Posez votre question Signaler

ARRGH ! Win32/Rootkit.Agent.ODG trojan

Jon-Jon 101Messages postés 8 juin 2009Date d'inscription 16 juillet 2010Dernière intervention - Dernière réponse le 30 août 2009 à 17:57

Salut à tous,
J'ai un foutu trojan au joli nom Win32/Rootkit.Agent.ODG trojan qui apparait agit dans la mémoire et l'infecte bien profondément. Je l'ai repéré avec nod 32 qui évidemment ne peut pas le supprimer. J'ai essayé différentes méthodes données sur les forums sans succès et la je suis un peu à court donc je mets mon orgueil de geek de coté pour venir me référer à vous !
Config : XP SP3 sur un vieux laptop tout pourri et rempli de virus que m'a prêté un pote (j'ai désinfecté une grande partie mais le trojan me résiste), nod 32 4, si vous voulez un scan Hijack ou autre dites moi je vous envoie ça dans la seconde.
Merci à vous d'avance !!!

ARRGH ! Win32/Rootkit.Agent.ODG trojan »

Suggestions

ARRGH ! Win32/Rootkit.Agent.ODG trojan
Win32/Rootkit.Agent.ODG cheval de troie (Résolu) » Forum
Mémoire infecté par win32/rootkit.agent odg » Forum
Mémoire vive - Win32/Rootkit.Agent.ODG » Forum
Win32/rootkit.Agent.ODG » Forum
Win32/Rootkit.Agent.ODG cheval de troie » Forum

Plus

Réponse

Trying2 7211Messages postés 13 juillet 2008Date d'inscription 16 mai 2012Dernière intervention 23 juil. 2009 à 00:50

Hello,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.

Ajouter un commentaire - Site web

Réponse

Jon-Jon 101Messages postés 8 juin 2009Date d'inscription 16 juillet 2010Dernière intervention 23 juil. 2009 à 01:11

here we go (j'ai mis un peu de temps mais ca rame terriblement cest horrible)

Voici le log :

Logfile of random's system information tool 1.06 (written by random/random)
Run by entreprise jung at 2009-07-23 01:03:29
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 4 GB (9%) free of 38 GB
Total RAM: 255 MB (8% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:07:00, on 23/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\entreprise jung.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Ajouter un commentaire

Réponse

Jon-Jon 101Messages postés 8 juin 2009Date d'inscription 16 juillet 2010Dernière intervention 23 juil. 2009 à 01:12

Et voici l'info :

info.txt logfile of random's system information tool 1.06 2009-07-23 01:07:41

======Uninstall list======

-->C:\WINDOWS\IsUn040c.exe -fC:\WINDOWS\orun32.isu
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CDDF96A-BC34-4D72-9ABA-E1FFF0C39977}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x40c /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Acrobat 4.0, 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
ATI Control Panel-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Belkin 54g USB Network Adapter-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Belkin\Belkin Wireless Network Utility\setup.exe" -l0x9
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Ciel Compta pour Windows-->C:\WINDOWS\unin040c.exe -fC:\CIEL\WCPTA\DeIsL1.isu
Ciel e-Commerce-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A7A09545-60C7-11D5-AFA8-00C04F8EC576}\install.exe" UNINSTALL
Ciel gestion Commerciale pour Windows-->C:\WINDOWS\unin040c.exe -fC:\CIEL\WGC\DeIsL1.isu
Complément Microsoft Word pour Microsoft Works Suite-->MsiExec.exe /I{F6B1CD0F-DB2D-4666-A168-C46390AD8C4A}
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Creative MediaSource-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{56F3E1FF-54FE-4384-A153-6CCABA097814}\SETUP.EXE" -l0x40c /remove
Extension Système de Microsoft Money-->MsiExec.exe /I{02CA7E66-1AD1-4DE9-BA9E-86A0EEB019C7}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
HP Customer Participation Program 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photo and Imaging 2.1 - Scanjet 36X0 Series-->MsiExec.exe /I{49CE65E4-9EE2-4F29-8768-58DD1E45D09C}
HP Photosmart Essential-->MsiExec.exe /X{6994491D-D491-48F1-AE1F-E179C1FFFC2F}
HP Photosmart, Officejet and Deskjet 7.0.A-->C:\Program Files\Hewlett-Packard\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat
HP Software Update-->MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}
HP Solution Center 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework (French) v1.0.3705-->C:\WINDOWS\Microsoft.NET\Framework\Install.exe /u /p Microsoft .NET Framework Full v1.0.3705 (1036)
Microsoft .NET Framework (French)-->MsiExec.exe /X{6B908BF7-A583-4962-B068-69657D87CD56}
Microsoft .NET Framework 1.0 Hotfix (KB928367)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Updates\M9283671036\M9283671036Uninstall.msp"
Microsoft AutoRoute 2002-->MsiExec.exe /I{F7F2DC0A-C22E-49AD-AD37-797309A54E7B}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Money-->MsiExec.exe /I{01A2E33A-8ADA-42D1-9173-8F65149E952F}
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Picture It! Photo 7.0-->MsiExec.exe /I{369B36BE-3D64-4641-9AEA-808D436FE132}
Microsoft Works 7.0-->MsiExec.exe /I{64D114CE-4234-45C2-B60A-2B07D5A48F72}
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 8 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP8$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mozilla Firefox (3.5.1)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MuVo Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x40c /remove
OCR Software by I.R.I.S 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Photosmart 140,240,7200,7600,7700,7900 Series-->C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\setup\hpzscr01.exe -datfile hphscr01.dat
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB969679)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
Security Update for Microsoft Office Excel 2007 (KB969682)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C03803BD-745A-46F8-8557-817DED578780}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Sélecteur d'installation de Microsoft Works Suite 2003-->C:\Program Files\Microsoft Works Suite 2003\Setup\Launcher.exe D:\
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Skype web features-->MsiExec.exe /I{F1362843-0E0E-4F74-8662-724CF101ADCE}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 (KB969907)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {74F98B24-AFBD-4800-9BD6-87D349B5C462}
Update for Outlook 2007 Junk Email Filter (kb971933)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {53C200F4-3B4B-49A5-8539-2C61F1A88CA2}
UsbFix-->C:\UsbFix\Uninstal.exe
VLC media player 1.0.0-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: ESET NOD32 Antivirus 4.0

======System event log======

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup : : Machine Check: Regs

Record Number: 493950
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup : : Machine Check:

Record Number: 493949
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup : : Machine Check: Regs

Record Number: 493948
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup : : Machine Check:

Record Number: 493947
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup : : Machine Check: Regs

Record Number: 493946
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

=====Application event log=====

Computer Name: NOM-JFJKK179UWM
Event Code: 105
Message: The service was started.

Record Number: 991
Source Name: Creative Service for CDROM Access
Time Written: 20090130121719.000000+060
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 2002
Message: Le service EAPOL a été arrêté correctement.

Record Number: 990
Source Name: EAPOL
Time Written: 20090129215706.000000+060
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 2003
Message: Le service EAPOL est en cours d'exécution

Record Number: 989
Source Name: EAPOL
Time Written: 20090129215706.000000+060
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 4096
Message:
Record Number: 988
Source Name: Avira AntiVir
Time Written: 20090129215659.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: NOM-JFJKK179UWM
Event Code: 105
Message: The service was started.

Record Number: 987
Source Name: Creative Service for CDROM Access
Time Written: 20090129215652.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

Ajouter un commentaire

Réponse

Trying2 7211Messages postés 13 juillet 2008Date d'inscription 16 mai 2012Dernière intervention 23 juil. 2009 à 04:14

1/
Pourrais tu me détailler toutes les procédures (outils utilisés) mises en oeuvre pour nettoyer ce pc stp?
Cela me donnera du boulot en moins^^.

Si tu as des rapports divers, merci de me les communiquer.

2/
A ce propos, poste moi stp le rapport de NOD32.

3/
Télécharge RootRepeal
Décompresse-le

Lance RootRepeal.exe
Clique sur l'onglet "File" puis sur "Scan" : vérifie que ta partiton Windows est bien cochée puis clique sur "OK".
Une fois terminé clique sur "Save Report", enregistre le sur ton bureau, ouvre le et colle moi le contenu du rapport créé dans ton prochain message.

4/
Télécharge OAD de !aur3n7
- Enregistre le sur ton bureau

Double clique sur OAD pour le lancer.

- "nom de fichier à rechercher" tape ou fais un copier/coller de : geyekrntidibci
- "Type de recherche" : sélectionne l'option 6 puis valide avec la touche [entrée].

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

@+

Ps: Poste chaque rapport dans un message différent stp.

Ajouter un commentaire - Site web

Afficher les 4 commentaires

Jon-Jon- 23 juil. 2009 à 11:44

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 1. Rapport USBFix ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
__________________________________________________________

############################## | UsbFix V6.009 |

# User : entreprise jung (Administrateurs) # NOM-JFJKK179UWM
# Update on 20/07/09 by Chiquitine29 & C_XX
# Start at: 22:38:51 | 22/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# mobile AMD Athlon(tm) XP 2600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 4.0 4.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 37,25 Go (3,3 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 29,79 Go (29,55 Go free) [EXCHANGE] # FAT32
# F:\ # Disque fixe local # 435,96 Go (200,46 Go free) [LaCie] # NTFS
# G:\ # Disque amovible # 992,77 Mo (22,66 Mo free) [J¤N-J¤N'S I] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\Iexplore.exe

################## | Fichiers # Dossiers infectieux |

################## | C:\Documents and Settings\entreprise jung\Temporary Internet Files |

################## | All Drives ... |

Présent ! E:\._autorun.inf
Présent ! E:\autorun.inf
Présent ! F:\._autorun.inf
Présent ! F:\autorun.inf
Présent ! G:\autorun.inf

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL claIRe.exE

HKCU\..\..\Explorer\MountPoints2\{18ab9409-2c62-11de-bb07-00030d084339}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cLAIre.EXE

################## | Other |

Suspect ! C:\WINDOWS\system32\geyekrntidibci.dll
Suspect ! C:\WINDOWS\system32\drivers\geyekrbanrspmn.sys
Suspect ! C:\WINDOWS\system32\drivers\geyekrjwxnridm.sys
Suspect ! C:\WINDOWS\system32\drivers\geyekrpxotewxd.sys
Suspect ! C:\WINDOWS\system32\drivers\geyekrpyyrjcxi.sys

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.009 ! |

Le reste arrive à la vitesse du laptop (c'est à dire vraiment psa vite)

Jon-Jon- 23 juil. 2009 à 13:39

¤¤¤¤¤¤¤¤¤¤¤¤¤¤ => 2. Rootrepeal <= ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Probleme ! scan impossible (could not read the boot sctor. Try adjusting the disk access level in options dialog)
Et ensuite : DeviceIoControl Error Error ! Code = 0xc0000001...

des suggestions ?

Jon-Jon- 23 juil. 2009 à 14:08

------------------------------------------------------------------
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 3. Rapport OAD ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
_________________________________________________________

23/07/2009 ---- 14:06:04,65

----------------------------------
§§§§§§ [geyekrntidibci] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

_________________________________________________________
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Merci beaucoup pour ton aide en fait trying !

Réponse

V-X 8664Messages postés 17 décembre 2008Date d'inscription 23 juil. 2009 à 04:16

Bonjour ,

Tu as utiliser USBFix tu as encore sont rapport de suppression et ou de scan ,

Si oui , peut tu les poster.

merci.

Bonne continuation.

Ajouter un commentaire

Jon-Jon- 23 juil. 2009 à 14:28

Il est un petit peu au dessus

Mais par contre je me rappelle qu'en fait il y avait deux rapports usb fix un avant et un après l'option 2 de suppression je poste donc le deuxième (je pense que c'était l'après mais je n'en suis vraiment pas sur)

############################## | UsbFix V6.009 |

# User : entreprise jung (Administrateurs) # NOM-JFJKK179UWM
# Update on 20/07/09 by Chiquitine29 & C_XX
# Start at: 23:36:10 | 22/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# mobile AMD Athlon(tm) XP 2600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 4.0 4.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 37,25 Go (3,32 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ctfmon.exe

################## | Fichiers # Dossiers infectieux |

################## | C:\Documents and Settings\entreprise jung\Temporary Internet Files |

################## | All Drives ... |

################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{18ab9409-2c62-11de-bb07-00030d084339}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[25/09/2002 16:17|--a------|0] - C:\AUTOEXEC.BAT
[18/04/2009 14:59|-rahs----|216] - C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
[25/09/2002 16:17|--a------|0] - C:\CONFIG.SYS
[31/12/2005 15:36|--a------|300] - C:\hpcmerr.log
[20/04/2005 22:11|--ah-----|525] - C:\hpothb07.dat
[20/04/2005 22:11|--ah-----|993] - C:\hpothb07.tif
[20/06/2005 14:01|--a------|1120] - C:\INSTALL.LOG
[25/09/2002 16:17|-rahs----|0] - C:\IO.SYS
[20/03/2004 23:39|--ah-----|213] - C:\IPH.PH
[12/11/2003 17:12|--a------|1716] - C:\Lang.txt
[12/07/2005 00:39|--a------|5526] - C:\MACDR001.CST
[12/07/2005 00:34|--a------|14984] - C:\MACDR055.CST
[25/09/2002 16:17|-rahs----|0] - C:\MSDOS.SYS
[18/04/2009 14:36|-rahs----|47564] - C:\NTDETECT.COM
[23/04/2009 15:29|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[22/10/2008 19:29|--a------|211] - C:\Raccourci vers Lecteur CD.lnk
[24/05/2001 12:59|--a------|162304] - C:\UNWISE.EXE
[22/07/2009 23:42|--a------|3259] - C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Etat / Services / Informations |

################## | PEH ... |

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.009 ! |

Trying2- 23 juil. 2009 à 14:42

T'as bien fait de le poster!

J'étais en train de te rédiger un truc...

Je recommence et repasse.
Tu as testé MBAM en mode sans échec? (unfortunately unsuccessfully, I suppose)

Réponse

Trying2 7211Messages postés 13 juillet 2008Date d'inscription 16 mai 2012Dernière intervention 23 juil. 2009 à 18:15

Suite aux conseils De V_X je vais te faire utiliser Combo-Fix:

Télécharge le: http://download.bleepingcomputer.com/sUBs/ComboFix.exe (Clic droit/enregistrer la cible du lien sous)

Enregistre le sur le bureau sous le nom de: topic.

Fais le avant que le fichier ne soit enregistré sur le bureau.

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, pare-feu, garde en temps réel de l'antispyware)

Double-clique sur combofix.exe et suis les instructions.

A la fin, il va produire un rapport C:\ComboFix.txt

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Ajouter un commentaire - Site web

Jon-Jon- 23 juil. 2009 à 18:53

Lol ca a l'air d'être du lourd, bon je mets ma combinaison anti-radiations et je vais lancer le monstre (ComboFix).
Je te poste ça dans 10 minutes. (thanks a lot pour tout en fait hein !)

Jon-Jon- 23 juil. 2009 à 19:36

Voila !!! tout a était fait, à noter que durant la période nettoyage au redémarrage il y a eu des erreurs de registre du genre :"pev.exe :fichier endommagé" et une demande de l'utilitaire chkdsk.

le log :

ComboFix 09-07-23.01 - entreprise jung 23/07/2009 19:10.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.48 [GMT 2:00]
Running from: c:\documents and settings\entreprise jung\Bureau\topic.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\35772.msi
c:\windows\Installer\3af4f.msp
c:\windows\system32\drivers\geyekrbanrspmn.sys
c:\windows\system32\drivers\geyekrjwxnridm.sys
c:\windows\system32\drivers\geyekrpxotewxd.sys
c:\windows\system32\drivers\geyekrpyyrjcxi.sys
c:\windows\system32\drivers\UACtygmbqjxfq.sys
c:\windows\system32\geyekrntidibci.dll
c:\windows\system32\UACcnlrrqjdbv.dll
c:\windows\system32\UACejqjpwfwjx.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACpdwkqfbyex.db
c:\windows\system32\UACrnoauytged.dll
c:\windows\system32\UACtkbeedxuel.dll
c:\windows\system32\UACvtmbcqjrss.dll
c:\windows\system32\UACwxnxdciqxs.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys

((((((((((((((((((((((((( Files Created from 2009-06-23 to 2009-07-23 )))))))))))))))))))))))))))))))
.

2009-07-22 23:04 . 2009-07-22 23:06 -------- d-----w- c:\program files\trend micro
2009-07-22 23:03 . 2009-07-22 23:07 -------- d-----w- C:\rsit
2009-07-22 20:35 . 2009-07-22 21:50 -------- d-----w- C:\UsbFix
2009-07-22 19:46 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 19:46 . 2009-07-22 19:46 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-07-22 19:46 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 19:46 . 2009-07-22 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\NOS
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\program files\NOS
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-07-21 07:24 . 2009-07-21 07:24 401 ----a-w- c:\documents and settings\entreprise jung\xefmwx.bat
2009-07-21 07:24 . 2009-07-21 07:24 77824 ----a-w- c:\documents and settings\entreprise jung\fepbmp.exe
2009-07-21 07:24 . 2009-07-21 07:24 86016 ----a-w- c:\documents and settings\entreprise jung\rthbyv.exe
2009-07-21 07:01 . 2009-07-21 07:01 401 ----a-w- c:\documents and settings\entreprise jung\TBCJTU.bat
2009-07-21 07:01 . 2009-07-21 07:01 77824 ----a-w- c:\documents and settings\entreprise jung\ihseps.exe
2009-07-21 07:01 . 2009-07-21 07:01 86016 ----a-w- c:\documents and settings\entreprise jung\uwjedy.exe
2009-07-20 23:50 . 2009-07-20 23:50 401 ----a-w- c:\documents and settings\entreprise jung\ouveop.bat
2009-07-20 23:50 . 2009-07-20 23:50 77824 ----a-w- c:\documents and settings\entreprise jung\FEOYMP.exe
2009-07-20 23:50 . 2009-07-20 23:50 86016 ----a-w- c:\documents and settings\entreprise jung\QSGBYV.exe
2009-07-20 23:42 . 2009-07-20 23:42 401 ----a-w- c:\documents and settings\entreprise jung\rwygqr.bat
2009-07-20 23:42 . 2009-07-20 23:42 77824 ----a-w- c:\documents and settings\entreprise jung\vuhreh.exe
2009-07-20 23:42 . 2009-07-20 23:42 86016 ----a-w- c:\documents and settings\entreprise jung\jlwrqn.exe
2009-07-20 20:10 . 2009-07-20 20:10 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\PrivacIE
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\IECompatCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-----w- C:\Torrent
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-----w- C:\Dico traduc
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\documents and settings\entreprise jung\IETldCache
2009-07-20 18:49 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-07-20 18:48 . 2009-07-20 18:49 -------- d-----w- c:\windows\ie8updates
2009-07-20 18:48 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-07-20 18:47 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-20 18:45 . 2009-07-20 18:47 -------- dc-h--w- c:\windows\ie8
2009-07-20 16:40 . 2009-07-20 16:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2009-07-20 16:39 . 2009-07-20 16:39 -------- d-----w- c:\documents and settings\entreprise jung\Local Settings\Application Data\ESET
2009-07-20 15:43 . 2009-07-20 15:43 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-07-20 15:42 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\skypePM
2009-07-20 14:54 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Skype
2009-07-20 14:43 . 2009-07-20 14:43 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-07-20 14:43 . 2009-07-20 14:48 -------- d-----r- c:\program files\Skype
2009-07-20 14:40 . 2009-07-20 14:42 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Skype
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\program files\ESET
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\ESET
2009-07-20 14:28 . 2009-07-20 14:28 401 ----a-w- c:\documents and settings\entreprise jung\FKMSEF.bat
2009-07-20 14:28 . 2009-07-20 14:28 77824 ----a-w- c:\documents and settings\entreprise jung\dcnxkn.exe
2009-07-20 14:28 . 2009-07-20 14:28 86016 ----a-w- c:\documents and settings\entreprise jung\prexwt.exe
2009-07-20 14:24 . 2009-07-20 14:24 401 ----a-w- c:\documents and settings\entreprise jung\bgipbb.bat
2009-07-20 14:24 . 2009-07-20 14:24 77824 ----a-w- c:\documents and settings\entreprise jung\IGRDOR.exe
2009-07-20 14:24 . 2009-07-20 14:24 86016 ----a-w- c:\documents and settings\entreprise jung\TVJDCX.exe
2009-07-20 14:24 . 2009-07-20 14:24 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\vlc
2009-07-20 14:20 . 2009-07-20 14:20 310 ----a-w- c:\windows\system32\UACqjuubgguto.dat
2009-07-20 14:19 . 2009-07-20 14:19 70656 ----a-w- c:\windows\system32\UACrdoynowpaw.dll
2009-07-20 14:18 . 2009-07-20 14:19 401 ----a-w- c:\documents and settings\entreprise jung\XFGNXY.bat
2009-07-20 14:18 . 2009-07-20 14:18 77824 ----a-w- c:\documents and settings\entreprise jung\utgqdg.exe
2009-07-20 14:18 . 2009-07-20 14:18 86016 ----a-w- c:\documents and settings\entreprise jung\ijvqpm.exe
2009-07-20 13:56 . 2009-07-20 13:56 -------- d-----w- c:\program files\VideoLAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-22 21:52 . 2002-09-25 22:52 56050 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-22 21:52 . 2002-09-25 22:52 428482 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-22 11:43 . 2004-03-20 21:36 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2009-07-22 11:36 . 2009-04-18 11:43 -------- d-----w- c:\program files\CCleaner
2009-07-21 12:45 . 2009-04-23 17:31 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Microsoft Help
2009-07-20 23:32 . 2004-03-19 22:35 8224 ----a-w- c:\documents and settings\entreprise jung\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-20 19:18 . 2003-04-08 07:32 -------- d-----w- c:\program files\Microsoft Works
2009-06-16 14:40 . 2002-09-25 22:52 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2002-09-25 22:51 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2005-08-30 08:26 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-05-13 05:04 . 2006-06-23 12:28 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2002-09-25 22:51 348672 ----a-w- c:\windows\system32\localspl.dll
2009-07-21 20:02 . 2008-11-07 16:33 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\C:\0autocheck autochk *

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"44197:TCP"= 44197:TCP:Utorrente
"44197:UDP"= 44197:UDP:UtorrentUDP

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06/02/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [06/02/2009 14:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [06/02/2009 14:23 727720]
S2 .EsetTrialReset;Eset Trial Reset;c:\windows\system32\regedt32.exe [26/09/2002 00:52 3584]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\docume~1\ENTREP~1\APPLIC~1\Mozilla\Firefox\Profiles\mjj7ovbs.default\
FF - prefs.js: browser.startup.homepage - google.fr
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 19:20
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-07-23 19:26
ComboFix-quarantined-files.txt 2009-07-23 17:26

Pre-Run: 3 635 081 216 octets libres
Post-Run: 3 610 542 080 octets libres

225 --- E O F --- 2009-07-21 12:48

Réponse

Trying2 7211Messages postés 13 juillet 2008Date d'inscription 16 mai 2012Dernière intervention 23 juil. 2009 à 19:54

Ca m'a l'air pas mal :)

Je jetterai un oeil plus attentif à ton rapport plus tard. (Je dois sortir)

En attendant:

Télécharge Malwarebytes' Anti-Malware (MBAM)

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen rapide"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

"L'examen s'est terminé normalement. "

Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

* Ferme tes navigateurs. (Internet Explorer/ Firefox...)
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

@+

Ajouter un commentaire - Site web

Jon-Jon- 23 juil. 2009 à 23:22

Ok ben je pense que tout est clean maintenant :D, je te poste un rapport malware demain.
Je te remercie beaucoup tu m'as énormément aidé pour supprimer cette saloperie, et c'est vraiment cool de ta part d'avoir pris du temps sur mon cas. Dis moi est ce que je pourrais te poser quelques questions par Mp (histoire de pas polluer ce topic) ?

Trying2- 23 juil. 2009 à 23:24

Yep, c'est OK pour le MP.

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 24 juil. 2009 à 00:04

Salut,

je me permets juste :

Ok ben je pense que tout est clean maintenant :D

-> c'est vite dit ! ... le rapport Combfix est pourtant là pour nous montrer le contraire ...^^

reste encore ceci ( Tibs ) :

2009-07-20 14:20 . 2009-07-20 14:20 310 ----a-w- c:\windows\system32\UACqjuubgguto.dat
2009-07-20 14:19 . 2009-07-20 14:19 70656 ----a-w- c:\windows\system32\UACrdoynowpaw.dll

et

qu'est ce que ce truc > c:\documents and settings\entreprise jung

????

tout ce qui conscerne entreprise jung est plus que suspect car si on regarde bien le rapport , il y a même date / heure de création que l'infection Tibs ( UACxxxxxxxxxx.xxx ) .

2009-07-20 14:24 . 2009-07-20 14:24 77824 ----a-w- c:\documents and settings\entreprise jung\IGRDOR.exe
2009-07-20 14:24 . 2009-07-20 14:24 86016 ----a-w- c:\documents and settings\entreprise jung\TVJDCX.exe
2009-07-20 14:24 . 2009-07-20 14:24 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\vlc
2009-07-20 14:20 . 2009-07-20 14:20 310 ----a-w- c:\windows\system32\UACqjuubgguto.dat
2009-07-20 14:19 . 2009-07-20 14:19 70656 ----a-w- c:\windows\system32\UACrdoynowpaw.dll
2009-07-20 14:18 . 2009-07-20 14:19 401 ----a-w- c:\documents and settings\entreprise jung\XFGNXY.bat
2009-07-20 14:18 . 2009-07-20 14:18 77824 ----a-w- c:\documents and settings\entreprise jung\utgqdg.exe
2009-07-20 14:18 . 2009-07-20 14:18 86016 ----a-w- c:\documents and settings\entreprise jung\ijvqpm.exe

... donc ton PC est bien gavé encore ! ... ^^

Si il y a besoin d'un coup de paluche , il n'y a pas de prb ... ;)

++

Ajouter un commentaire

Trying2- 24 juil. 2009 à 00:25

Hello Ske69,

Merci à toi pour la vigilance.

Comme j'ai dit ici, je n'ai pas analysé le rapport.

Je suis "en soirée". (Mais compulsivement, je rafraîchis la page CCM^^).

De plus comme V_X s'est "absenté" et que je ne suis pas prêt de mettre le nez dans le rapport, c'est avec plaisir que je te passe la main si tu souhaites suivre.

@+ and Thx again.

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 24 juil. 2009 à 00:34

re,

c'est avec plaisir que je te passe la main si tu souhaites suivre.

-> oki ... ^^

Jon-Jon,

comme je l'ai dis au poste 18 , tu es loin d'être tiré d'affaire ! ...

Ne fais pas de scan avec Malwarebytes pour le moment !

Fais ce qui suit dans un premier temps :

1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\documents and settings\entreprise jung\fepbmp.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :

c:\documents and settings\entreprise jung\uwjedy.exe
c:\documents and settings\entreprise jung\ouveop.bat
c:\documents and settings\entreprise jung\TVJDCX.exe
c:\documents and settings\entreprise jung\utgqdg.exe

Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Ajouter un commentaire

Réponse

Jon-Jon 101Messages postés 8 juin 2009Date d'inscription 16 juillet 2010Dernière intervention 24 juil. 2009 à 01:02

Merci à toi et Ske69 et trying2 profite de ta soirée au lieu de refresh des pages de forums :p.

Bon alors Ske ! Donc en réalité quand j'ai dit que tout est clean j'avoue que c'était un raccourci un peu facile je vais donc te faire un récapitulatif de tout ce qui a suivi ce post afin de continuer le nettoyage.

Premio j'ai vu que tu demandais ce qu'était entreprise Jung c'est un dossier perso crée par le beau père d'un ami (oui on s'en fout mais donc bref c'est le nom d'un dossier perso à la base même si est quasiment sur qu'il était infecté au vu de ses apparitions dans les scans).

Secondo donc je vais te dire tout ca : Suite au combo fix qui avait trouvé 8 endroits infecté (du type windows\system32\UACbeaucouptropdelettresquejaipasenviederecopier), j'ai réalisé un scan malware qui a trouvé deux infections restantes, j'ai donc lancé le nettoyage (redémarrage etc).
J'ai laissé courir et ensuite windows xp a lancé une vérification de l'intégrité du disque et a passé un sacré moment à tout nettoyer puis utilitaire CHKDSK qui lui aussi avait pas mal de boulot.

Suit un redémarrage et revérif de windows qui ne trouve rien et voila. La je suis dans un sacn Nod 32.

Donc sachant tout ça tu ve que je suive tes conseils ou tu as besoin d'un nouveau rapport (pourquoi je parie sur la deuxième option :p ?)

p.s. : Dernières nouvelles NOD32 n'aime pas non plus entreprise jung apparemment :p, il vient de me demander de l'envoyer pour analyses.

Ajouter un commentaire

Réponse

Jon-Jon 101Messages postés 8 juin 2009Date d'inscription 16 juillet 2010Dernière intervention 24 juil. 2009 à 02:28

Voici les rapports des cinq fichiers :
(je te mets les trois premiers dans ce post et le reste dans un second)
____________________________________________________
1. ¤¤¤ c:\documents and settings\entreprise jung\fepbmp.exe

Fichier fepbmp.exe reçu le 2009.07.23 23:58:48 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 16/41 (39.03%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/VB.Downloader.Gen
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 -
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1748 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.TRVB.Downloade
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 FraudTool.Win32.SecurityAlert.au
Fortinet 3.120.0.0 2009.07.23 Misc/SecurityAlert
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.23 Trojan.Win32.VB
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 not-a-virus:FraudTool.Win32.SecurityAlert.au
Kaspersky 7.0.0.125 2009.07.24 not-a-virus:FraudTool.Win32.SecurityAlert.au
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!A5B16D3684D8
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.VB.Downloader.Gen
Microsoft 1.4903 2009.07.23 -
NOD32 4271 2009.07.23 -
Norman 6.01.09 2009.07.22 W32/Obfuscated.P3!genr
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Trj/CI.A
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.23 MSAntispyware 2009 (v)
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.372 2009.07.23 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_FAKEALE.IU
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 77824 bytes
MD5...: a5b16d3684d8228ac8eddd2352051d94
SHA1..: c25d0bc3d3093e7e6f2a331dfed59a4645c42823
SHA256: faf99c32acbea5475100b6116472f14c34250ddae97b99d1cf696c2292432112
ssdeep: 1536:mmAFM1orImfSj8NSBjK83aQTjT7Gq3GKf7Yx2:+O1QbfSje63aQrNHf7Y
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31c70
timedatestamp.....: 0x4a63fbe1 (Mon Jul 20 05:08:49 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x24000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x25000 0xd000 0xd000 7.86 37be2dbdb0d2d547df347d65d81b74f1
.rsrc 0x32000 0x6000 0x5c00 5.01 fe9ff7b0fd6121647e996a4de9d2cdc5

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=48C86A63001D798330E801D500462500CF5C6888' target='_blank'>http://info.prevx.com/...

____________________________________________________
____________________________________________________
2. ¤¤¤ c:\documents and settings\entreprise jung\uwjedy.exe

Fichier uwjedy.exe reçu le 2009.07.24 00:22:57 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/41 (43.91%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.CryptRedol!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/CryptRedol.86016.2.8
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 Win32:Alureon-CE
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 Trojan.CryptRedol.Gen.2
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1748 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.VirToolObfusca
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 Trojan.Win32.Tdss.akhy
Fortinet 3.120.0.0 2009.07.23 W32/Tdss.AKHY!tr
GData 19 2009.07.24 Trojan.CryptRedol.Gen.2
Ikarus T3.1.1.64.0 2009.07.23 Trojan.CryptRedol
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 Trojan.Win32.Tdss.akhy
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!59EA20802084
McAfee-GW-Edition 6.8.5 2009.07.24 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.4903 2009.07.23 VirTool:Win32/Obfuscator.ET
NOD32 4271 2009.07.23 a variant of Win32/Kryptik.ZT
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Generic Trojan
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 VirTool-Win32/Obfuscator.ET
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.372 2009.07.23 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_TDSS.ATZ
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 86016 bytes
MD5...: 59ea2080208490d54c3b13224b711de1
SHA1..: 08308780c881d25c14cc5bfbf220de6a9fc5486b
SHA256: f81c41d2274bc934d258df014cff6ee369bc0c189c7c79416ef23b199eaf221c
ssdeep: 1536:FxgZdS3e1md9yVAyhIFPxRTJIns/lfg4P5bQH6PWN:Fxgqu18yh2PzL/Rya
PWN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1089
timedatestamp.....: 0x4a5dc56c (Wed Jul 15 12:02:52 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd18 0xe00 5.94 cdba9bbbd6996374d12b3aedb8a05cf2
.rdata 0x2000 0x585 0x600 4.92 b954f9aaece6446a2ec6c968472ff245
.data 0x3000 0x12bca 0x12c00 7.99 2c429c6cab198564f15e2c57a124cf3d
.rsrc 0x16000 0x83c 0xa00 5.25 7a7a2bc3f8f858159bba04fc3941b018
.reloc 0x17000 0x24 0x200 0.50 d62454560fd194bd4d4eacebe478d0e8

( 4 imports )
> kernel32.dll: GetEnvironmentVariableA, GetModuleHandleA, CallNamedPipeA, GetWindowsDirectoryA, GetProcAddress, GetCurrentProcess, GetLastError, GetComputerNameA, GetFileAttributesExA, GetTempPathA, DosPathToSessionPathA, FindResourceA, ReadFileEx, CreateDirectoryA, HeapCreate, GetVersionExW, GetFileSize, EraseTape
> msvcrt.dll: memcpy, isxdigit, wcsspn, __9type_info@@QBEHABV0@@Z, log, _lfind, __mb_cur_max, _mbscspn, _CIacos, _swab, __lc_codepage, _utime64, _getch, _clearfp
> winmm.dll: mmioClose, auxGetVolume, waveInGetErrorTextW, sndPlaySoundW, auxGetNumDevs, aux32Message, auxOutMessage, midiInStop, mmsystemGetVersion, midiOutReset, mmTaskBlock, midiInAddBuffer, waveOutRestart, mmTaskCreate, waveOutGetID, midiInMessage
> opengl32.dll: glMap2d, glNormal3iv, glFogiv, wglUseFontBitmapsW, glPushClientAttrib, glNormal3f, wglMakeCurrent, glStencilFunc, glViewport, glDisableClientState, GlmfEndGlsBlock, glDepthFunc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F' target='_blank'>http://info.prevx.com/...

___________________________________________________
___________________________________________________
¤¤¤ 3. c:\documents and settings\entreprise jung\ouveop.bat

Fichier ouveop.bat reçu le 2009.07.24 00:31:14 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 -
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 -
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 -
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1748 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 -
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 -
Fortinet 3.120.0.0 2009.07.23 -
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.23 -
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 -
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 -
McAfee-GW-Edition 6.8.5 2009.07.24 -
Microsoft 1.4903 2009.07.23 -
NOD32 4271 2009.07.23 -
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 -
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 -
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 -
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.372 2009.07.23 -
TrendMicro 8.950.0.1094 2009.07.23 -
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 401 bytes
MD5...: 156c0fb195b92479cd98f5b825aa363e
SHA1..: 484bf8b816e23e0ec21f187b8595fbd9ec763695
SHA256: 53cf4707bf409f881d987bc265aeadb4ec78ddaeaa74dae10c4317edb053927f
ssdeep: 6:3Him8r6AmPE8r6AFi1im8pn9pPE8pn9nlVim8P4vPE8PI6im8jko8vXPE8jkos
y8:XkCPJRms9pPr93zPC6RvP4y9gv
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Ajouter un commentaire

Réponse

Jon-Jon 101Messages postés 8 juin 2009Date d'inscription 16 juillet 2010Dernière intervention 24 juil. 2009 à 02:53

On continue avec le 4 et le 5

p.s. : Des news de NOD32 après un scan de 3h40 !!! Je te copie les éléments du scan qu'il a supprimé :

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACcnlrrqjdbv.dll.vir - Win32/Olmarik.JQ trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACejqjpwfwjx.dll.vir - Win32/Olmarik.HC trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACrnoauytged.dll.vir - Win32/Olmarik.HZ trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACvtmbcqjrss.dll.vir - Win32/Olmarik.HQ trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACtygmbqjxfq.sys.vir - Win32/Olmarik.JQ trojan - cleaned by deleting - quarantined [1]

_______________________________
_______________________________
¤¤¤ 4. entreprise jung\tvjdc.exe

Fichier TVJDCX.exe reçu le 2009.07.24 00:48:14 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/41 (43.91%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.CryptRedol!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/CryptRedol.86016.2.8
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 Win32:Alureon-CE
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 Trojan.CryptRedol.Gen.2
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1749 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.VirToolObfusca
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 Trojan.Win32.Tdss.akhy
Fortinet 3.120.0.0 2009.07.23 W32/Tdss.AKHY!tr
GData 19 2009.07.24 Trojan.CryptRedol.Gen.2
Ikarus T3.1.1.64.0 2009.07.23 Trojan.CryptRedol
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 Trojan.Win32.Tdss.akhy
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!59EA20802084
McAfee-GW-Edition 6.8.5 2009.07.24 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.4903 2009.07.23 VirTool:Win32/Obfuscator.ET
NOD32 4271 2009.07.23 a variant of Win32/Kryptik.ZT
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Generic Trojan
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 VirTool-Win32/Obfuscator.ET
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_TDSS.ATZ
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 86016 bytes
MD5...: 59ea2080208490d54c3b13224b711de1
SHA1..: 08308780c881d25c14cc5bfbf220de6a9fc5486b
SHA256: f81c41d2274bc934d258df014cff6ee369bc0c189c7c79416ef23b199eaf221c
ssdeep: 1536:FxgZdS3e1md9yVAyhIFPxRTJIns/lfg4P5bQH6PWN:Fxgqu18yh2PzL/Rya
PWN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1089
timedatestamp.....: 0x4a5dc56c (Wed Jul 15 12:02:52 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd18 0xe00 5.94 cdba9bbbd6996374d12b3aedb8a05cf2
.rdata 0x2000 0x585 0x600 4.92 b954f9aaece6446a2ec6c968472ff245
.data 0x3000 0x12bca 0x12c00 7.99 2c429c6cab198564f15e2c57a124cf3d
.rsrc 0x16000 0x83c 0xa00 5.25 7a7a2bc3f8f858159bba04fc3941b018
.reloc 0x17000 0x24 0x200 0.50 d62454560fd194bd4d4eacebe478d0e8

( 4 imports )
> kernel32.dll: GetEnvironmentVariableA, GetModuleHandleA, CallNamedPipeA, GetWindowsDirectoryA, GetProcAddress, GetCurrentProcess, GetLastError, GetComputerNameA, GetFileAttributesExA, GetTempPathA, DosPathToSessionPathA, FindResourceA, ReadFileEx, CreateDirectoryA, HeapCreate, GetVersionExW, GetFileSize, EraseTape
> msvcrt.dll: memcpy, isxdigit, wcsspn, __9type_info@@QBEHABV0@@Z, log, _lfind, __mb_cur_max, _mbscspn, _CIacos, _swab, __lc_codepage, _utime64, _getch, _clearfp
> winmm.dll: mmioClose, auxGetVolume, waveInGetErrorTextW, sndPlaySoundW, auxGetNumDevs, aux32Message, auxOutMessage, midiInStop, mmsystemGetVersion, midiOutReset, mmTaskBlock, midiInAddBuffer, waveOutRestart, mmTaskCreate, waveOutGetID, midiInMessage
> opengl32.dll: glMap2d, glNormal3iv, glFogiv, wglUseFontBitmapsW, glPushClientAttrib, glNormal3f, wglMakeCurrent, glStencilFunc, glViewport, glDisableClientState, GlmfEndGlsBlock, glDepthFunc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F' target='_blank'>http://info.prevx.com/...

_______________________________
_______________________________
¤¤¤ 5. c:\documents and settings\entreprise jung\utgqdg.exe

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/VB.Downloader.Gen
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 -
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1749 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.TRVB.Downloade
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 FraudTool.Win32.SecurityAlert.au
Fortinet 3.120.0.0 2009.07.23 Misc/SecurityAlert
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.23 Trojan.Win32.VB
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 not-a-virus:FraudTool.Win32.SecurityAlert.au
Kaspersky 7.0.0.125 2009.07.24 not-a-virus:FraudTool.Win32.SecurityAlert.au
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!A5B16D3684D8
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.VB.Downloader.Gen
Microsoft 1.4903 2009.07.23 -
NOD32 4271 2009.07.23 -
Norman 6.01.09 2009.07.22 W32/Obfuscated.P3!genr
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Trj/CI.A
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.23 MSAntispyware 2009 (v)
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_FAKEALE.IU
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 77824 bytes
MD5...: a5b16d3684d8228ac8eddd2352051d94
SHA1..: c25d0bc3d3093e7e6f2a331dfed59a4645c42823
SHA256: faf99c32acbea5475100b6116472f14c34250ddae97b99d1cf696c2292432112
ssdeep: 1536:mmAFM1orImfSj8NSBjK83aQTjT7Gq3GKf7Yx2:+O1QbfSje63aQrNHf7Y
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31c70
timedatestamp.....: 0x4a63fbe1 (Mon Jul 20 05:08:49 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x24000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x25000 0xd000 0xd000 7.86 37be2dbdb0d2d547df347d65d81b74f1
.rsrc 0x32000 0x6000 0x5c00 5.01 fe9ff7b0fd6121647e996a4de9d2cdc5

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=48C86A63001D798330E801D500462500CF5C6888' target='_blank'>http://info.prevx.com/...

Bonne lecture et merci à vous. (je sens qu'on voient le bout du tunnel la :p)

Ajouter un commentaire

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 24 juil. 2009 à 08:59

Salut,

et bien te voilà encore bien infecté !!!

parcontre j'aimerai que tu ne fasses rien d'autre que les manipes qui vont suivre ( pas de scan avec Nod ou quoi que se soit d'autre ! ... merci ... ^^ )

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://cjoint.com/?hyi7y8iDV5

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et attends la suite ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Ajouter un commentaire

Jon-Jon - 24 juil. 2009 à 14:26

Merci je fais ça ce soir (la je suis overbooké !) ske69

Réponse

V-X 40Messages postés 23 juillet 2009Date d'inscription 24 juil. 2009 à 09:08

Bonjour Trying et ske ,

@jon-jon ,

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'ongletAffichage
-Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Je vais te demander d'uploader un ou plusieurs fichier(s)/dossier(s) aux développeurs, ceci dans le but d'améliorer les outils :)

Peux-tu chercher ce(s) fichier(s) :

c:\windows\system32\UACqjuubgguto.dat
c:\windows\system32\UACrdoynowpaw.dll

et envoyer à cette (ces) adresse(s) :

http://www.bleepingcomputer.com/submit-malware.php?channel=4

merci.

+

Ajouter un commentaire

Jon-Jon - 24 juil. 2009 à 14:28

Merci V_X, volontiers mais je fais ça avant ou après les manips que viennent de me conseiller ske69 (avec lutilisation de cfscript+combofix) ???

sKe69- 24 juil. 2009 à 14:43

re,

fait la manipe de V_X de suite ... Puis tu enchaines avec la manipe que je t'ai donné ... ;)

j'attends le rapport demandé ...

Réponse

Trying2 7211Messages postés 13 juillet 2008Date d'inscription 16 mai 2012Dernière intervention 31 juil. 2009 à 22:47

Hello,

Petit up par ici.

Ajouter un commentaire - Site web

Jon-Jon - 1 août 2009 à 02:57

Oui désolé je m'explique :
j'ai reçu mon pc original qui est revenu du SAV, je suis parti à clermont ferrand je suis revenu chez moi et j'ai enchainé directement avec un boulot dans la restauration. Je reprend mon boulot de geek, m'occupe des scans et de tout ce qui est demandé au dessus dès demain soir et vous livre ça pour 22h normalement.

Quand au scan usbfix je ne me souviens plus trop en fait...

p.s. : Je viens de récupérer mon laptop chéri comme je viens de le dire et bien que je n'ai jamais eu de problème et que je l'estime assez bien protégé (nod32 et spyb de temps en temps+ nettoyage régulier registre etc.) quel outil me conseillez vous pour faire un scan très approfondi afin de vérifier qu'il est totalement clean ?

Bonne nuit, bonjour ou bonne après midi !

Réponse

gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 1 août 2009 à 02:39

je me permets d'en placer une :

pourquoi as-tu retiré tes cles usb et disque durs infectés pour la suppression de usbfix ?

Ajouter un commentaire

Réponse

gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 1 août 2009 à 03:04

dans l'option recherche d'usbfix :

# C:\ # Disque fixe local # 37,25 Go (3,3 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 29,79 Go (29,55 Go free) [EXCHANGE] # FAT32
# F:\ # Disque fixe local # 435,96 Go (200,46 Go free) [LaCie] # NTFS
# G:\ # Disque amovible # 992,77 Mo (22,66 Mo free) [J¤N-J¤N'S I] # FAT32

et dans l'option nattoyage :

# C:\ # Disque fixe local # 37,25 Go (3,32 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM

maintenant , ske69 etait en train de te faire faire des manips donc je ne voudrais pas destabiliser ses plans ainsi que ceux de V-X et Trying to :

http://www.commentcamarche.net/...

j'ai juste posé cette question pour leur signaler au passage car tes externes etaient bien infectés :

################## | All Drives ... |

Présent ! E:\._autorun.inf
Présent ! E:\autorun.inf
Présent ! F:\._autorun.inf
Présent ! F:\autorun.inf
Présent ! G:\autorun.inf

alors qu'evidemment au nettoyage ......:

################## | All Drives ... |

ben y'a rien....

##########

Ajouter un commentaire

Jon-Jon - 1 août 2009 à 03:09

J'ai nettoyé les externes avec nod32 et malwaresbytes, ca avait l'air d'avoir fonctionné. Tu pense qu'il y ait un risque qu'il reste quelque chose (putain quelle poisse ces pc infectés !)?

Réponse

gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 1 août 2009 à 03:18

nod32 et malwarebytes ne nettoient pas ce genre d'infections

Ajouter un commentaire

Jon-Jon - 1 août 2009 à 03:30

too bad...

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 1 août 2009 à 08:50

Salut,

il me semble que j'ai demandé quelque chose ici > http://www.commentcamarche.net/...

j'attends toujours le rapport ...

Ajouter un commentaire

Jon-Jon - 1 août 2009 à 10:12

Post 31, sans faute.

Réponse

sKe69 21343Messages postés 15 mars 2008Date d'inscription 20 mai 2011Dernière intervention 1 août 2009 à 09:57

re,

laisse tombé la manipe cité plus haut et fait ce qui suit :

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://cjoint.com/?ibj5iRQ7Hv

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Ajouter un commentaire

1 2 3

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

ARRGH ! Win32/Rootkit.Agent.ODG trojan

ARRGH ! Win32/Rootkit.Agent.ODG trojan »

Passage au tout numérique : quel coût pour les particuliers ?