Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

.exe n'est pas une application win32 valide

Dernière réponse le 16 oct 2009 à 22:35:52 kameron, le 20 aoû 2009 à 16:29:29

Signaler ce message aux modérateurs

Bonjour,
j'ai un petit souci avec mon ordi.
j'avais avira comme anti virus après avoir télécharger un fichier via Emule mon anti virus ne s'exécute pas et me donne ce message :" le fichier....exe n'est pas une application win32 valide" même chose pour mon anti spyware.
j'ai du les désinstaller. mais j'ai pas pu les installer a nouveau.
j'ai fait un scann online (rien donner).
après une recherche sur google il me semble que le micro est infecté par un bagle.
merci d'avance pour votre aide.

Configuration: Windows XP
Firefox 3.0.13

Meilleures réponses pour « .exe n'est pas une application win32 valide » dans :

"n'est pas une application win 32 valide" Voir

C:\ n'est pas une application win 32 valide (Résolu) Voir

.... n'est pas une application win 32 valide (Résolu) Voir

.exe n'est pas une application Win32 valide VoirLorsque vous lancez un fichier exécutable, Windows vous affiche un message du type : Nom de l'application n'est pas une application Win32 valide Pour y remédier, il existe plusieurs solutions correspondant à différentes causes...

Erreur application win 32 non valide Voir

Pour le psy avast application win32 invalide (Résolu) Voir

Avast n'est pas une application win32 valide. (Résolu) Voir

Posez votre question Répondre

verni29, le 20 aoû 2009 à 16:32:05

Bonjour,

As-tu téléchargé des cracks dernièrement ?

Télécharge FindyKill de Chiquitine29 sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

! Déconnecte toi et ferme toutes applications en cours !

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

A+ Pas de désinfection par MP.

Répondre à verni29

sherred, le 20 aoû 2009 à 16:32:19

Bonjour ca sent pas bon

FindyKill

--> Télécharge FindyKill sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe
--> Lance l'installation avec les paramètres par defaut

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Répondre à sherred

sherred, le 20 aoû 2009 à 16:33:59

Oops 14 "
Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Répondre à sherred

verni29, le 20 aoû 2009 à 16:35:02

Salut, sherred

Oui, c'est sans doute du bagle.

@+ Pas de désinfection par MP.

Répondre à verni29

sherred, le 20 aoû 2009 à 16:42:21

Sur a 95%
de toute facon je ne suis plus la aprés 17h00
je suivrai demain matin....si je peu t'avancer Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Répondre à sherred

salim2020, le 20 aoû 2009 à 16:50:46

Merci
je vais faire tout cela
merci vern29

Répondre à salim2020

salim2020, le 20 aoû 2009 à 18:42:59

Merci tout le monde problème résolut avec combofix et le clean
tout est rentré dans l'ordre.

Répondre à salim2020

salim2020, le 20 aoû 2009 à 18:47:30

Merci

Répondre à salim2020

verni29, le 20 aoû 2009 à 19:12:02

OK,

Si tu penses que c'est bon, OK pour moi.
Attention à ComboFix tout de même. C'est un outil qui ne s'utilise pas à la légère.

Tu pourrais me poster le rapport de Fyndikill.
Il se trouve en C:\findykill.txt

Merci d'avance.

@+ Pas de désinfection par MP.

Répondre à verni29

kameron, le 20 aoû 2009 à 21:35:06

J'AI LE RAPPORT COMOFIX:

ComboFix 09-08-19.0C - Administrateur 20/08/2009 16:45.1.1 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1256.213.1036.18.255.88 [GMT 1:00]
Running from: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\wiaserva.log
c:\documents and settings\Administrateur\Application Data\wiaservg.log
c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\InfoSat.txt
C:\Muestras
c:\muestras\111WFS1INTWQ.SYS.Muestra EliBagle v12.79
c:\muestras\WINUPGRO.EXE.Muestra EliBagle v12.79
c:\program files\WinPCap
c:\program files\WinPCap\daemon_mgm.exe
c:\program files\WinPCap\INSTALL.LOG
c:\program files\WinPCap\NetMonInstaller.exe
c:\program files\WinPCap\npf_mgm.exe
c:\program files\WinPCap\rpcapd.exe
c:\program files\WinPCap\Uninstall.exe
c:\windows\command
c:\windows\system32\AutoRun.inf
c:\windows\system32\drivers\npf.sys
c:\windows\system32\pthreadVC.dll

----- BITS: Possible infected sites -----

hxxp://www.hhdsoftware.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_111111S1RO1S1A
-------\Legacy_NPF
-------\Legacy_SK9OU0S
-------\Service_NPF
-------\Service_sK9Ou0s

((((((((((((((((((((((((( Files Created from 2009-07-20 to 2009-08-20 )))))))))))))))))))))))))))))))
.
-----
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-20 15:22 . 2009-03-25 20:25 28672 ----a-w- c:\documents and settings\Administrateur\Application Data\IDM\NP_IDM5.dll
2009-08-20 15:22 . 2009-03-25 20:25 28672 ----a-w- c:\documents and settings\Administrateur\Application Data\IDM\NP_IDM4.dll
2009-08-20 15:22 . 2009-03-25 20:25 28672 ----a-w- c:\documents and settings\Administrateur\Application Data\IDM\NP_IDM3.dll
2009-08-20 15:22 . 2009-03-25 20:25 28672 ----a-w- c:\documents and settings\Administrateur\Application Data\IDM\NP_IDM2.dll
2009-08-20 15:22 . 2009-03-25 20:25 28672 ----a-w- c:\documents and settings\Administrateur\Application Data\IDM\NP_IDM1.dll
2009-08-20 13:13 . 2001-08-24 11:00 557770 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-20 13:13 . 2001-08-24 11:00 105136 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-19 20:21 . 2009-08-19 20:21 78415 ----a-w- c:\windows\system32\drivers\klif.cab
2009-08-12 00:13 . 2008-10-18 18:10 92600 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-10 12:07 . 2009-07-10 12:07 -------- d-----w- c:\program files\Fichiers communs\SWF Studio
2009-07-10 11:56 . 2009-07-10 11:56 -------- d-----w- c:\program files\Viewpoint
2009-07-10 11:56 . 2009-07-10 11:56 -------- d-----w- c:\program files\VIH1
2009-06-28 15:20 . 2009-06-28 15:20 0 ----a-w- c:\windows\nsreg.dat
2009-06-12 20:14 . 2009-06-12 20:13 85 ----a-w- c:\documents and settings\Administrateur\Application Data\IDM\DwnlData\Administrateur\registrybooster_1290\registrybooster.exe
2009-06-09 19:49 . 2009-06-09 19:00 71680 ----a-w- C:\lnvplo.exe
2009-06-08 19:59 . 2009-06-08 19:58 1614 ----a-w- c:\documents and settings\Administrateur\Application Data\filterclsid.dat
2007-04-19 11:01 . 2007-04-19 10:36 11208 ---h--w- c:\program files\folder.htt
2001-05-24 11:59 . 2007-07-15 07:43 162304 ----a-w- c:\program files\UNWISE.EXE
.

------- Sigcheck -------

[-] 2004-08-18 06:09 359040 7B11118B078B88F87183FE69EDA43137 c:\windows\SYSTEM32\DRIVERS\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDTray"="c:\program files\Spyware Doctor\SDTrayApp.exe" [2007-08-14 1063752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Ask Larousse Chambers.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Ask Larousse Chambers.lnk
backup=c:\windows\pss\Ask Larousse Chambers.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4661:TCP"= 4661:TCP:*:Disabled:tcp
"7065:UDP"= 7065:UDP:*:Disabled:UDP Sharing
"6002:UDP"= 6002:UDP:*:Disabled:newcamd

R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe [20/08/2009 14:12 729416]
R3 slnt;Real RTL8139 PCI Fast Ethernet Adapter;c:\windows\SYSTEM32\DRIVERS\slnt.sys [10/10/2002 18:50 18004]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys --> c:\windows\system32\drivers\pavboot.sys [?]
S1 76b1135b;76b1135b;c:\windows\system32\drivers\76b1135b.sys --> c:\windows\system32\drivers\76b1135b.sys [?]
S1 SASKUTIL;SASKUTIL;\??\c:\program files\SUPERAntiSpyware\SASKUTIL.sys --> c:\program files\SUPERAntiSpyware\SASKUTIL.sys [?]
S2 ioperm;ioperm support for Cygwin driver;\??\c:\documents and settings\Administrateur\Bureau\gbox 1.9j avec gbox 2.25\gbox 1.9j avec gbox 2.25\ioperm.sys --> c:\documents and settings\Administrateur\Bureau\gbox 1.9j avec gbox 2.25\gbox 1.9j avec gbox 2.25\ioperm.sys [?]
S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys --> c:\windows\system32\DRIVERS\avfwim.sys [?]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [23/09/2005 07:01 2799808]
S4 PCPitstop Scheduling;PCPitstop Scheduling;c:\program files\PCPitstop\PCPitstopScheduleService.exe [19/08/2009 22:31 77312]

--- Other Services/Drivers In Memory ---

*Deregistered* - mchInjDrv
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
IE: Download all links with IDM - c:\program files\Internet Download Manager\IEGetAll.htm
IE: Download FLV video content with IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Download with IDM - c:\program files\Internet Download Manager\IEExt.htm
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\zeb1hii8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\IDM\idmmzcc2\components\idmmzcc.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NP_IDM1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NP_IDM2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NP_IDM3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NP_IDM4.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NP_IDM5.dll
.
.
------- File Associations -------
.
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-20 16:56
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):36,db,78,4d,df,8e,de,81,07,20,30,fd,89,22,65,c8,2d,da,fe,0b,f0,
66,63,9f,ef,da,cf,83,35,0f,92,a4,af,dc,3a,33,a1,c1,69,50,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):04,54,83,20,3f,db,89,11,9e,dc,ef,cf,9c,5f,0f,22,4c,b6,cf,b6,59,
82,1f,2f,71,4a,24,8e,a3,6b,fa,ac,36,45,fe,ba,22,fe,82,40,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{d9017151-da27-477f-b794-37201b8de726}]
@Denied: (Full) (Everyone)
"Model"=dword:00000163
"Therad"=dword:0000000f

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{fe81229d-5185-4c6b-86f5-ab618f5de8e1}]
@Denied: (Full) (Everyone)
"Model"=dword:00000135
"Therad"=dword:0000001a
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(2508)
c:\windows\system32\msi.dll
c:\windows\system32\shdoclc.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\JAVA\JRE6\BIN\JQS.EXE
c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
c:\program files\MICROSOFT SQL SERVER\MSSQL.1\MSSQL\BINN\SQLSERVR.EXE
c:\program files\Spyware Doctor\swdsvc.exe
c:\windows\system32\slserv.exe
.
**************************************************************************
.
Completion time: 2009-08-20 17:06 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-20 16:06

Pre-Run: 16 255 287 296 octets libres
Post-Run: 16 572 481 536 octets libres

250

Répondre à kameron

verni29, le 20 aoû 2009 à 22:09:49

Kameron,

Peux-tu repasser FindyKill, option 1, stp ?

A+ Pas de désinfection par MP.

Répondre à verni29

kameron, le 21 aoû 2009 à 00:08:46

Verni29
voila le rapport findykill
j'ai eu du mal à télécharger cette petite merveille (site introuvable) j'ai essayer plusieurs liens mais ça donne rien.
j'ai due changer de PC pour le télécharger (bizarre!!!).

############################## | FindyKill V6.002 |

# User : Administrateur (Administrateurs) # ORDI-XPSP2
# Update on 03/07/09 by Chiquitine29 & C_XX
# Start at: 22:51:01 | 20/08/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Celeron(R) CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira Premium Security Suite 8.0.1.27 [ Enabled | Updated ]
# FW : Avira Pare-feu[ Enabled ]8.0.1.27

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 37,26 Go (15,44 Go free) # FAT32
# D:\ # Disque fixe local # 18,88 Go (4,03 Go free) # FAT32
# E:\ # Disque fixe local # 18,36 Go (4,34 Go free) [E] # FAT32
# G:\ # Disque CD-ROM
# H:\ # Disque amovible # 499,04 Mo (499,04 Mo free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\Avira Premium Security Suite\sched.exe
C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Avira\Avira Premium Security Suite\avfwsvc.exe
C:\Program Files\Avira\Avira Premium Security Suite\avguard.exe
C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe
C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

HKCU_Main: "Local Page"="C:\\windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: avgnt="C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" /min
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: IDMan=C:\Program Files\Internet Download Manager\IDMan.exe /onboot

################## | Fichiers # Dossiers infectieux |

Présent ! C:\Qoobox\Quarantine\C\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader
Présent ! C:\Qoobox\Quarantine\C\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat.vir
Présent ! C:\Qoobox\Quarantine\C\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat.vir
Présent ! C:\Qoobox\Quarantine\C\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.79.vir

################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |

################## | All Drives ... |

Présent ! D:\Setup.exe

################## | Registre # Clés Run infectieuses |

Présent ! HKCU\Software\Local AppWizard-Generated Applications\key_generator
Présent ! HKCU\Software\Local AppWizard-Generated Applications\winupgro
Présent ! HKU\S-1-5-21-1004336348-1979792683-839522115-500\Software\Local AppWizard-Generated Applications\key_generator
Présent ! HKU\S-1-5-21-1004336348-1979792683-839522115-500\Software\Local AppWizard-Generated Applications\winupgro
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V6.002 ! |

Répondre à kameron

sherred, le 21 aoû 2009 à 07:30:42

Tu es toujours infecté
on n'utilise pas combofix directement sur ce genre d'infection sans une analyse
tu a pris le risque de bloquer completement ton pc Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Répondre à sherred

verni29, le 21 aoû 2009 à 07:46:02

! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

• Le pc va redémarrer automatiquement ...

▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

A+ Pas de désinfection par MP.

Répondre à verni29

kameron, le 21 aoû 2009 à 14:16:02

Bonjour
verni29 voila le rapport option 2:
merci beaucoup pour votre aide.

############################## | FindyKill V6.002 |

# User : Administrateur (Administrateurs) # ORDI-XPSP2
# Update on 03/07/09 by Chiquitine29 & C_XX
# Start at: 11:14:23 | 21/08/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Celeron(R) CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 37,26 Go (14,68 Go free) # FAT32
# D:\ # Disque fixe local # 18,88 Go (4,03 Go free) # FAT32
# E:\ # Disque fixe local # 18,36 Go (4,34 Go free) [E] # FAT32
# F:\ # Disque amovible # 1,88 Go (635,95 Mo free) # FAT32
# G:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |

################## | All Drives ... |

Supprimé ! D:\Setup.exe
F:\autorun.inf # -> fichier appelé : "F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe" ( Présent ! )
Supprimé ! -> F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Supprimé ! F:\winfile.jpg
Supprimé ! F:\autorun.inf
Supprimé ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé ! "F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"

################## | Autres ... |

################## | Registre # Clés Run infectieuses |

Supprimé ! HKCU\Software\Local AppWizard-Generated Applications\key_generator
Supprimé ! HKCU\Software\Local AppWizard-Generated Applications\winupgro
Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "MSN"
# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !
# HKLM\software\microsoft\security center "FirewallOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

################## | Listing des fichiers présent |

[19/04/2007 11:38|---hs----|134] - C:\AUTOEXEC.DOS
[19/04/2007 11:42|---hs----|130] - C:\CONFIG.DOS
[19/04/2007 11:32|--a------|1015] - C:\FRUNLOG.TXT
[05/02/2009 00:03|--a------|0] - C:\ddt.dnt
[18/03/2008 15:48|--a------|164] - C:\AUTOEXEC.BAT
[19/04/2007 11:39|--a------|233] - C:\SETUPXLG.TXT
[08/06/2009 21:17|-rahs----|0] - C:\khq
[19/04/2007 12:00|-r-hs----|1694] - C:\MSDOS.SYS
[||] - C:\pagefile.sys
[18/03/2008 15:48|--a------|176] - C:\CONFIG.SYS
[05/05/1999 22:22|-r-hs----|222390] - C:\IO.SYS
[19/04/2007 11:50|--a------|924] - C:\SCANDISK.LOG
[19/04/2007 11:50|-r-hs----|1676] - C:\MSDOS.BAK
[05/02/2009 00:03|--a------|0] - C:\about.px
[20/08/2009 21:18|--a------|1930] - C:\rapport.txt
[19/03/2009 15:46|--a------|246287] - C:\intro_293_VC-04.swf
[20/04/2007 05:24|---hs----|512] - C:\BOOTSECT.DOS
[24/08/2001 12:00|-rahs----|4952] - C:\Bootfont.bin
[07/05/2008 00:45|--a------|13030] - C:\PDOXUSRS.NET
[03/08/2004 20:59|-rahs----|251712] - C:\ntldr
[03/08/2004 20:38|-rahs----|47564] - C:\ntdetect.com
[09/06/2009 20:49|--a------|71680] - C:\lnvplo.exe
[23/04/2008 00:02|--a------|73498] - C:\MSDE2kLog.txt
[07/05/2008 11:58|--a------|41248736] - C:\VCD ANAS.rm
[10/10/2002 00:06|---hs----|322] - C:\boot.ini
[09/06/2009 20:00|--a------|2] - C:\773133026
[19/03/2009 16:18|--a------|257940] - C:\intro_248_VB-04.swf
[10/08/2009 18:53|--a------|3885056] - C:\db11.mdb
[20/08/2009 17:06|--a------|16420] - C:\ComboFix.txt
[20/08/2009 17:11|--a------|373] - C:\rapport_clean.txt
[21/08/2009 11:34|--a------|4488] - C:\FindyKill.txt
[29/05/2009 15:20|--a------|87460] - C:\debug.log
[10/06/2007 11:35|--a------|4600] - C:\MP4debug.log
[19/08/2009 20:15|--ahs----|402653184] - D:\pagefile.sys
[19/08/2009 20:15|--ahs----|267968512] - D:\hiberfil.sys
[08/06/2009 21:17|-rahs----|0] - D:\khq
[30/11/1998 14:55|---------|33687] - D:\README.HTM
[04/01/1999 11:29|---h-----|13925] - D:\MVB6.GID
[30/11/1998 14:56|---------|68396] - D:\README.RTF
[10/12/1998 16:39|---------|740352] - D:\MVB6.EXE
[29/01/1998 15:41|---------|0] - D:\MVB6.FTS
[23/11/1998 17:25|---------|1867] - D:\MVB6.CNT
[27/01/1999 12:37|---------|434176] - D:\MVB6.MDB
[04/06/1998 11:16|---h-----|8952] - D:\banner.bmp
[25/11/1998 12:40|---------|178564] - D:\MVB6.HLP
[29/07/2009 18:48|--a------|96266] - D:\SETUP.iwf

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# D:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# F:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

################## | Etat / Services / Informations |

# Mode sans echec : OK

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |

Corrompu : C:\WINDOWS\SYSTEM32\DllCache\register.exe
[Offset = 000000E4 - Valeur = 0x0001]

Tentative de réparation...
Sauvegarde : register.exe.REN
[Offset = 000000E4 - Nouvelle valeur = 0x4C01]
Fichier réparé avec succès.

Corrompu : C:\WINDOWS\SYSTEM32\DllCache\sysinfo.exe
[Offset = 000000E4 - Valeur = 0x0001]

Tentative de réparation...
Sauvegarde : sysinfo.exe.REN
[Offset = 000000E4 - Nouvelle valeur = 0x4C01]
Fichier réparé avec succès.

Corrompu : C:\Program Files\Drive Rescue\rescue.exe
[Offset = 00000104 - Valeur = 0x0001]

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V6.002 ! |

Répondre à kameron

verni29, le 21 aoû 2009 à 14:22:27

Tu seras obligé de réinstaller Drive rescue. Le logiciel a été infecté par le bagle.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe

# Double-clique sur " RSIT.exe " pour le lancer .
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

A+ Pas de désinfection par MP.

Répondre à verni29

kameron, le 21 aoû 2009 à 14:48:43

Info.txt logfile of random's system information tool 1.06 2009-08-21 13:40:19

======Uninstall list======

-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
Assistant Publication de sites Web Microsoft 1.53-->RunDll32 ADVPACK.DLL,LaunchINFSection C:\WINDOWS\INF\wpie3x86.inf,WebPostUninstall
C-Media 3D Audio-->C:\WINDOWS\CMIUnInstall.exe
Connection Booster 4.0.0.0-->"C:\Program Files\Connection Booster\unins000.exe"
Crawler Toolbar with Web Security Guard-->C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe uninst
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe /X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}
FindyKill-->C:\FindyKill\Uninstal.exe
HijackThis 2.0.2-->"C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Intel Application Accelerator-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9984DF60-1C5B-11D3-ACA1-908A4FC10801}\Setup.exe" -INTELUNINST
ISTool 5.3.0.0-->"C:\Program Files\ISTool\unins000.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
K-Lite Codec Pack 3.8.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Le virus du SIDA version 1.05a-->"C:\Program Files\VIH1\unins000.exe"
Mai 2005-->"C:\Program Files\Microsoft Visual FoxPro 9\unins000.exe"
Mai 2005-->"C:\Program Files\Microsoft Visual FoxPro 9\unins001.exe"
Mai 2005-->"C:\Program Files\Microsoft Visual FoxPro 9\unins002.exe"
MediaCoder 0.6.0-->C:\Program Files\MediaCoder\uninst.exe
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Device Emulator version 1.0 - ENU-->MsiExec.exe /X{78B75C6D-E53C-424C-BF83-4B63BD4A6682}
Microsoft Document Explorer 2005-->C:\Program Files\Fichiers communs\Microsoft Shared\Help 8\Microsoft Document Explorer 2005\install.exe
Microsoft Document Explorer 2005-->MsiExec.exe /X{44D4AF75-6870-41F5-9181-662EA05507E1}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft SOAP Toolkit 3.0-->MsiExec.exe /I{BCB4C18A-ACA6-4383-8688-E19933A705DD}
Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)-->MsiExec.exe /I{480DBB60-F0B6-45F2-B26F-1A2E11197791}
Microsoft SQL Server 2005 Mobile [ENU] Developer Tools-->MsiExec.exe /X{1389C6A4-4965-4AEC-9175-08B54A10FA48}
Microsoft SQL Server 2005 Tools Express Edition-->MsiExec.exe /I{3F59A7E0-BC01-4435-9E93-C7D7015C21DA}
Microsoft SQL Server 2005-->"c:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{A3DAD26A-8CEA-44C2-8077-CE53239A56B3}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{335EE0D1-CBF2-499A-8830-7DA4ADDD60F8}
Microsoft Visual Basic 6.0 ةdition Entreprise (Français)-->"C:\Program Files\Microsoft Visual Studio\VB98\Setup\1036\Setup.exe"
Microsoft Visual FoxPro 9.0 Professional - English-->C:\Program Files\Microsoft Visual FoxPro 9\setup\Visual FoxPro 9.0 Professional - English\setup.exe /MaintMode
Microsoft Visual J# 2.0 Redistributable Package-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft Visual J# 2.0 Redistributable Package\install.exe
Microsoft Visual Studio 2005 Professional Edition - ENU-->c:\Program Files\Microsoft Visual Studio 8\Microsoft Visual Studio 2005 Professional Edition - ENU\setup.exe
Mozilla Firefox (3.0.13)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSN Messenger 7.5-->MsiExec.exe /I{CEB3A11A-03EA-11DA-BFBD-00065BBDC0B5}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
My Program 1.5-->"C:\Program Files\My Program\unins000.exe"
Nero 7.2.3.2-->"C:\Program Files\Nero\unins000.exe"
Package de pilotes Windows - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\shpacm_18A9B92ED8DEDC602E49E767FA4BE98A30525207\shpacm.inf
Package de pilotes Windows - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\shpusb_558D416BCEB984F35885804D3E1A9C3773F1B17C\shpusb.inf
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
PC Pitstop Exterminate2 2.0-->"C:\Program Files\PCPitstop\Exterminate2\unins000.exe"
Project1 (C:\Program Files\Project1\)-->C:\WINDOWS\st6unst.exe -n "C:\Program Files\Project1\ST6UNST.002"
Project1-->C:\WINDOWS\st6unst.exe -n "C:\Program Files\Project1\ST6UNST.001"
Qcm Les Virus-->C:\Program Files\Les Virus\Uninstal.exe
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK GbE & FE Ethernet PCI NIC Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}\setup.exe" -l0x40c -removeonly
Recover My Files-->"C:\Program Files\GetData\Recover My Files\unins000.exe"
SAMSUNG Mobile Composite Device Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\6\SSBCUninstall.exe
SAMSUNG Mobile Modem Driver Set-->C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
Samsung Mobile phone USB driver Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung PC Studio 3-->"C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x040c -removeonly
Serveur APE VSEE (Français)-->"C:\Program Files\Microsoft Visual Studio\Common\Tools\APE\SvrSetup\1036\Setup.exe"
Serveur Visual SourceSafe (Français)-->"C:\Program Files\Microsoft Visual Studio\Common\VSS\svrsetup\win32\1036\Setup.exe"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spyware Terminator-->"C:\Program Files\Spyware Terminator\unins000.exe"
Subtitle Workshop 2.51-->"C:\Program Files\URUSoft\Subtitle Workshop\uninstall.exe"
Viewpoint Media Player (Remove Only)-->C:\Program Files\Viewpoint\Viewpoint Media Player\mtsAxInstaller.exe -u
VLC media player 0.9.9-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Welch's Project Reference 6.6.8-->"C:\Program Files\Welch's Project Reference\unins000.exe"
WinAVI Video Converter 7.7-->"C:\Program Files\WinAVI Video Converter\unins000.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"

=====HijackThis Backups=====

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe [2009-08-20]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie [2009-08-20]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr [2009-08-20]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.192.148.68:3128 [2009-08-20]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens [2009-08-20]
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-08-20]
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll [2009-08-20]
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-08-20]
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-20]
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd [2009-08-20]
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 [2009-08-20]
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC [2009-08-20]
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC [2009-08-20]
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName [2009-08-20]
O4 - HKLM\..\Run: [HTT] \"C:\HTT-HumaxGbox\HTT-Startup.bat\ [2009-08-20]
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" [2009-08-20]
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot [2009-08-20]
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 [2009-08-20]
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll [2009-08-20]
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll [2009-08-20]
O16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate2/pcpitstopAntiVirus.dll [2009-08-20]
O17 - HKLM\System\CCS\Services\Tcpip\..\{5064793F-C4DA-4D8B-9E13-B71641FDACE7}: NameServer = 208.67.222.222 193.55.10.102 [2009-08-20]
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe [2009-08-20]
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\ [2009-08-20]
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg [2009-08-20]

======Security center information======

AV: Spyware Terminator

======System event log======

Computer Name: ORDI-XPSP2
Event Code: 7000
Message: Le service Service de transfert intelligent en arrière-plan n'a pas pu démarrer en raison de l'erreur :
Le fichier spécifié est introuvable.

Record Number: 8833
Source Name: Service Control Manager
Time Written: 20090721214319.000000+060
Event Type: error
User:

Computer Name: ORDI-XPSP2
Event Code: 31008
Message: L'agent proxy DNS n'a pas pu lire la liste locale des serveurs de résolution
de noms à partir du registre.
La donnée est le code de l'erreur.

Record Number: 8827
Source Name: ipnathlp
Time Written: 20090721201245.000000+060
Event Type: error
User:

Computer Name: ORDI-XPSP2
Event Code: 32003
Message: Le traducteur d'adresses réseau (NAT) n'a pas pu demander une opération
du module de traduction en mode noyau.
Ceci peut indiquer une configuration incorrecte, des ressources insuffisantes
ou une erreur interne.
La donnée est le code de l'erreur.

Record Number: 8825
Source Name: ipnathlp
Time Written: 20090721201034.000000+060
Event Type: error
User:

Computer Name: ORDI-XPSP2
Event Code: 7000
Message: Le service Service de transfert intelligent en arrière-plan n'a pas pu démarrer en raison de l'erreur :
Le fichier spécifié est introuvable.

Record Number: 8821
Source Name: Service Control Manager
Time Written: 20090721195744.000000+060
Event Type: error
User:

Computer Name: ORDI-XPSP2
Event Code: 10005
Message: DCOM a reçu l'erreur "%2" lors de la mise en route du service BITS avec les arguments ""
pour démarrer le serveur :
{4991D34B-80A1-4291-83B6-3328366B9097}

Record Number: 8820
Source Name: DCOM
Time Written: 20090721195742.000000+060
Event Type: error
User: ORDI-XPSP2\Administrateur

=====Application event log=====

Computer Name: ORDI-XPSP2
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue.

Record Number: 8124
Source Name: Userenv
Time Written: 20090629224535.000000+060
Event Type: error
User: AUTORITE NT\SYSTEM

Computer Name: ORDI-XPSP2
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue.

Record Number: 8123
Source Name: Userenv
Time Written: 20090629205934.000000+060
Event Type: error
User: AUTORITE NT\SYSTEM

Computer Name: ORDI-XPSP2
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue.

Record Number: 8122
Source Name: Userenv
Time Written: 20090629205934.000000+060
Event Type: error
User: AUTORITE NT\SYSTEM

Computer Name: ORDI-XPSP2
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue.

Record Number: 8118
Source Name: Userenv
Time Written: 20090629191133.000000+060
Event Type: error
User: AUTORITE NT\SYSTEM

Computer Name: ORDI-XPSP2
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue.

Record Number: 8117
Source Name: Userenv
Time Written: 20090629191133.000000+060
Event Type: error
User: AUTORITE NT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Samsung\Samsung PC Studio 3;c:\Program Files\Microsoft SQL Server\90\Tools\binn
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"VS80COMNTOOLS"=c:\Program Files\Microsoft Visual Studio 8\Common7\Tools\

-----------------EOF-----------------

Répondre à kameron

kameron, le 21 aoû 2009 à 14:50:26

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-08-21 13:39:40
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 15 GB (39%) free of 38 GB
Total RAM: 255 MB (22% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:10, on 21/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Documents and Settings\Administrateur\Bureau\Administrateur.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.192.148.68:3128
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{5064793F-C4DA-4D8B-9E13-B71641FDACE7}: NameServer = 208.67.222.222 193.55.10.102
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
End of file - 4022 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0055C089-8582-441B-A0BF-17B458C2A3A8}]
IDMIEHlprObj Class - C:\Program Files\Internet Download Manager\IDMIECC.dll [2008-02-18 99760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
C:\PROGRA~1\Crawler\Toolbar\ctbr.dll [2009-08-10 1218560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-11-03 370296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{4B3803EA-5230-4DC3-A7FC-33638F3D3542} - Barre d'outils &Crawler - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll [2009-08-10 1218560]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SpywareTerminator"=C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe [2009-08-21 2171904]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360]
"IDMan"=C:\Program Files\Internet Download Manager\IDMan.exe [2007-12-21 931760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
C:\PROGRA~1\Adobe\ACROBA~3.0\Reader\READER~1.EXE [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Ask Larousse Chambers.lnk]
C:\PROGRA~1\LAROUS~1\LCAD\bin\HIAKSM~1.EXE [1999-10-21 36864]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
C:\PROGRA~1\WinZip\WZQKPICK.EXE [2006-11-21 389120]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"ClearDocsOnExit"=64
"NoSMHelp"=1
"MemCheckBoxInRunDlg"=1
"NoSMBalloonTip"=1
"NoDesktopCleanupWizard"=1
"NoWelcomeScreen"=1
"NoAutoUpdate"=1
"NoDriveAutoRun"=67108863

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDriveAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"="C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe:*:Enabled:Crawler Spyware Terminator"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

======List of files/folders created in the last 1 months======

2009-08-21 13:39:40 ----D---- C:\rsit
2009-08-21 11:34:40 ----RASHD---- C:\autorun.inf
2009-08-21 11:34:40 ----A---- C:\UsbFix.txt
2009-08-21 11:14:06 ----A---- C:\FindyKill.txt
2009-08-21 11:10:58 ----RSH---- C:\WINDOWS\game.exe
2009-08-21 01:11:45 ----D---- C:\Program Files\WinClamAVShield
2009-08-21 00:47:57 ----D---- C:\Program Files\Crawler
2009-08-21 00:47:48 ----D---- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator
2009-08-21 00:47:35 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spyware Terminator
2009-08-21 00:47:32 ----D---- C:\Program Files\Spyware Terminator
2009-08-21 00:36:30 ----D---- C:\Program Files\Connection Booster
2009-08-20 22:31:47 ----D---- C:\FindyKill
2009-08-20 21:55:09 ----D---- C:\DriveKey
2009-08-20 21:09:22 ----A---- C:\WINDOWS\system32\tmp.txt
2009-08-20 21:09:12 ----A---- C:\rapport.txt
2009-08-20 20:14:33 ----SHD---- C:\Recycled
2009-08-20 17:11:23 ----A---- C:\rapport_clean.txt
2009-08-20 17:06:36 ----A---- C:\ComboFix.txt
2009-08-20 16:43:02 ----A---- C:\WINDOWS\zip.exe
2009-08-20 16:43:02 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-08-20 16:43:02 ----A---- C:\WINDOWS\SWSC.exe
2009-08-20 16:43:02 ----A---- C:\WINDOWS\SWREG.exe
2009-08-20 16:43:02 ----A---- C:\WINDOWS\sed.exe
2009-08-20 16:43:02 ----A---- C:\WINDOWS\PEV.exe
2009-08-20 16:43:02 ----A---- C:\WINDOWS\NIRCMD.exe
2009-08-20 16:43:02 ----A---- C:\WINDOWS\grep.exe
2009-08-20 16:42:54 ----D---- C:\WINDOWS\ERDNT
2009-08-20 16:42:46 ----D---- C:\Qoobox
2009-08-20 14:12:15 ----D---- C:\Program Files\Spyware Doctor
2009-08-20 14:12:03 ----A---- C:\WINDOWS\system32\msvcr80.dll
2009-08-19 22:44:16 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\PCPitstop
2009-08-19 22:31:46 ----D---- C:\Program Files\PCPitstop
2009-08-19 21:41:58 ----D---- C:\Program Files\Panda Security
2009-08-19 21:19:23 ----D---- C:\kav
2009-08-19 21:08:56 ----SHD---- C:\Config.Msi
2009-08-19 20:28:45 ----D---- C:\telechqrger a partir du D
2009-08-16 21:14:49 ----D---- C:\Program Files\Microsoft Visual FoxPro 9
2009-08-13 19:35:51 ----D---- C:\Program Files\Welch's Project Reference
2009-08-12 23:49:42 ----D---- C:\Documents and Settings\Administrateur\Application Data\XPSP2
2009-08-12 01:37:07 ----D---- C:\Program Files\Microsoft Device Emulator
2009-08-12 01:36:43 ----D---- C:\Program Files\Microsoft SQL Server 2005 Mobile Edition
2009-08-12 00:59:06 ----D---- C:\WINDOWS\Symbols
2009-08-12 00:59:06 ----D---- C:\Program Files\CE Remote Tools
2009-08-12 00:59:06 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\PreEmptive Solutions
2009-08-12 00:59:05 ----D---- C:\Program Files\Microsoft Visual Studio 8
2009-08-11 00:52:50 ----A---- C:\WINDOWS\comcat.dll
2009-08-10 23:55:00 ----A---- C:\WINDOWS\system32\RDOCURS.DLL
2009-08-10 23:55:00 ----A---- C:\WINDOWS\system32\MSRDO20.DLL
2009-08-10 23:41:00 ----A---- C:\WINDOWS\system32\msjet35.dll
2009-08-10 23:39:57 ----D---- C:\Program Files\Project1
2009-08-10 23:37:30 ----D---- C:\Program Files\ISTool
2009-08-10 23:37:30 ----D---- C:\Documents and Settings\Administrateur\Application Data\ISTool
2009-08-10 23:26:04 ----D---- C:\GIRALDA
2009-08-10 23:02:58 ----D---- C:\Program Files\My Program
2009-08-10 22:58:12 ----D---- C:\my programme
2009-08-10 02:09:10 ----A---- C:\WINDOWS\imagedit.ini
2009-08-10 00:56:54 ----D---- C:\Documents and Settings\Administrateur\Application Data\GetRightToGo
2009-08-04 03:19:24 ----D---- C:\Program Files\Microsoft SQL Server
2009-07-31 12:58:56 ----RA---- C:\WINDOWS\system32\WPWIZDLL.DLL
2009-07-31 12:58:56 ----RA---- C:\WINDOWS\system32\WEBPOST.DLL
2009-07-31 12:58:56 ----RA---- C:\WINDOWS\system32\POSTWPP.DLL
2009-07-31 12:58:56 ----RA---- C:\WINDOWS\system32\PIPARSE.DLL
2009-07-31 12:58:56 ----RA---- C:\WINDOWS\system32\FTPWPP.DLL
2009-07-31 12:58:56 ----RA---- C:\WINDOWS\system32\FPWPP.DLL
2009-07-31 12:58:56 ----RA---- C:\WINDOWS\system32\CRSWPP.DLL
2009-07-31 12:34:18 ----A---- C:\WINDOWS\unin040c.exe
2009-07-30 19:56:51 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft Help
2009-07-29 19:33:01 ----D---- C:\Program Files\Microsoft Visual Studio
2009-07-27 22:39:12 ----D---- C:\Program Files\GMCP (LRS)
2009-07-27 22:37:55 ----N---- C:\WINDOWS\Setup1.exe
2009-07-27 22:37:41 ----N---- C:\WINDOWS\ST6UNST.EXE
2009-07-27 21:11:28 ----SHD---- C:\FOUND.018
2009-07-24 17:58:27 ----D---- C:\Documents and Settings\Administrateur\Application Data\Help
2009-07-24 13:48:49 ----D---- C:\Program Files\URUSoft

======List of files/folders modified in the last 1 months======

2009-08-21 13:03:50 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-21 12:25:30 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-08-20 16:58:22 ----A---- C:\WINDOWS\system.ini
2009-08-19 01:01:42 ----A---- C:\WINDOWS\vbaddin.ini
2009-08-13 00:23:32 ----A---- C:\WINDOWS\ODBC.INI
2009-08-11 01:38:28 ----A---- C:\WINDOWS\ODBCINST.INI
2009-08-02 18:39:46 ----A---- C:\WINDOWS\cdplayer.ini
2009-07-31 12:59:06 ----A---- C:\WINDOWS\vb.ini
2009-07-26 18:05:24 ----A---- C:\WINDOWS\NeroDigital.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-03 40320]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys []
R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2006-07-24 5632]
R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2002-11-01 451599]
R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-24 9600]
R3 MODEMCSA;Périphérique de filtrage de flux Unimodem; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-24 12288]
R3 Mtlmnt5;Mtlmnt5; C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys [2004-11-01 229720]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-02-26 81408]
R3 slnt;Real RTL8139 PCI Fast Ethernet Adapter; C:\WINDOWS\system32\DRIVERS\slnt.sys [2003-11-20 18004]
R3 Slntamr;Generic AMR_PCI Driver; C:\WINDOWS\system32\DRIVERS\slntamr.sys [2004-11-01 653960]
R3 SlWdmSup;SlWdmSup; C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys [2004-11-01 13216]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbstor;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S1 76b1135b;76b1135b; C:\WINDOWS\System32\drivers\76b1135b.sys []
S1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys []
S2 ioperm;ioperm support for Cygwin driver; \??\C:\Documents and Settings\Administrateur\Bureau\gbox 1.9j avec gbox 2.25\gbox 1.9j avec gbox 2.25\ioperm.sys []
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 Mtlstrm;Mtlstrm; C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys [2004-11-01 1396048]
S3 nm;Pilote du Moniteur réseau; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2004-08-03 40320]
S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 SlNtHal;SlNtHal; C:\WINDOWS\system32\DRIVERS\Slnthal.sys [2004-11-01 100176]
S3 SONYPVU1;Pilote de filtrage Sony USB (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\system32\DRIVERS\sscdbus.sys [2007-07-03 80552]
S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys [2007-07-03 11944]
S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\WINDOWS\system32\DRIVERS\sscdmdm.sys [2007-07-03 106792]
S4 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-24 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-02-01 152984]
R2 MDM;Machine Debug Manager; C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 MSSQL$SQLEXPRESS;SQL Server (SQLEXPRESS); c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2005-10-14 28768528]
R2 SLService;SmartLinkService; C:\WINDOWS\system32\slserv.exe [2004-11-01 57344]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Program Files\Spyware Terminator\sp_rsser.exe [2009-08-21 487424]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Macromedia Licensing Service;Macromedia Licensing Service; C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe [2009-03-19 68096]
S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Program Files\WinPcap\rpcapd.exe -d -f C:\Program Files\WinPcap\rpcapd.ini []
S3 SQLWriter;Enregistreur VSS SQL Server; c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2005-10-14 87768]
S4 MSSQLServerADHelper;SQL Server Active Directory Helper; c:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]
S4 msvsmon80;Visual Studio 2005 Remote Debugger; c:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-09-23 2799808]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 PCPitstop Scheduling;PCPitstop Scheduling; C:\Program Files\PCPitstop\PCPitstopScheduleService.exe [2008-10-21 77312]
S4 SQLBrowser;SQL Server Browser; c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2005-10-14 239320]

-----------------EOF-----------------

Répondre à kameron

verni29, le 21 aoû 2009 à 15:03:10

1/ Désinstalle ComboFix.
démarrer --> exécuter --> tape : ComboFix /u

Vérifie que le dossier C:\Qoobox est bien supprimé.

2/ En installant SpywareTerminator, tu as installé une barre d'outil qu'il faut supprimer.

Télécharge Toolbar-S&D sur ton Bureau :
http://eric.71.mespages.googlepages.com/ToolBarSD.exe

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique sur le raccourci de Toolbar-S&D.
* Sélectionne la langue puis valide.
* Choisis maintenant l'option 2 ( Suppression ).
* Copie/colle le contenu du rapport qui va s’afficher.

Note : Si tu ne le trouves pas, il est situé à C:\TB.txt .

A+ Pas de désinfection par MP.

Répondre à verni29

sherred, le 21 aoû 2009 à 15:05:16

Son antivirus fonctionne ? Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Répondre à sherred

kameron, le 21 aoû 2009 à 15:38:31

Voila le rapport
merci verni29 les pages s'affichent plus rapidement maintenant
j'ai du désactivé spyware terminator pour désinstaller combofix
juste une question: je pensais qu'on pouvait désactiver a tout moment les barre d'outil avec mozila firefox :outil-->modules complementaire ?
Merci beaucoup pour votre aide

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.00GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:37 Go (Free:15 Go)
D:\ (Local Disk) - FAT32 - Total:18 Go (Free:4 Go)
E:\ (Local Disk) - FAT32 - Total:18 Go (Free:4 Go)
F:\ (USB) - FAT32 - Total:1926 Mo (Free:0 Go)
G:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 21/08/2009|14:28 )
C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\Crawler\Toolbar
Supprime! - C:\Program Files\Crawler\Download
Supprime! - C:\DOCUME~1\ALLUSE~1.WIN\MENUDگ~1\PROGRA~1\Barre d'outils Crawler
Supprime! - C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
Supprime! - C:\Program Files\Crawler
Supprime! - C:\Program Files\P2P_Torrent

-----------\\ Recherche de Fichiers / Dossiers ...

\...\{bc4be15d-6a34-4356-9e97-79e43da32b1d} - (p2p_torrent)

-----------\\ Extensions

(Nabil) - {991A772A-BA13-4c1d-A9EF-F897F31DEC7D} => megaupload
(Nabil) - {bc4be15d-6a34-4356-9e97-79e43da32b1d} => p2p_torrent

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Local Page"="C:\\windows\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"="C:\\windows\\system32\\blank.htm"
"Start Page"="http://www.msn.com/"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\Bureau\les dossiers\crack iso
C:\DOCUME~1\ADMINI~1\Bureau\les dossiers\crack iso\file_id.diz
C:\DOCUME~1\ADMINI~1\Bureau\les dossiers\crack iso\keygen.zip
C:\DOCUME~1\ADMINI~1\Bureau\les dossiers\crack iso\ror.nfo
C:\DOCUME~1\ADMINI~1\Bureau\les dossiers\crack iso\keygen.class
C:\DOCUME~1\ADMINI~1\Bureau\les dossiers\crack iso\f.class
C:\DOCUME~1\ADMINI~1\Bureau\les dossiers\crack iso\e.class
C:\DOCUME~1\ADMINI~1\Application Data\IDM\DwnlData\Administrateur\Mycrack_1524
C:\DOCUME~1\ADMINI~1\Application Data\IDM\DwnlData\Administrateur\Keygen.SUPERAntiSpyware.4.15_1582
C:\DOCUME~1\ADMINI~1\Application Data\IDM\DwnlData\Administrateur\Mycrack_1524\Mycrack_1524.log
C:\DOCUME~1\ADMINI~1\Application Data\IDM\DwnlData\Administrateur\Keygen.SUPERAntiSpyware.4.15_1582\Keygen_1582.log

1 - "C:\ToolBar SD\TB_1.txt" - 21/08/2009|14:30 - Option : [2]

-----------\\ Fin du rapport a 14:30:57,35

Répondre à kameron

verni29, le 21 aoû 2009 à 15:27:22

Merci sherred pour la remarque.

Kameron,

Tu feras les manips suivantes après ToolBarS&D.

Pour antivir, tu vas devoir désinstaller puis réinstaller l'antivirus.

1/ Désinstalle Antivir.

* Panneau de configuration --> Ajout supp de programmes --> désinstalle Antivir
* télécharge Antivir registry cleaner http://dlpro.antivir.com/down/windows/registrycleaner_en.zip et lance le.

2/ Télécharge Antivir.
http://www.free-av.com/fr/products/1/avira_antivir_personal__free_antivirus.html

Suis le tuto pour installer Antivir :
http://www.malekal.com/tutorial_antivir.php

* Mets à jour Antivir et lance un scan complet
* Pour cela, clique sur l'onglet Protection Locale puis Contrôler
* Choisis les éléments à scanner ( disques durs locaux ).
* Lance le scan en cliquant sur la loupe.

A+ Pas de désinfection par MP.

Répondre à verni29

kameron, le 21 aoû 2009 à 18:22:58

Verni29
j'ai fait passer le cleaner il me donne deux clés de registe (j'ai pas encore supprimer).
l'antivir a detecter 9 virus que j'ai eliminer.
mais dans le rapport il dit qu'il na pas pu acceder a un fichier
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.

Répondre à kameron

kameron, le 21 aoû 2009 à 18:32:40

Re bonjour
j'ai maintenant un petit problème
lorsque je veux enregistrer un document et je sélectionne bureau il me sort ce message
c:\ Document and seettings\networkservice.AUTORITE NT\Bureau fait reference à un emplacement non disponible

Répondre à kameron

gen-hackman, le 21 aoû 2009 à 15:30:56

Salut vernis y avait un bail

salut sherred

je soupconne une infection usb aussi sur ces rapports :) ♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

verni29, le 21 aoû 2009 à 15:45:05

Salut, gen-hackman

L'infection n'est pas visible dans le RSIT.
Je lui demanderais tout de même de vérifier.

A propos, félicitations pour ton Fix.
Il détecte quelle infections ?

@+ Pas de désinfection par MP.

Répondre à verni29

60 réponses 12 3 Suivant

Posez votre question Répondre