINDOWS\tasks\At132.job moved successfully.
C:\WINDOWS\tasks\At133.job moved successfully.
C:\WINDOWS\tasks\At134.job moved successfully.
C:\WINDOWS\tasks\At135.job moved successfully.
C:\WINDOWS\tasks\At136.job moved successfully.
C:\WINDOWS\tasks\At137.job moved successfully.
C:\WINDOWS\tasks\At138.job moved successfully.
C:\WINDOWS\tasks\At139.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At140.job moved successfully.
C:\WINDOWS\tasks\At141.job moved successfully.
C:\WINDOWS\tasks\At142.job moved successfully.
C:\WINDOWS\tasks\At143.job moved successfully.
C:\WINDOWS\tasks\At144.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
C:\WINDOWS\tasks\At97.job moved successfully.
C:\WINDOWS\tasks\At98.job moved successfully.
C:\WINDOWS\tasks\At99.job moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\servises deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\servises deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\servises deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\servises deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 54998 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Invité
->Temp folder emptied: 5700 bytes
->Temporary Internet Files folder emptied: 944979 bytes

User: LocalService
->Temp folder emptied: 73220 bytes
->Temporary Internet Files folder emptied: 129576 bytes

User: NetworkService
->Temp folder emptied: 66988 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: Quequete tueuse
->Temp folder emptied: 38163520 bytes
->Temporary Internet Files folder emptied: 11882384 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 20215512 bytes
->Apple Safari cache emptied: 2465989 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\NV23362340.TMP folder deleted successfully.
C:\WINDOWS\NV33003540.TMP folder deleted successfully.
%systemroot% .tmp files removed: 28101921 bytes
%systemroot%\System32 .tmp files removed: 6105088 bytes
Windows Temp folder emptied: 108 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 103,26 mb


OTM by OldTimer - Version 3.0.0.4 log created on 07082009_181519
All processes killed

OTM by OldTimer - Version 3.0.0.4 log created on 07082009_181519

Files moved on Reboot...

Registry entries deleted on Reboot...





voilou
Ajouter un commentaire
Réponse
+0
moins plus
Ced_King 3636Messages postés 2 mars 2009Date d'inscription 30 mai 2012Dernière intervention 8 juil. 2009 à 22:56
Bonsoir,

Alors je ne trouve pas de fichier servises.exe dans system32 meme en affichant les fichier cachés ...

--> Pas de soucis, il s'agissait de clés de registre infectées, OTM a fait du bon boulot

Comment se comporte le pc ?

-----------------------
- Télécharge Malwarebytes' Anti-Malware


- Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour

- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes

- Executes un examen rapide du pc ( tu n'auras pas accès à internet pendant l'analyse)

- A la fin du scan clic sur " Afficher les résultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la sélection "

- Si il a besoin de redémarrer le pc pour finir la désinfection, acceptes

- Un rapport s'établira, postes son contenu.

Tutoriel Malwarebytes'Antimalware

Ajouter un commentaire
wallacebarth - 9 juil. 2009 à 00:55
bizarrement chaque foix que je termine un outil de suppression j'ai une alerte antivir qui me dit que le trojan tente de se conecter ....



rapport MBAM

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2396
Windows 5.1.2600 Service Pack 2

09/07/2009 00:52:57
mbam-log-2009-07-09 (00-52-57).txt

Type de recherche: Examen complet (C:\|D:\|G:\|H:\|I:\|J:\|X:\|Y:\|)
Eléments examinés: 267979
Temps écoulé: 49 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Trojan.JSRedir.H) -> Bad: (C:\DOCUME~1\QUEQUE~1\LOCALS~1\Temp\..\hcni.twa) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Quequete tueuse\Local Settings\hcni.twa (Trojan.JSRedir.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\toolbar.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Ajouter un commentaire
Réponse
+0
moins plus
Ced_King 3636Messages postés 2 mars 2009Date d'inscription 30 mai 2012Dernière intervention 9 juil. 2009 à 21:13
Bonjour,

- Supprime la quarantaine de Malwarebytes --> clique sur l'onglet Quarantaine et supprime tout ce qui s'y trouve

---------------------

- Windows est-il officiel ou est-ce une version piratée ?
--> Si tu ne peux pas installer SP3, ton pc se réinfectera automatiquement à cause des failles de sécurité :

Le danger des failles de sécurité

----------------------------
Télécharge Combofix et enregistre le sur ton bureau

/!\ Désactive la garde de ton antivirus et celle de ton antispyware ( si tu en as un) /!\

- Déconnecte toi et fermes toutes les applications en cours

- Double clic sur Combofix.exe >> un message apparait > réponds " oui "
( Il est conseillé d'installer la console de récuperations)

- Sélectionne la langue et presse la touche 1 ( yes) pour lancer le scan

/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\

- A la fin du scan, Combofix aura besoin de redémarrer pour finir la désinfection, laisses le faire

- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt

Ajouter un commentaire
wallacebarth - 10 juil. 2009 à 14:56
Concernant le service pack 3, franchement pour moi il s'agit d'une usine a gaz qui n'apporte rien de notable, si ce n'est pour les failles bien evidement mais sa fait un gros patch juste pour des faille du coup, au dela de cela je ne suis pas vraiment chaud pour modifier une configuration qui marche. J'essayerai donc de trouver uniquement les fix.


je mets le rapport combofix ci-dessous :




ComboFix 09-07-09.07 - Quequete tueuse 10/07/2009 11:16.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1633 [GMT 2:00]
Lancé depuis: c:\documents and settings\Quequete tueuse\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Quequete tueuse\Application Data\inst.exe
c:\recycler\S-1-5-21-1078081533-1682526488-725345543-1003
C:\svcipa.exe
c:\temp\1cb
c:\temp\1cb\syscheck.log
c:\windows\Installer\11a4a9d.msi
c:\windows\Installer\4fb35.msi
c:\windows\Installer\5fb433.msi
c:\windows\Installer\6b420.msi
c:\windows\Installer\87b2ee.msi
c:\windows\Installer\8bdd56.msi
c:\windows\Installer\903c89.msi
c:\windows\Installer\988727.msi
c:\windows\Installer\b6cb59.msi
c:\windows\Installer\bcbabb.msi
c:\windows\msettings.ini
c:\windows\OPTIONS\CABS\_desktop.ini
c:\windows\patch.exe
c:\windows\system32\_id.dat
c:\windows\system32\ert
c:\windows\system32\open.ico

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Service_oreans32


((((((((((((((((((((((((((((( Fichiers créés du 2009-06-10 au 2009-07-10 ))))))))))))))))))))))))))))))))))))
.

2009-07-08 21:53 . 2009-07-08 21:53 3561743 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-08 16:15 . 2009-07-08 16:15 -------- d-----w- C:\_OTM
2009-07-06 21:10 . 2009-07-06 21:10 -------- d-----w- C:\rsit
2009-06-23 10:45 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-23 10:45 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-23 10:45 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-23 10:45 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-23 10:45 . 2009-06-23 10:45 -------- d-----w- c:\program files\Avira
2009-06-23 10:45 . 2009-06-23 10:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-19 20:44 . 2009-06-19 20:44 -------- d-----w- c:\documents and settings\Quequete tueuse\Local Settings\Application Data\vdownloader

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-10 08:35 . 2001-08-28 12:00 75506 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-10 08:35 . 2001-08-28 12:00 468490 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-09 21:12 . 2005-10-31 09:27 -------- d-----w- c:\documents and settings\Quequete tueuse\Application Data\Azureus
2009-07-08 21:56 . 2008-10-31 14:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-06 21:17 . 2006-10-16 17:39 -------- d-----w- c:\program files\Trend Micro
2009-07-06 21:03 . 2007-09-13 08:41 -------- d-----w- c:\program files\CCleaner
2009-06-24 20:26 . 2005-10-31 09:10 -------- d-----w- c:\program files\eMule
2009-06-17 09:27 . 2008-10-31 14:50 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-17 09:27 . 2008-10-31 14:50 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-05-05 19:54 . 2009-05-05 19:54 55572 ---ha-w- c:\windows\system32\mlfcache.dat
2009-04-26 13:42 . 2009-04-26 13:42 15360 ----a-r- c:\documents and settings\Quequete tueuse\Application Data\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E910.exe
2009-04-26 13:42 . 2009-04-26 13:42 11264 ----a-r- c:\documents and settings\Quequete tueuse\Application Data\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E96.exe
2007-09-10 20:30 . 2007-09-10 20:30 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
.

------- Sigcheck -------

[7] 2002-08-29 00:58 332928 244A2F9816BC9B593957281EF577D976 c:\windows\$NtServicePackUninstall$\tcpip.sys
[-] 2007-04-30 15:16 359040 27A5959C94EE173A063CA06BD14F021A c:\windows\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"Picasa Media Detector"="c:\program files\Picasa\PicasaMediaDetector.exe" [2008-02-26 443968]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-31 110592]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck lsdelete

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"x:\\Stranglehold.PC-Rip.Full.Game.English.Skullptura\\Stranglehold\\Binaries\\Retail-Stranglehold.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Macromedia\\Dreamweaver MX 2004\\Dreamweaver.exe"=
"c:\\Program Files\\MUTE\\fileSharingMUTE.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\UbiSoft\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Program Files\\UbiSoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Program Files\\UbiSoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\Program Files\\Dawn of War\\W40kWA.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/06/2009 12:45 108289]
R2 DigiNet;Digidesign Ethernet Support;c:\windows\system32\drivers\diginet.sys [09/12/2008 23:24 11776]
S2 ousbehci;NEC PCI to USB Enhanced Host Controller;c:\windows\system32\drivers\ousbehci.sys [13/01/2006 20:55 36096]
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);c:\windows\system32\drivers\A3AB.sys [20/02/2008 19:43 472832]
S3 HexTunnelDevice;Hexago Multi-Virtual Tunnel Adapter;c:\windows\system32\drivers\hextun.sys [20/12/2007 05:02 22176]
S3 ousb2hub;OrangeWare USB 2.0 Hub Support;c:\windows\system32\drivers\ousb2hub.sys [13/01/2006 20:55 53248]
S3 ST330;ST330;c:\windows\system32\drivers\st330.sys [27/01/2007 18:04 30464]
S3 STBUS;STBUS;c:\windows\system32\drivers\stbus.sys [27/01/2007 18:04 12672]
S3 stppp;Speedtouch PPP Adapter Adapter;c:\windows\system32\drivers\stppp.sys [27/01/2007 18:04 32000]
S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [12/12/2008 17:47 16896]
S4 msagent;FireDaemon Service: msagent;c:\windows\security\FireDaemon.exe -s --> c:\windows\security\FireDaemon.exe -s [?]
S4 netclient;FireDaemon Service: netclient;c:\windows\security\FireDaemon.exe -s --> c:\windows\security\FireDaemon.exe -s [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Quequete tueuse\Application Data\Mozilla\Firefox\Profiles\ukb6cykk.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJPI150_05.dll
FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-10 11:21
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,1c,9a,75,69,2d,
67,b9,ba,e2,63,26,f1,3f,c8,ff,68,8f,34,63,fb,ca,1e,1c,5b,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,b0,95,40,29,6c,
a2,2c,61,6a,9c,d6,61,af,45,84,18,d4,d7,4c,4d,9b,61,17,8d,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,d2,af,3f,3d,3f,
20,7c,a2,ff,7c,85,e0,43,d4,0e,fe,f1,e3,bc,d2,ea,4d,ba,b2,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,e5,c3,1a,69,31,
56,65,3c,86,8c,21,01,be,91,eb,e7,1f,b8,f5,fa,a4,eb,41,c1,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,4d,8e,39,3c,7e,
43,78,dd,f5,1d,4d,73,a8,13,5c,05,5a,23,2e,ff,71,66,09,ef,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,ce,04,9e,d2,92,
cf,48,61,df,20,58,62,78,6b,cf,c8,53,65,ea,11,0d,51,97,60,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,81,aa,84,07,3c,
2c,ce,ac,fb,a7,78,e6,12,2f,9a,ea,00,92,e7,8b,7c,25,7d,65,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,2e,3c,1c,9b,09,
58,49,a0,01,3a,48,fc,e8,04,4a,f1,61,7c,5a,bd,29,f8,a2,ee,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,ee,89,05,87,ac,
f1,22,e2,f6,0f,4e,58,98,5b,89,c9,1e,2f,36,14,e5,c8,20,07,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,61,9f,50,e3,e2,
dc,1b,ec,3d,ce,ea,26,2d,45,aa,78,74,75,22,7d,4b,7f,3f,01,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,e7,2a,41,aa,4e,
5b,cb,a2,2a,b7,cc,b5,b9,7f,41,e7,83,8d,61,0d,d5,68,d5,36,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,b9,1e,d5,8a,47,
c5,60,87,6c,43,2d,1e,aa,22,2f,9c,c3,e4,d5,cd,f2,10,8a,81,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(4064)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\program files\a-squared\a2service.exe
c:\program files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Digidesign\Drivers\MMERefresh.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-07-10 11:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-10 09:24

Avant-CF: 9 943 887 872 octets libres
Après-CF: 9 875 189 760 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=6 Sets=1,2,3,4,5,6
233
Ajouter un commentaire
Réponse
+0
moins plus
Ced_King 3636Messages postés 2 mars 2009Date d'inscription 30 mai 2012Dernière intervention 10 juil. 2009 à 23:25
Salut,

Concernant le service pack 3, franchement pour moi il s'agit d'une usine a gaz qui n'apporte rien de notable

--> Si tu ne l'installes pas, le pc sera de nouveau infecté

au dela de cela je ne suis pas vraiment chaud pour modifier une configuration qui marche. J'essayerai donc de trouver uniquement les fix

--> Franchement j'ai du mal a comprendre :
une configuration qui marche --> ça n'a pas l'air de marcher si bien que ça, la preuve est que tu es là et vu l'état de ton pc...!

trouver uniquement les fix --> Quand les fix sont encore utilisables, car il y des infections ( Virut, Sality etc...) ou meme l'utilisation de fix ne pourra rien contre ces m****s et ces fix sont des outils qui peuvent parfois s'avérer dangereux si ils sont utilisés n'importe comment...

Pour éviter les problèmes, il faut que Windows soit à jour mais aussi les applications telles que Java, Adobe, flash etc...
- Que tes logicels installés le soient aussi, tu peux le vérifier en faisant un scan de vulnérabilité
- avoir un antivirus à jour et un bon pare-feu ( autre que celui de windows)

------------------------

- Si tu n'arrives toujours pas a activer les mises à jour automatique de ton antivirus :

Clique sur -->Démarrer -->Exécuter --> Tapes Services.msc

vérifie que le service est sur Démarrer et sur Automatique comme sur ce lien :

http://nsa07.casimages.com/img/2009/05/29/09052909300427209.png

Puis,

* Une fois ton antivirus à jour, lance un scan en mode sans échec de ta machine :

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.

Une fois en mode sans echec :

* Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.
* Dans Antivir, choisis Outils puis Configuration.
* Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.
* Fais un scan complet et poste le rapport.

Tutoriel Avira antivir

Ajouter un commentaire
wallacebarth - 13 juil. 2009 à 00:24
Bonsoir,

Concernant les mise a jour, pas de probleme elles se font toute seule sans souci là.
J'ai fait un scan complet antivir qui ne trouve pas grand chose, pourtant j ai regulierement le parefeu qui me signale le trojan ... mais moins qu au debut quand meme (a peu pres une fois par jour, contre une foix tte les 5 mn au début).

rapport antivir





Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 12 juillet 2009 22:05

La recherche porte sur 1516702 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Mode sans échec
Identifiant : Quequete tueuse
Nom de l'ordinateur : ULTIMA

Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:29:38
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 08:20:48
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12/07/2009 19:58:34
ANTIVIR3.VDF : 7.1.4.222 2048 Bytes 12/07/2009 19:58:35
Version du moteur : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 30/04/2009 13:33:10
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 09/07/2009 18:52:32
AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 14:20:36
AERDL.DLL : 8.1.2.2 438642 Bytes 09/07/2009 18:52:32
AEPACK.DLL : 8.1.3.18 401783 Bytes 27/05/2009 16:10:34
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 13:32:46
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 26/06/2009 15:57:02
AEHELP.DLL : 8.1.3.6 205174 Bytes 11/06/2009 11:44:16
AEGEN.DLL : 8.1.1.48 348532 Bytes 09/07/2009 18:52:31
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 09:49:36
AECORE.DLL : 8.1.6.12 180599 Bytes 27/05/2009 16:10:34
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 09:49:34
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: arrêt
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, G:, H:, I:, J:, X:, Y:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : dimanche 12 juillet 2009 22:05

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'11' processus ont été contrôlés avec '11' modules

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'H:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'J:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'X:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'Y:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '51' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <Eva>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Quequete tueuse\Bureau\ComboFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
C:\Documents and Settings\Quequete tueuse\Bureau\Job\Modèle utile vie quotidienne\Facture_Modele_Pro_Install.exe
[0] Type d'archive: NSIS
--> ProgramFilesDir/libapr-1.dll
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Program Files\Avira\AntiVir Desktop\avnotify.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\dtscsi.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <CLEA>
Recherche débutant dans 'G:\' <Chloé>
Recherche débutant dans 'H:\' <CECILE>
H:\download recent\Windows_XP_SP1_Activation_Crack.zip
[0] Type d'archive: ZIP
--> WindowsXP Product Key Viewer.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.12800.V
H:\download recent\changer clé XP\WindowsXP Product Key Viewer.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.12800.V
Recherche débutant dans 'I:\' <Lilou>
Recherche débutant dans 'J:\' <Ephémére>
Recherche débutant dans 'X:\' <Crystal>
Recherche débutant dans 'Y:\' <Saphir>

Début de la désinfection :
C:\Documents and Settings\Quequete tueuse\Bureau\ComboFix.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac760b7.qua' !
H:\download recent\Windows_XP_SP1_Activation_Crack.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac860b2.qua' !
H:\download recent\changer clé XP\WindowsXP Product Key Viewer.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.12800.V
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a65b3.qua' !


Fin de la recherche : lundi 13 juillet 2009 00:14
Temps nécessaire: 2:07:00 Heure(s)

La recherche a été effectuée intégralement

12692 Les répertoires ont été contrôlés
538910 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
4 Impossible de contrôler des fichiers
538903 Fichiers non infectés
3813 Les archives ont été contrôlées
6 Avertissements
4 Consignes
wallacebarth - 13 juil. 2009 à 01:16
nouveau scan eet nouvelles detection 5 mn apres la précédentes :




Avira AntiVir Personal
Date de création du fichier de rapport : lundi 13 juillet 2009 00:18

La recherche porte sur 1516702 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : ULTIMA

Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:29:38
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 08:20:48
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12/07/2009 19:58:34
ANTIVIR3.VDF : 7.1.4.222 2048 Bytes 12/07/2009 19:58:35
Version du moteur : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 30/04/2009 13:33:10
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 09/07/2009 18:52:32
AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 14:20:36
AERDL.DLL : 8.1.2.2 438642 Bytes 09/07/2009 18:52:32
AEPACK.DLL : 8.1.3.18 401783 Bytes 27/05/2009 16:10:34
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 13:32:46
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 26/06/2009 15:57:02
AEHELP.DLL : 8.1.3.6 205174 Bytes 11/06/2009 11:44:16
AEGEN.DLL : 8.1.1.48 348532 Bytes 09/07/2009 18:52:31
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 09:49:36
AECORE.DLL : 8.1.6.12 180599 Bytes 27/05/2009 16:10:34
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 09:49:34
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: arrêt
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, G:, H:, I:, J:, X:, Y:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 13 juillet 2009 00:18

La recherche d'objets cachés commence.
Une instance de la bibliothèque ARK fonctionne déjà.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MMERefresh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'schedul2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'33' processus ont été contrôlés avec '33' modules

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'H:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'J:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'X:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'Y:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <Eva>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Quequete tueuse\Bureau\Job\Modèle utile vie quotidienne\Facture_Modele_Pro_Install.exe
[0] Type d'archive: NSIS
--> ProgramFilesDir/libapr-1.dll
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Program Files\Avira\AntiVir Desktop\avnotify.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1275\A0258828.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1277\A0258944.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
C:\WINDOWS\system32\drivers\dtscsi.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <CLEA>

Début de la désinfection :
C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1275\A0258828.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8c6e49.qua' !
C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1277\A0258944.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4be4624a.qua' !


Fin de la recherche : lundi 13 juillet 2009 01:13
Temps nécessaire: 54:35 Minute(s)

La recherche a été interrompue !

9689 Les répertoires ont été contrôlés
315487 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
4 Impossible de contrôler des fichiers
315481 Fichiers non infectés
2171 Les archives ont été contrôlées
6 Avertissements
3 Consignes
Ajouter un commentaire
Réponse
+0
moins plus
wallacebarth 19 juil. 2009 à 19:56
personne pour prendre la releve ?

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Trojan TR/Drop.agent.gna.2 » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?