Sujet Précédent Sujet Suivant

Service.exe 1073741819

Fermé
Mr_Domino - 6 nov. 2009 à 08:32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 10 nov. 2009 à 17:51
Bonjour,

Le titre de ce message d'erreur ne doit pas surprendre, j'ai déjà fouillé les forums à la recherche de réponse, mais aucun post n'a résolu le pb sur mon pc.
j'ai donc ce message Service.exe a crashé - code d'erreur 1073741819 et mon pc reboot 1min après.

J'ai installé hijack this et RSIT, ainsi que GMER...
Voici les résultats obtenus :

Quelqu'un a-t-il une idée ?
Pour info, j'ai déjà essayé de nettoyer avec CC Cleaner, Malware antibytes et spybot, sans résultat.

Merci d'avance

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit quick scan 2009-11-06 08:23:26
Windows 5.1.2600 Service Pack 2
Running: 6qz0hdj6.exe; Driver: C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\fgpyqfod.sys


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs [8941BE37] Ntfs.sys[.reloc]
Device \FileSystem\Ntfs \Ntfs [893F8EE4] Ntfs.sys[.reloc]
Device \Driver\Tcpip \Device\Ip 87873C3C
Device \Driver\Tcpip \Device\Tcp 87873C3C
Device \Driver\Tcpip \Device\Udp 87873C3C
Device \Driver\Tcpip \Device\RawIp 87873C3C

---- Threads - GMER 1.0.15 ----

Thread System [4:824] 8787582E
Thread System [4:828] 8787582E
Thread System [4:832] 8787582E
Thread System [4:836] 8787582E
Thread System [4:840] 8787582E

---- EOF - GMER 1.0.15 ----

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7646-A70000000000}
Ant Renamer-->"C:\Program Files\Ant Renamer\unins000.exe"
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Broadcom Gigabit Integrated Controller-->MsiExec.exe /X{B7F54262-AB66-44B3-88BF-9FC69941B643}
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
dBpoweramp DSP Effects-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DSP Effects.dat
dBpoweramp Music Converter-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EPSON Smart Panel-->C:\Program Files\EPSON\Smart Panel\SPUninst.exe
EPSON TWAIN 5-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9A3EABC0-CA06-11D4-BF77-00104B130C19}\setup.exe" UNINSTALL
Firebird SQL Server - MAGIX Edition (F)-->C:\Program Files\Common\Database\uninstall.exe
Google Earth-->MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Intel PROSet Wireless-->Intel PROSet Wireless
J2SE Runtime Environment 5.0 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150010}
Launch Manager-->C:\WINDOWS\UnInst32.exe LManager.UNI
Logitech SetPoint-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe" -l0x40c -removeonly
MAGIX Video deluxe 2007 PLUS (F)-->C:\Program Files\MAGIX VDP 2007\instslct.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Save as PDF or XPS Add-in for 2007 Microsoft Office programs-->MsiExec.exe /X{90120000-00B2-0409-0000-0000000FF1CE}
Mozilla Firefox (3.0.15)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Navirad9600v1-->"C:\Program Files\Navirad\unins000.exe"
Nero 7 Ultra Edition-->MsiExec.exe /I{4908C75E-E5E2-43F7-B1DF-023CBA831036}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
PhotoFiltre Studio-->"C:\Program Files\PhotoFiltre Studio\Uninst.exe"
PL-2303 USB-to-Serial-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}\Setup.exe" -l0x9 Installed
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Satsuki Decoder Pack 4000-->C:\Program Files\Satsuki Decoder Pack\Uninstall.exe
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
SuperCopier2-->"C:\Program Files\SuperCopier2\SC2Uninst.exe"
Texas Instruments PCIxx21/x515 drivers.-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{FF6F491D-BC82-4DCC-A72F-1824957C6466} /l1036
The Panorama Factory V5.2 build 2748 Legacy Edition-->C:\PROGRA~1\THEPAN~1\UNWISE.EXE C:\PROGRA~1\THEPAN~1\INSTALL.LOG
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}

=====HijackThis Backups=====

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL [2009-10-21]
O4 - HKLM\..\Run: [LOVEHATE] wmsys32.exe [2009-10-21]
O4 - HKLM\..\Run: [Windows Virtual Manager] vmnat.exe [2009-10-21]
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE [2009-10-21]
O4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\Mr_Domino\ms18_word.exe [2009-10-21]

======System event log======

Computer Name: XPSP2-17FCF3F0F
Event Code: 9
Message: Broadcom NetLink (TM) Gigabit Ethernet: Network controller configured for 100Mb full-duplex link.

Record Number: 5
Source Name: b57w2k
Time Written: 20091101181815.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 15
Message: Broadcom NetLink (TM) Gigabit Ethernet: Driver initialized successfully.

Record Number: 4
Source Name: b57w2k
Time Written: 20091101181815.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 7036
Message: Le service est entré dans l'état : \DEVICE\{84537977-2B6E-43B0-87FF-6C23601B24DA}.

Record Number: 3
Source Name: NETw5x32
Time Written: 20091101181815.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20091101181805.000000+060
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20091101181805.000000+060
Event Type: Informations
User:

=====Application event log=====

Computer Name: XPSP2-17FCF3F0F
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090618201245.000000+120
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090618201240.000000+120
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090618201150.000000+120
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090618201138.000000+120
Event Type: Informations
User:

Computer Name: XPSP2-17FCF3F0F
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090618201130.000000+120
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0e08
"NUMBER_OF_PROCESSORS"=2
"TEMP"=%USERPROFILE%\Local Settings\Temp
"TMP"=%USERPROFILE%\Local Settings\Temp
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

-----------------EOF-----------------

28 réponses

  • 1
  • 2
Réponse 1 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 nov. 2009 à 08:53
Salut,


très infecté !!!! ..... Y a du boulot ! ....


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



commence par ceci dans l'ordre :



1- Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .

B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif .

Conseil : laisse ces paramètres par la suite ...


=======================

2- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .


==============================

3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html




1
Réponse 2 / 28
Mr_Domino
6 nov. 2009 à 08:36
Correction, je viens de refaire un test avec GMER :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Mr_Domino at 2009-11-06 08:24:32
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 34 GB (36%) free of 95 GB
Total RAM: 2046 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:24:36, on 06/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Mr_Domino\Mes documents\DL\Temporaire\6qz0hdj6.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Mr_Domino\Mes documents\DL\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Mr_Domino.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\winIogon.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [NetworkService] C:\Documents and Settings\NetworkService\NetworkService.exe /i (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [NetworkService] C:\Documents and Settings\NetworkService\NetworkService.exe /i (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
0
Réponse 3 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 nov. 2009 à 09:03
re,


hier tu as utilisé Smithfraudfix , Toolsbar S&D et SAS !.... merci de me dire qui de l' a demandé, et de me faire parvenir le lien du topic en question ! .....


0
Mr_Domino
6 nov. 2009 à 18:16
Hello. Déjà, merci de m'aider.

Alors :
- Le démarrage automatique était déjà désactivé.
- ok pour spybots, c'est fait
- USB FIX :
je ne peux pas brancher tous mes périphs externes (3 dde, 4 clés utilisées depuis l'infection supposée) car j'ai qu'un seul port USB qui marche (merci Acer).
Du coup j'ai lancé un scan avec une seule clé. Me redire si tu veux que je le fasse avec chaque périphérique externe (voir ci dessous)
- Pour Smithfraudfix , Toolsbar S&D et SAS, je ne sais pas où je l'ai récupéré, désolé.


############################## | UsbFix V6.049 |

User : Mr_Domino () # XPSP2-17FCF3F0F
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:01:49 | 06/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2400 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 93,15 Go (33,42 Go free) # NTFS
D:\ -> Disque fixe local # 93,16 Go (24,47 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,53 Go (6,8 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 880
C:\WINDOWS\system32\csrss.exe 932
C:\WINDOWS\system32\winlogon.exe 964
C:\WINDOWS\system32\services.exe 1008
C:\WINDOWS\system32\lsass.exe 1020
C:\WINDOWS\system32\svchost.exe 1196
C:\WINDOWS\system32\svchost.exe 1260
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1528
C:\WINDOWS\system32\svchost.exe 1576
C:\WINDOWS\system32\spoolsv.exe 204
C:\WINDOWS\Explorer.EXE 560
C:\WINDOWS\system32\RUNDLL32.EXE 668
C:\WINDOWS\RTHDCPL.EXE 676
C:\PROGRA~1\LAUNCH~1\LManager.exe 712
C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe 720
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe 728
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe 736
C:\Program Files\Winamp\winampa.exe 752
C:\Program Files\SuperCopier2\SuperCopier2.exe 768
C:\WINDOWS\system32\ctfmon.exe 868
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 1552
C:\Program Files\Logitech\SetPoint\SetPoint.exe 1560
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE 1584
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 1548
C:\WINDOWS\system32\nvsvc32.exe 1820
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 1920
C:\WINDOWS\system32\svchost.exe 1620
C:\WINDOWS\system32\wscntfy.exe 2108
C:\WINDOWS\system32\wbem\unsecapp.exe 2280
C:\WINDOWS\System32\alg.exe 2296
C:\WINDOWS\system32\svchost.exe 2384
C:\WINDOWS\system32\wuauclt.exe 3916
C:\WINDOWS\System32\svchost.exe 2584
C:\WINDOWS\system32\wbem\wmiprvse.exe 2400

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\logfile32.txt
C:\WINDOWS\nigzss.txt
C:\WINDOWS\system32\00.scr
C:\WINDOWS\system32\24.scr
C:\WINDOWS\system32\50.scr
C:\WINDOWS\system32\65.scr
C:\WINDOWS\system32\82.scr
C:\WINDOWS\system32\87.scr
C:\WINDOWS\system32\drivers\sysdrv32.sys
F:\autorun.inf
F:\autorun.inf -> fichier appelé : "F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe" ( Présent ! )
F:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
F:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
F:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{46bce460-5c35-11de-8888-d89f1895b2b9}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:
Shell\Open\command =F:\resycled\boot.com f:

HKCU\..\..\Explorer\MountPoints2\{4c1b405d-9b1c-11de-88f5-0016d34189b3}
Shell\AutoRun\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Shell\open\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

HKCU\..\..\Explorer\MountPoints2\{8ea5d6ba-8b00-11de-88ce-0016d34189b3}
Shell\AutoRun\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Shell\open\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

HKCU\..\..\Explorer\MountPoints2\{ff496e32-6215-11de-88a5-0016d34189b3}
Shell\AutoRun\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Shell\open\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

HKCU\..\..\Explorer\MountPoints2\{ffbc4b09-8e7c-11de-88d8-0016d34189b3}
Shell\AutoRun\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Shell\open\command =F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Cracking - Hacking\sd4hide.exe"
19/11/2005 15:12 |Size 167936 |Crc32 41caddb9 |Md5 7ab30fb49183d3abce09eddca31c8c19

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Logisitique\GSM - Nokia\Logiciels\MobiSystems.OfficeSuite.v4.0\keygen.exe"
27/05/2007 15:55 |Size 7168 |Crc32 71725a68 |Md5 e1d79522954d395937d07162c93dc973


################## | ! Fin du rapport # UsbFix V6.049 ! |
0
Réponse 4 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 nov. 2009 à 18:36
re,


Dans l'ordre :


1- tu vas me posté le rapport de Mawarebytes que tu as obtenu lorsque tu l'as utilisé (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) ....


=================

2- Me redire si tu veux que je le fasse avec chaque périphérique externe (voir ci dessous)

> voilà ce que tu vas faire avec chacune de tes untités externes :


! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\



> j'attends donc tous les rapports obtenus ( 7 si j'ai bien compris ) .... ^^


Une fois tout ceci posté , tu enchaines :

============================


3- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
Mr_Domino
7 nov. 2009 à 08:07
Hello.

Je fais tout ça ce matin.
Petite question, avant de me lancer là dedans :
- à ce niveau pas de perte de données sur les périphériques externes ?

Q2 : Quid de la clé USB d'une copine "susceptible d'avoir été infectée" mais que je peux pas récupérer avant quelques jours ? Y'aura un moyen de la traiter plus tard ou ça risque de relancer toute la procédure ?
0
Réponse 6 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 nov. 2009 à 08:48
re,


à ce niveau pas de perte de données sur les périphériques externes ?

> non pas de soucis ...


Quid de la clé USB d'une copine "susceptible d'avoir été infectée" mais que je peux pas récupérer avant quelques jours ? Y'aura un moyen de la traiter plus tard ou ça risque de relancer toute la procédure ?

> t'en occupe plus ... il faut que ta copine créer son propre sujet sur un forum de sécurité ! ... Et oui car son PC est infecté également ... ( désinfecté uniquement sa clé ne changera rien; dès qu'elle la rebranchera sur son PC, hop , le ver se ré-instalera dans la clé )



bref , j'attends donc les rapports demandés ....


^^


0
Réponse 7 / 28
Mr_Domino
7 nov. 2009 à 12:01
Le rapport Malware (de ce matin)
Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2421
Windows 5.1.2600 Service Pack 2

07/11/2009 11:24:47
Malware 2009-11-07

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 152592
Temps écoulé: 36 minute(s), 49 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
C:\WINDOWS\system32\csrs.exe (Backdoor.Bot) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Process (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Logon Application (Backdoor.Bot) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\logon.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\csrs.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.


Les rapports USBFIX (4 au total, j'ai pu trouver un doubleur USB pour toutes les clés)

1/

############################## | UsbFix V6.049 |

User : Mr_Domino (Administrateurs) # XPSP2-17FCF3F0F
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:29:19 | 07/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2400 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 93,15 Go (33,42 Go free) # NTFS
D:\ -> Disque fixe local # 93,16 Go (24,47 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 1,92 Go (1,86 Go free) [MR_DOMINO] # FAT
G:\ -> Disque amovible # 7,53 Go (6,8 Go free) # FAT32
H:\ -> Disque amovible # 1008,95 Mo (763,58 Mo free) [ADRIEN] # FAT
I:\ -> Disque amovible # 481,72 Mo (146,18 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 880
C:\WINDOWS\system32\csrss.exe 940
C:\WINDOWS\system32\winlogon.exe 972
C:\WINDOWS\system32\services.exe 1016
C:\WINDOWS\system32\lsass.exe 1028
C:\WINDOWS\system32\svchost.exe 1184
C:\WINDOWS\system32\logonui.exe 1248
C:\WINDOWS\system32\svchost.exe 1292
C:\WINDOWS\System32\svchost.exe 1332
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1392
C:\WINDOWS\system32\svchost.exe 1524
C:\WINDOWS\system32\spoolsv.exe 1916
C:\WINDOWS\system32\userinit.exe 240
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 248
C:\WINDOWS\Explorer.EXE 316
C:\WINDOWS\system32\nvsvc32.exe 324
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 384
C:\WINDOWS\system32\svchost.exe 536
C:\WINDOWS\system32\wscntfy.exe 768
C:\WINDOWS\System32\alg.exe 904
C:\WINDOWS\system32\wbem\wmiprvse.exe 1856
C:\WINDOWS\system32\wbem\wmiprvse.exe 2032

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\logfile32.txt
Supprimé ! C:\WINDOWS\nigzss.txt
Supprimé ! C:\WINDOWS\system32\00.scr
Supprimé ! C:\WINDOWS\system32\24.scr
Supprimé ! C:\WINDOWS\system32\50.scr
Supprimé ! C:\WINDOWS\system32\65.scr
Supprimé ! C:\WINDOWS\system32\82.scr
Supprimé ! C:\WINDOWS\system32\87.scr
Supprimé ! C:\WINDOWS\system32\drivers\sysdrv32.sys
Supprimé ! F:\resycled\boot.com
Supprimé ! F:\resycled
Supprimé ! F:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Supprimé ! F:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
Supprimé ! F:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213
G:\autorun.inf -> fichier appelé : "G:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe" ( Présent ! )
Supprimé ! G:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Supprimé ! G:\autorun.inf
H:\autorun.inf -> fichier appelé : "H:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe" ( Présent ! )
Supprimé ! H:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Supprimé ! H:\autorun.inf

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsHistory"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{4c1b405d-9b1c-11de-88f5-0016d34189b3}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8ea5d6ba-8b00-11de-88ce-0016d34189b3}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ff496e32-6215-11de-88a5-0016d34189b3}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ffbc4b09-8e7c-11de-88d8-0016d34189b3}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/06/2009 19:15|--a------|0] C:\AUTOEXEC.BAT
[18/06/2009 19:11|---hs----|212] C:\boot.ini
[24/08/2001 13:00|-rahs----|4952] C:\Bootfont.bin
[18/06/2009 19:15|--a------|0] C:\CONFIG.SYS
[18/06/2009 19:15|-rahs----|0] C:\IO.SYS
[21/10/2009 19:25|--a------|165] C:\List'em.txt
[18/06/2009 19:15|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[05/11/2009 08:31|--a------|2698] C:\TB.txt
[07/11/2009 11:32|--a------|4231] C:\UsbFix.txt
[28/05/2009 23:13|-r-hs----|76418] F:\Key-Installer.exe
[29/10/2009 13:04|--a------|116317] F:\EuroM‚tal _yc corrig‚_.pdf
[28/05/2009 23:13|-r-hs----|76418] G:\Key-Installer.exe
[20/08/2009 17:15|--a------|8308096] H:\Cascada - Evacuate The Dancefloor.mp3
[05/10/2009 20:12|--a------|7843048] H:\David Guetta Feat. Akon - Sexy Bitch.mp3
[12/06/2009 00:40|--a------|5206736] H:\Helmut Fritz - Ca M'Enerve.mp3
[11/05/2009 19:35|--a------|4694184] H:\Laurent Wolf - Explosion.mp3
[18/09/2008 18:52|--a------|6693640] H:\Martin Solveig - I want you.mp3
[06/05/2009 21:37|--a------|6014428] H:\Martin Solveig - One 2 3 Four.mp3
[20/08/2009 18:22|--a------|5313824] H:\Martin Solveig Feat Dragonette - Boys And Girls.mp3
[12/06/2009 00:46|--a------|5201108] H:\Ocean Drive - Some People.mp3
[12/06/2009 00:36|--a------|9776150] H:\Pitbull - I Know You Want Me (Calle Ocho).mp3
[26/03/2009 08:41|--a------|8332185] H:\Scotty - The Black Pearl.mp3
[20/08/2009 19:27|--a------|5189031] H:\Yves Larock - Rise Up.mp3
[08/09/2009 22:48|--a------|5043575] H:\Discobitch - C'est Beau La Bourgeoisie.mp3
[01/09/2009 23:23|--a------|4387485] H:\Helmut Fritz - Miss France.mp3
[31/03/2009 18:19|--a------|4468446] H:\Orelsan - Saint Valentin.mp3
[14/02/2009 13:45|--a------|4951391] H:\Orelsan - Soiree Ratee.mp3
[08/10/2006 21:04|--a------|5069069] H:\TTC - Girlfriend.mp3
[26/08/2006 13:04|--a------|4431689] H:\Armand Van Helden - My My My.mp3
[16/09/2008 00:26|--a------|6922240] H:\Basshunter - Boten Anna.mp3
[16/09/2008 00:27|--a------|5559381] H:\Basshunter - Dota.mp3
[28/08/2006 14:31|--a------|5659854] H:\Bob Sinclar Feat. Dollarman And Big Ali - Rock This Party (Everybody Dance Now).mp3
[19/04/2008 00:54|--a------|4466688] H:\David Guetta - Baby When The Light.mp3
[19/04/2008 01:02|--a------|3053568] H:\David Guetta - Love Is Gone Feat. Chris Willis (Original Mix).mp3
[21/09/2007 13:52|--a------|5046999] H:\David Guetta - Stay (feat. Chris Willis).mp3
[29/08/2006 15:08|--a------|7231616] H:\Nirvana - Smells Like Teen Spirit.mp3
[03/12/2005 21:00|--a------|10375011] H:\Noir D‚sir - Fin de siŠcle.mp3
[29/08/2006 15:20|--a------|7547008] H:\Rage Against The Machine - Killing In The Name.mp3
[16/10/2004 17:28|--a------|5304320] H:\System Of A Down - Toxicity.mp3
[22/04/2006 12:04|--a------|4989223] H:\Trust - Antisocial.mp3
[04/03/2006 16:53|--a------|3470443] H:\U2 - Elevation.mp3
[07/02/2008 17:03|--a------|5521891] H:\The Prodigy - Smack My Bitch Up.mp3
[26/10/2008 19:11|--a------|5869568] H:\Basshunter Feat Dj Mental Theos Bazzheadz - Now Youre Gone.Mp3
[25/10/2008 17:51|--a------|2414678] H:\Elmer Food Beat - Daniela.mp3
[16/09/2008 00:27|--a------|5972210] H:\Gunther - Ding Dong Song (Oh! You Touch My Tralala).mp3
[23/04/2006 08:50|--a------|3183134] H:\Matmatah - L'apologie.mp3
[11/03/2006 11:36|--a------|5747014] H:\Michel Sardou - Les Lacs Du Connemara.mp3
[19/04/2008 11:58|--a------|3328128] H:\Tom Snare vs Gunther - Ding dong song philosophy (radio edit).mp3
[11/03/2006 12:11|--a------|4294461] H:\Boney M - Daddy Cool '99 (Radio edit).mp3
[18/04/2008 23:50|--a------|3692544] H:\Jean-Jacques Goldman - Quand la musique est bonne.mp3
[07/05/2006 00:45|--a------|5412797] H:\Jet - Are You Gonna Be My Girl.mp3
[03/12/2005 21:17|--a------|2796530] H:\Joan Jett - I Love Rock and Roll.mp3

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# H:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Cracking - Hacking\sd4hide.exe"
19/11/2005 15:12 |Size 167936 |Crc32 41caddb9 |Md5 7ab30fb49183d3abce09eddca31c8c19

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Logisitique\GSM - Nokia\Logiciels\MobiSystems.OfficeSuite.v4.0\keygen.exe"
27/05/2007 15:55 |Size 7168 |Crc32 71725a68 |Md5 e1d79522954d395937d07162c93dc973


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\MR_DOM~1\Bureau\UsbFix_Upload_Me_XPSP2-17FCF3F0F.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.049 ! |

2/


############################## | UsbFix V6.049 |

User : Mr_Domino (Administrateurs) # XPSP2-17FCF3F0F
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:35:47 | 07/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2400 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 93,15 Go (33,43 Go free) # NTFS
D:\ -> Disque fixe local # 93,16 Go (24,47 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 232,83 Go (114,11 Go free) [MUSIQUE] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 880
C:\WINDOWS\system32\csrss.exe 940
C:\WINDOWS\system32\winlogon.exe 968
C:\WINDOWS\system32\services.exe 1012
C:\WINDOWS\system32\lsass.exe 1024
C:\WINDOWS\system32\svchost.exe 1196
C:\WINDOWS\system32\svchost.exe 1260
C:\WINDOWS\System32\svchost.exe 1300
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1416
C:\WINDOWS\system32\svchost.exe 1468
C:\WINDOWS\system32\logonui.exe 1628
C:\WINDOWS\system32\spoolsv.exe 1876
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 1976
C:\WINDOWS\system32\nvsvc32.exe 168
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 212
C:\WINDOWS\system32\svchost.exe 272
C:\WINDOWS\system32\userinit.exe 660
C:\WINDOWS\system32\wscntfy.exe 760
C:\WINDOWS\Explorer.EXE 828
C:\WINDOWS\System32\alg.exe 172
C:\WINDOWS\system32\wbem\wmiprvse.exe 1072
C:\WINDOWS\system32\wbem\wmiprvse.exe 252

################## | Fichiers # Dossiers infectieux |

Supprimé ! F:\resycled\boot.com
Supprimé ! F:\resycled

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[18/06/2009 19:15|--a------|0] C:\AUTOEXEC.BAT
[18/06/2009 19:11|---hs----|212] C:\boot.ini
[24/08/2001 13:00|-rahs----|4952] C:\Bootfont.bin
[18/06/2009 19:15|--a------|0] C:\CONFIG.SYS
[18/06/2009 19:15|-rahs----|0] C:\IO.SYS
[21/10/2009 19:25|--a------|165] C:\List'em.txt
[18/06/2009 19:15|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[05/11/2009 08:31|--a------|2698] C:\TB.txt
[07/11/2009 11:38|--a------|2441] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Cracking - Hacking\sd4hide.exe"
19/11/2005 15:12 |Size 167936 |Crc32 41caddb9 |Md5 7ab30fb49183d3abce09eddca31c8c19

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Logisitique\GSM - Nokia\Logiciels\MobiSystems.OfficeSuite.v4.0\keygen.exe"
27/05/2007 15:55 |Size 7168 |Crc32 71725a68 |Md5 e1d79522954d395937d07162c93dc973


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\MR_DOM~1\Bureau\UsbFix_Upload_Me_XPSP2-17FCF3F0F.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.049 ! |

3/

############################## | UsbFix V6.049 |

User : Mr_Domino (Administrateurs) # XPSP2-17FCF3F0F
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:44:11 | 07/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2400 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 93,15 Go (33,42 Go free) # NTFS
D:\ -> Disque fixe local # 93,16 Go (24,47 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 232,83 Go (41,81 Go free) [IMAGES] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 884
C:\WINDOWS\system32\csrss.exe 940
C:\WINDOWS\system32\winlogon.exe 972
C:\WINDOWS\system32\services.exe 1016
C:\WINDOWS\system32\lsass.exe 1028
C:\WINDOWS\system32\svchost.exe 1188
C:\WINDOWS\system32\svchost.exe 1256
C:\WINDOWS\System32\svchost.exe 1300
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1416
C:\WINDOWS\system32\svchost.exe 1464
C:\WINDOWS\system32\logonui.exe 1728
C:\WINDOWS\system32\spoolsv.exe 1868
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 1944
C:\WINDOWS\system32\nvsvc32.exe 1996
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 2040
C:\WINDOWS\system32\svchost.exe 308
C:\WINDOWS\system32\userinit.exe 616
C:\WINDOWS\Explorer.EXE 712
C:\WINDOWS\System32\alg.exe 136
C:\WINDOWS\system32\wscntfy.exe 1216
C:\WINDOWS\system32\wbem\wmiprvse.exe 1652
C:\WINDOWS\system32\wbem\wmiprvse.exe 336

################## | Fichiers # Dossiers infectieux |

F:\autorun.inf -> fichier appelé : "F:\"resycled\boot.com f:"
" ( Absent ! )
Supprimé ! F:\autorun.inf
Supprimé ! F:\resycled\boot.com
Supprimé ! F:\resycled

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[18/06/2009 19:15|--a------|0] C:\AUTOEXEC.BAT
[18/06/2009 19:11|---hs----|212] C:\boot.ini
[24/08/2001 13:00|-rahs----|4952] C:\Bootfont.bin
[18/06/2009 19:15|--a------|0] C:\CONFIG.SYS
[18/06/2009 19:15|-rahs----|0] C:\IO.SYS
[21/10/2009 19:25|--a------|165] C:\List'em.txt
[18/06/2009 19:15|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[05/11/2009 08:31|--a------|2698] C:\TB.txt
[07/11/2009 11:46|--a------|2550] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Cracking - Hacking\sd4hide.exe"
19/11/2005 15:12 |Size 167936 |Crc32 41caddb9 |Md5 7ab30fb49183d3abce09eddca31c8c19

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Logisitique\GSM - Nokia\Logiciels\MobiSystems.OfficeSuite.v4.0\keygen.exe"
27/05/2007 15:55 |Size 7168 |Crc32 71725a68 |Md5 e1d79522954d395937d07162c93dc973

"F:\Images Jeux PC\FEAR - Extraction Point\Crack\FEAR.exe"
25/10/2006 15:35 |Size 11816960 |Crc32 fc8d571a |Md5 33e859c10a4e1ffe7ff60e43a7bbb9ff

"F:\Images Jeux PC\FEAR - Extraction Point\Crack\FEARMP.exe"
26/10/2006 01:36 |Size 11694080 |Crc32 62fca7ff |Md5 618f8d6bd1011adca15ecd57d345163d

"F:\Images Jeux PC\FEAR - Extraction Point\Crack\FEARXP\FEARXP.exe"
25/10/2006 15:10 |Size 13594624 |Crc32 c0d9eff3 |Md5 65f4ca54528ea49bc4db85bc9d347c04

"F:\Appz 2\Hacking\Cracks\Gamez\Age of Empires 3\age3.exe"
29/10/2005 18:36 |Size 10657792 |Crc32 3b2e798d |Md5 de33387c52f9269acfb5b4a7cec6fe91

"F:\Appz 2\Hacking\Cracks\Gamez\Age of Mythology\AOM.EXE"
16/10/2004 13:19 |Size 6639616 |Crc32 3451f6c6 |Md5 7ad2ebcefb2c47d6e5b1d79481e5515b

"F:\Appz 2\Hacking\Cracks\Gamez\Call Of Duty 2\CoD2SP_s.exe"
03/11/2005 01:33 |Size 1751621 |Crc32 eb66ed20 |Md5 407907c3de73838227ed256338f2a8e9

"F:\Appz 2\Hacking\Cracks\Gamez\Cold Fear\ColdFear_Retail.exe"
30/03/2005 00:35 |Size 3952640 |Crc32 cf51f41d |Md5 e662b1cec2e07a86d14cb6cded46b586

"F:\Appz 2\Hacking\Cracks\Gamez\Diablo 2\LODPatch_110.exe"
16/10/2004 13:19 |Size 5122687 |Crc32 24b5c1a5 |Md5 301207cafa6d422fa92a2eabe59e29c2

"F:\Appz 2\Hacking\Cracks\Gamez\Doom 3\Doom3.exe"
16/10/2004 13:19 |Size 5427200 |Crc32 ae52b677 |Md5 bb23c474e30335ed2ab41fe1237505ba

"F:\Appz 2\Hacking\Cracks\Gamez\Doom 3 + Resurrection of evil\Crack Doom 3\Doom3.exe"
01/08/2004 11:22 |Size 5427200 |Crc32 ae52b677 |Md5 bb23c474e30335ed2ab41fe1237505ba

"F:\Appz 2\Hacking\Cracks\Gamez\Doom 3 + Resurrection of evil\Doom 3 Resurrection Of Evil CD KEY Injector\D3ROE.cdkey-injector.exe"
04/04/2005 19:46 |Size 7648 |Crc32 8ed986af |Md5 e561bd3dbacb4c466dce1301b4e9e034

"F:\Appz 2\Hacking\Cracks\Gamez\Driv3r\Driv3r.exe"
15/03/2005 05:02 |Size 4136960 |Crc32 9b258660 |Md5 26ab2f2571093721e0b33b2987e26459

"F:\Appz 2\Hacking\Cracks\Gamez\Far Cry\FarCry.exe"
16/10/2004 13:19 |Size 32768 |Crc32 17452e46 |Md5 0a861c42d3c9fa5c01d477240e9c010d

"F:\Appz 2\Hacking\Cracks\Gamez\FEAR\FEAR.exe"
21/10/2005 14:54 |Size 9972048 |Crc32 57521f44 |Md5 0c112db188218dd10881adb035e68de6

"F:\Appz 2\Hacking\Cracks\Gamez\GTA San Andreas\GTA_SA.EXE"
07/06/2005 23:52 |Size 14386176 |Crc32 1810c839 |Md5 6c6160da9b175b66cf9127c86be57bf7

"F:\Appz 2\Hacking\Cracks\Gamez\GTA San Andreas\HLM-INTR.EXE"
07/06/2005 17:46 |Size 65024 |Crc32 0f8b5d58 |Md5 6b1114186b8f261ea6759673b0a3e604

"F:\Appz 2\Hacking\Cracks\Gamez\GTA Vice city\gta-vc.exe"
16/10/2004 13:19 |Size 3088896 |Crc32 42b14e5a |Md5 167a5c8b31b3e0dbefa033ca24453d4e

"F:\Appz 2\Hacking\Cracks\Gamez\Harry Potter 4\gof_f.exe"
09/11/2005 14:26 |Size 3829760 |Crc32 7214b926 |Md5 d5091de2db1fca4efaf17a9666d6f375

"F:\Appz 2\Hacking\Cracks\Gamez\Hitman - Contracts\HitmanContracts.exe"
01/05/2004 03:30 |Size 5632000 |Crc32 02711385 |Md5 c3f74a41fca374a5473d99165c890809

"F:\Appz 2\Hacking\Cracks\Gamez\House of the dead III\hod3pc.exe"
11/02/2005 01:12 |Size 2228224 |Crc32 0588c727 |Md5 3a4501d39bbb7271712421fb992ad37b

"F:\Appz 2\Hacking\Cracks\Gamez\Les Sims 2\Sims2.exe"
16/10/2004 13:19 |Size 14012416 |Crc32 3a1c64f3 |Md5 f0deef9c072dc8d5467215b1bc6bacd2

"F:\Appz 2\Hacking\Cracks\Gamez\Max Payne 2\MaxPayne2.exe"
16/10/2004 13:20 |Size 1486848 |Crc32 44370063 |Md5 bbb9f279f2aac50a00a4d270bff911eb

"F:\Appz 2\Hacking\Cracks\Gamez\Max Payne 2\MaxPayne2_v1-01_Patch.exe"
16/10/2004 13:20 |Size 5494124 |Crc32 b8e3660f |Md5 ca42d6ad7b71227db7e2367cd9417ef9

"F:\Appz 2\Hacking\Cracks\Gamez\NFS Carbon\nfsc.exe"
01/11/2006 06:07 |Size 8904704 |Crc32 1567ba3f |Md5 c540d0fa9c6d8506e848110ff9bfa0ad

"F:\Appz 2\Hacking\Cracks\Gamez\NFS HP 2\NfsHP2.exe"
16/10/2004 13:20 |Size 9216 |Crc32 a597db67 |Md5 08957294471b03108527479a92b18fec

"F:\Appz 2\Hacking\Cracks\Gamez\NFS Underground\jeu en LAN\nfsuclient.exe"
16/10/2004 13:20 |Size 5120 |Crc32 53d36e7e |Md5 3ca2654d29124d9116356589f3eef1ca

"F:\Appz 2\Hacking\Cracks\Gamez\NFS Underground\jeu en LAN\nfsuserver.exe"
16/10/2004 13:20 |Size 11776 |Crc32 6fd3d1b8 |Md5 ce1f7f5dcca2f577a70b4e4479828234

"F:\Appz 2\Hacking\Cracks\Gamez\NFS Underground 2\speed2.exe"
10/11/2004 23:23 |Size 4788224 |Crc32 f7c7e838 |Md5 3a67718ebb144ac0f4303665e9b9b273

"F:\Appz 2\Hacking\Cracks\Gamez\Painkiller - Battle Out Of Hell\Painkiller.exe"
28/11/2004 22:28 |Size 1474560 |Crc32 ea6ad4ef |Md5 c99ad0bb61689b915db954250f25646c

"F:\Appz 2\Hacking\Cracks\Gamez\Quake 4\quake4.exe"
19/10/2005 01:11 |Size 4857856 |Crc32 53cc4844 |Md5 ad48bbafe917bd0374e0e2fffb1f89cf

"F:\Appz 2\Hacking\Cracks\Gamez\Quake 4\rld-q4kg.exe"
19/10/2005 08:52 |Size 2873 |Crc32 d0729361 |Md5 d0048a5495afafa7b9ae511155a78913

"F:\Appz 2\Hacking\Cracks\Gamez\Serious Sam II\Sam2.exe"
09/09/2005 16:27 |Size 182272 |Crc32 6d81592b |Md5 21c5f5eac7fd21bf0f482aabb326e1dd

"F:\Appz 2\Hacking\Cracks\Gamez\Shredder 9\ChessProgram8.exe"
18/01/2005 21:56 |Size 8773632 |Crc32 d21f617c |Md5 5bd510543914cf73dfc42f3a7766cf3f

"F:\Appz 2\Hacking\Cracks\Gamez\Soldier of fortune 2\SoF2.exe"
16/10/2004 13:21 |Size 1064960 |Crc32 dc3dcdd2 |Md5 bb7ae02e9157532e777125b75445e3b0

"F:\Appz 2\Hacking\Cracks\Gamez\Spellforce\SpellForce-SecuROM-Analyzer.exe"
16/10/2004 13:21 |Size 2067630 |Crc32 36a6efea |Md5 df2b4061f40b081bf24981ae7fcf1863

"F:\Appz 2\Hacking\Cracks\Gamez\The Matrix - Path of Neo\SR7.Stop_1.0.exe"
17/11/2005 10:57 |Size 65536 |Crc32 602c936b |Md5 36de39950727560ae115c3127349b645

"F:\Appz 2\Hacking\Cracks\Gamez\Unreal II The Awakening\UNREAL2.EXE"
16/10/2004 13:21 |Size 143360 |Crc32 bc6ae8c5 |Md5 06ccf7a8b001dc025f3757a3e40e3efa

"F:\Appz 2\Hacking\Cracks\Gamez\UT 2004\UT2004.exe"
16/10/2004 13:21 |Size 200704 |Crc32 e05fc1fa |Md5 67cd790623cbb672441b7736193b937f

"F:\Appz 2\Hacking\Cracks\Gamez\Zeus v1.01\ZEUS.EXE"
20/01/2001 12:34 |Size 2095826 |Crc32 3ba7f574 |Md5 8f2c14ea09d6d1b267b715b14b350eee

"F:\Appz 2\Hacking\Cracks\Gamez\Zoo Tycoon 2\ZT.EXE"
19/11/2004 22:54 |Size 4423090 |Crc32 258b7a50 |Md5 bea30dfdabe49642315374f558c9faa2

"F:\Appz\Cracking - Hacking\sd4hide.exe"
19/11/2005 16:12 |Size 167936 |Crc32 41caddb9 |Md5 7ab30fb49183d3abce09eddca31c8c19

"F:\Appz\Logisitique\GSM - Nokia\Logiciels\MobiSystems.OfficeSuite.v4.0\keygen.exe"
27/05/2007 16:55 |Size 7168 |Crc32 71725a68 |Md5 e1d79522954d395937d07162c93dc973


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\MR_DOM~1\Bureau\UsbFix_Upload_Me_XPSP2-17FCF3F0F.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.049 ! |

4/


############################## | UsbFix V6.049 |

User : Mr_Domino (Administrateurs) # XPSP2-17FCF3F0F
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:50:20 | 07/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2400 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 93,15 Go (33,42 Go free) # NTFS
D:\ -> Disque fixe local # 93,16 Go (24,47 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 149,01 Go (111,36 Go free) [FREEBOX] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 884
C:\WINDOWS\system32\csrss.exe 976
C:\WINDOWS\system32\winlogon.exe 1004
C:\WINDOWS\system32\services.exe 1048
C:\WINDOWS\system32\lsass.exe 1060
C:\WINDOWS\system32\svchost.exe 1228
C:\WINDOWS\system32\svchost.exe 1292
C:\WINDOWS\System32\svchost.exe 1332
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1440
C:\WINDOWS\system32\svchost.exe 1512
C:\WINDOWS\system32\logonui.exe 1660
C:\WINDOWS\system32\spoolsv.exe 1912
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 2004
C:\WINDOWS\system32\nvsvc32.exe 224
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 300
C:\WINDOWS\system32\svchost.exe 348
C:\WINDOWS\system32\userinit.exe 596
C:\WINDOWS\Explorer.EXE 724
C:\WINDOWS\system32\wscntfy.exe 860
C:\WINDOWS\System32\alg.exe 1188
C:\WINDOWS\system32\wbem\wmiprvse.exe 1692
C:\WINDOWS\system32\wbem\wmiprvse.exe 272

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[18/06/2009 19:15|--a------|0] C:\AUTOEXEC.BAT
[18/06/2009 19:11|---hs----|212] C:\boot.ini
[24/08/2001 13:00|-rahs----|4952] C:\Bootfont.bin
[18/06/2009 19:15|--a------|0] C:\CONFIG.SYS
[18/06/2009 19:15|-rahs----|0] C:\IO.SYS
[21/10/2009 19:25|--a------|165] C:\List'em.txt
[18/06/2009 19:15|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[05/11/2009 08:31|--a------|2698] C:\TB.txt
[07/11/2009 11:52|--a------|2383] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Cracking - Hacking\sd4hide.exe"
19/11/2005 15:12 |Size 167936 |Crc32 41caddb9 |Md5 7ab30fb49183d3abce09eddca31c8c19

"C:\Documents and Settings\Mr_Domino\Mes documents\Appz\Logisitique\GSM - Nokia\Logiciels\MobiSystems.OfficeSuite.v4.0\keygen.exe"
27/05/2007 15:55 |Size 7168 |Crc32 71725a68 |Md5 e1d79522954d395937d07162c93dc973


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\MR_DOM~1\Bureau\UsbFix_Upload_Me_XPSP2-17FCF3F0F.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.049 ! |
0
Réponse 8 / 28
Mr_Domino
7 nov. 2009 à 12:08
Voici le lien pour le rapport ZHPDIAG
http://www.cijoint.fr/cjlink.php?file=cj200911/cij1whR3Sp.txt
0
Réponse 9 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 nov. 2009 à 12:54
bien ...



la suite dans l'ordre :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


==========================

2- Utilise Malwarebytes ainsi :


mets le à jour ( onglet " mise à jour " ).

! Déconnecte toi et ferme toutes applications en cours !


* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==================================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
0
Réponse 10 / 28
Mr_Domino
7 nov. 2009 à 13:38
Ok c'est fait.

Le scan HDPDIAG est à l'adresse :
http://www.cijoint.fr/cjlink.php?file=cj200911/cijLm9aAkB.txt

Et le scan antymalware :
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3115
Windows 5.1.2600 Service Pack 2

07/11/2009 13:30:43
mbam-log-2009-11-07 (13-30-43).txt

Type de recherche: Examen rapide
Eléments examinés: 93063
Temps écoulé: 3 minute(s), 7 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 65

Processus mémoire infecté(s):
C:\WINDOWS\system32\csrs.exe (Trojan.Buzus) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\client server runtime process (Trojan.Buzus) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\csrs.exe (Trojan.Buzus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ancs.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dizq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbhkmb.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbkqc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cftfxj.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ciactmj.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\evqxgi.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ewkvq.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gkjnyrd.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gqxs.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\idqxna.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\logon.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mopg.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nlpzdkv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nzgei.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nzwtq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qedjt.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qewqq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rgqm.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqcyqpt.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\szjbad.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\unfhfom.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wgvwsh.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bpsuuql.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cviq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cvztp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dbhrpsyy.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dqsqb.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eubcwp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hufiuqen.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mkkmz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mkymb.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\odqdhosn.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ogavjw.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ohmpisl.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oiinxax.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\okedeobd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\utvja.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wkptg.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\itzuzetq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iutkngsv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ktoouwa.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kwni.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\olfwx.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ompoozy.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\onxhmi.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xglzxta.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xqjjq.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xyyeyebr.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yizpaur.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yjeewgb.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ymqz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yrnu.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ysvx.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ztdkcoo.exe (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nomxeyfr.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nrsef.exe (Trojan.Injector) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fmkkffn.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jhmv.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jnfrl.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jtqtg.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kaeu.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UPS1QN0L\wm2[1].exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 11 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 nov. 2009 à 14:11
re,


la suite dans l'ordre :


1- Télécharge ZHPFix ( de Nicolas Coolman ) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html

* double-clique sur "ZHPFix.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .

-> Lance ZHPFix depuis le raccourci qui est sur ton bureau .


* Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

* Dans l'encadré principal , copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?lhoGbE5BNd


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé, un rapport s'affiche : copie/colle tout son contenue dans ta prochaine réponse pour analyse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


=========================


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...




0
Réponse 12 / 28
Mr_Domino
7 nov. 2009 à 15:09
Alors :
Aucun souci avec ZHPFix (voir rapport en bas de post)
Pour combo fix tout allait nickel, mais une erreur fatale est survenue après le redémarrage (IRQL Not less or Equal).
Du coup dans le rapport j'ai que ça :

ComboFix 09-11-06.03 - Mr_Domino 07/11/2009 14:51:28.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1560 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Mr_Domino\Bureau\ComboFix.exe
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
C:\Program Files\SuperCopier2\SC2Hook.dll

Je suppose que la suite a pas pu être enregistrée...
Je recommence ? Ou mieux vaut pas ?

Deux questions cependant :
Q1 : peux-tu me dire d’où est venue cette infection (si tu as une idée), et surtout quand ça sera résolu comment éviter qu’elle revienne par la suite ? (par exemple, lorsque j’utilise une clé infectée (celle de ma copine))?

*********************

ZHPFix v1.12.21 by Nicolas Coolman - Rapport de suppression du 07/11/2009 14:44:08
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O41 - Driver: ethkubbc (ethkubbc) - C:\WINDOWS\system32\drivers\ethkubbc.sys => Clé supprimée avec succès
O64 - Services: CurCS - acpi32 (acpi32) - LEGACY_ACPI32 => Clé supprimée avec succès
O64 - Services: CurCS - ati64si (ati64si) - LEGACY_ATI64SI => Clé supprimée avec succès
O64 - Services: CurCS - fgpyqfod (fgpyqfod) - LEGACY_FGPYQFOD => Clé supprimée avec succès
O64 - Services: CurCS - i386si (i386si) - LEGACY_I386SI => Clé supprimée avec succès
O64 - Services: CurCS - ksi32sk (ksi32sk) - LEGACY_KSI32SK => Clé supprimée avec succès
O64 - Services: CurCS - nicsk32 (nicsk32) - LEGACY_NICSK32 => Clé supprimée avec succès
O64 - Services: CurCS - port135sik (port135sik) - LEGACY_PORT135SIK => Clé supprimée avec succès
O64 - Services: CurCS - protect (protect) - LEGACY_PROTECT => Clé supprimée avec succès
O64 - Services: CurCS - securentm (securentm) - LEGACY_SECURENTM => Clé supprimée avec succès
O64 - Services: CS002 - acpi32 (acpi32) - LEGACY_ACPI32 => Clé supprimée avec succès
O64 - Services: CS002 - ati64si (ati64si) - LEGACY_ATI64SI => Clé supprimée avec succès
O64 - Services: CS002 - fgpyqfod (fgpyqfod) - LEGACY_FGPYQFOD => Clé supprimée avec succès
O64 - Services: CS002 - i386si (i386si) - LEGACY_I386SI => Clé supprimée avec succès
O64 - Services: CS002 - ksi32sk (ksi32sk) - LEGACY_KSI32SK => Clé supprimée avec succès
O64 - Services: CS002 - nicsk32 (nicsk32) - LEGACY_NICSK32 => Clé supprimée avec succès
O64 - Services: CS002 - port135sik (port135sik) - LEGACY_PORT135SIK => Clé supprimée avec succès
O64 - Services: CS002 - protect (protect) - LEGACY_PROTECT => Clé supprimée avec succès
O64 - Services: CS002 - securentm (securentm) - LEGACY_SECURENTM => Clé supprimée avec succès

Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\WINDOWS\wmsys32.exe"="C:\WINDOWS\wmsys32.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\08.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\08.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\71.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\71.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\24.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\24.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\05.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\05.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\46.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\46.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\26.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\26.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\20.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\20.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\81.exe"="C:\DOCUME~1\MR_DOM~1\LOCALS~1\Temp\81.exe:*:Microsoft Windows Compatibility" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\65.scr"="C:\WINDOWS\System32\65.scr:*:WM System Decode Application" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system\1sass.exe"="C:\WINDOWS\system\1sass.exe:*:Microsoft Enabled" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\00.scr"="C:\WINDOWS\System32\00.scr:*:Microsoft Enabled" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\82.scr"="C:\WINDOWS\System32\82.scr:*:Microsoft Enabled" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\12.scr"="C:\WINDOWS\System32\12.scr:*:C:\WINDOWS\msdrv32.exe" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\11.scr"="C:\WINDOWS\System32\11.scr:*:C:\WINDOWS\msdrv32.exe" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\dizq.exe"="C:\WINDOWS\system32\dizq.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\utvja.exe"="C:\WINDOWS\system32\utvja.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\nlpzdkv.exe"="C:\WINDOWS\system32\nlpzdkv.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\ohmpisl.exe"="C:\WINDOWS\system32\ohmpisl.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\xglzxta.exe"="C:\WINDOWS\system32\xglzxta.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\hufiuqen.exe"="C:\WINDOWS\system32\hufiuqen.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\nzgei.exe"="C:\WINDOWS\system32\nzgei.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\xqjjq.exe"="C:\WINDOWS\system32\xqjjq.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\nomxeyfr.exe"="C:\WINDOWS\system32\nomxeyfr.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\szjbad.exe"="C:\WINDOWS\system32\szjbad.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\cftfxj.exe"="C:\WINDOWS\system32\cftfxj.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\idqxna.exe"="C:\WINDOWS\system32\idqxna.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\kwni.exe"="C:\WINDOWS\system32\kwni.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\wgvwsh.exe"="C:\WINDOWS\system32\wgvwsh.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\ysvx.exe"="C:\WINDOWS\system32\ysvx.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rqcyqpt.exe"="C:\WINDOWS\system32\rqcyqpt.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\ancs.exe"="C:\WINDOWS\system32\ancs.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\gqxs.exe"="C:\WINDOWS\system32\gqxs.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\yizpaur.exe"="C:\WINDOWS\system32\yizpaur.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\nrsef.exe"="C:\WINDOWS\system32\nrsef.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\ciactmj.exe"="C:\WINDOWS\system32\ciactmj.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\xyyeyebr.exe"="C:\WINDOWS\system32\xyyeyebr.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\ogavjw.exe"="C:\WINDOWS\system32\ogavjw.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\yrnu.exe"="C:\WINDOWS\system32\yrnu.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\mopg.exe"="C:\WINDOWS\system32\mopg.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\gkjnyrd.exe"="C:\WINDOWS\system32\gkjnyrd.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\unfhfom.exe"="C:\WINDOWS\system32\unfhfom.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rgqm.exe"="C:\WINDOWS\system32\rgqm.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\ktoouwa.exe"="C:\WINDOWS\system32\ktoouwa.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\ztdkcoo.exe"="C:\WINDOWS\system32\ztdkcoo.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\dir.exe"="C:\dir.exe:*:Enabled:Ultimate Tool" => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\graqgns.exe => Supprimé et mis en quarantaine
c:\windows\system32\crscjeg.exe => Supprimé et mis en quarantaine
c:\windows\system32\cgtdekb.exe => Supprimé et mis en quarantaine
c:\windows\system32\ddfze.exe => Supprimé et mis en quarantaine
c:\windows\system32\dturz.exe => Supprimé et mis en quarantaine
c:\windows\system32\aeegttad.exe => Supprimé et mis en quarantaine
c:\windows\system32\olfjfjpp.exe => Supprimé et mis en quarantaine
c:\windows\system32\jhxqo.exe => Supprimé et mis en quarantaine
c:\windows\system32\ouqu.exe => Supprimé et mis en quarantaine
c:\windows\system32\igjn.exe => Supprimé et mis en quarantaine
c:\windows\system32\mwubr.exe => Supprimé et mis en quarantaine
c:\windows\system32\ydjvik.exe => Supprimé et mis en quarantaine
c:\windows\system32\ymvjc.exe => Supprimé et mis en quarantaine
c:\windows\system32\ucyl.exe => Supprimé et mis en quarantaine
c:\windows\system32\ftmc.exe => Supprimé et mis en quarantaine
c:\windows\system32\vhxywjxj.exe => Supprimé et mis en quarantaine
c:\windows\dsez4688.dat => Supprimé et mis en quarantaine
c:\windows\system32\jbrbk.exe => Supprimé et mis en quarantaine
c:\windows\system32\seswj.exe => Supprimé et mis en quarantaine
c:\windows\system32\mekrigkn.exe => Supprimé et mis en quarantaine
c:\windows\system32\drivers\ethkubbc.sys (Rootkit.Agent) => Supprimé et mis en quarantaine
c:\windows\system32\drivers\ethkubbc.sys => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 19
Valeur du Registre : 46
Elément de données du Registre : 0
Dossier : 0
Fichier : 22
Logiciel : 0
Autre : 0


End of the scan
0
Réponse 13 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 nov. 2009 à 15:46
Re,


C'est loin d'être finit ! ....


Je recommence ? Ou mieux vaut pas ?
> ne fait rien pour le moment avec Combo ...


Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



0
Réponse 14 / 28
Mr_Domino
7 nov. 2009 à 18:15
Le diag

http://www.cijoint.fr/cjlink.php?file=cj200911/cijy6CpuWm.txt

Par contre peux-tu me dire au niveau protection :
comment éviter (sur un pc non contaminé) de choper le ver à partir d'une clé virosée ?
Y'a un correctif à installer ? un logiciel antispyware à installer ?
0
Réponse 15 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 nov. 2009 à 18:27
re,


Par contre peux-tu me dire au niveau protection : ...

> t'inquiète , on fera le point une fois le PC clean .... ;)



on poursuit dans l'ordre :



1- Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle ce qui est en citation ci-dessous ( et rien d'autre ! ) :


O4 - HKUS\S-1-5-18\..\Run: [NetworkService] C:\Documents and Settings\NetworkService\NetworkService.exe /i
O4 - HKUS\S-1-5-18\..\Run: [LocalService] C:\Documents and Settings\LocalService\LocalService.exe /i
O4 - HKUS\S-1-5-18\..\Run: [NetworkService] C:\Documents and Settings\NetworkService\NetworkService.exe /i
O4 - HKUS\S-1-5-18\..\Run: [LocalService] C:\Documents and Settings\LocalService\LocalService.exe /i
O47 - AAKE:Key Export SP - "C:\WINDOWS\system\msdct.exe"="C:\WINDOWS\system\msdct.exe:*:WM System Decode Application"



Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



===========================


2- tu as deux clés USB , une de 2 GB et une de 8 GB ... rebranche les au PC stp !


une fois ces deux clés branchées au PC fais la suite ,


===========================

3- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


4- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
F:\Key-Installer.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

G:\Key-Installer.exe
C:\WINDOWS\System32\wbar.exe

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

0
Réponse 16 / 28
Mr_Domino
7 nov. 2009 à 18:48
Voila !

ZHPFix v1.12.21 by Nicolas Coolman - Rapport de suppression du 07/11/2009 18:30:06
Fichier d'export Registre : C:\ZHPExportRegistry-07-11-2009-18-30-06.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKUS\S-1-5-18\..\Run: [NetworkService] C:\Documents and Settings\NetworkService\NetworkService.exe /i => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [LocalService] C:\Documents and Settings\LocalService\LocalService.exe /i => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [NetworkService] C:\Documents and Settings\NetworkService\NetworkService.exe /i => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [LocalService] C:\Documents and Settings\LocalService\LocalService.exe /i => Valeur absente
O47 - AAKE:Key Export SP - "C:\WINDOWS\system\msdct.exe"="C:\WINDOWS\system\msdct.exe:*:WM System Decode Application" => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\documents and settings\networkservice\networkservice.exe => Fichier absent
c:\documents and settings\localservice\localservice.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 5
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Autre : 0


End of the scan



**************************************************************

F:\Key-Installer.exe

Fichier Key-Installer.exe reçu le 2009.11.07 17:39:25 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 39/40 (97.5%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.11.07 Virus.Win32.CeeInject!IK
AhnLab-V3 5.0.0.2 2009.11.06 Win-Trojan/Agent.76418
AntiVir 7.9.1.61 2009.11.06 TR/Buzus.awwv
Antiy-AVL 2.0.3.7 2009.11.05 Trojan/Win32.Buzus.gen
Authentium 5.2.0.5 2009.11.07 W32/TrojanX.BSFH
Avast 4.8.1351.0 2009.11.07 Win32:Inject-UG
AVG 8.5.0.423 2009.11.07 Generic13.AFUU
BitDefender 7.2 2009.11.07 Application.Generic.249444
CAT-QuickHeal 10.00 2009.11.07 Trojan.Inject.wjs
ClamAV 0.94.1 2009.11.07 Trojan.Buzus-4861
Comodo 2874 2009.11.07 TrojWare.Win32.Trojan.Buzus.~SW
DrWeb 5.0.0.12182 2009.11.07 Trojan.Spambot.4433
eTrust-Vet 35.1.7108 2009.11.06 Win32/CInject.AZ
F-Prot 4.5.1.85 2009.11.07 W32/TrojanX.BSFH
F-Secure 9.0.15370.0 2009.11.04 Suspicious:W32/Riskware!Online
Fortinet 3.120.0.0 2009.11.07 PossibleThreat
GData 19 2009.11.07 Application.Generic.249444
Ikarus T3.1.1.74.0 2009.11.07 Virus.Win32.CeeInject
Jiangmin 11.0.800 2009.11.07 Trojan/Buzus.jmg
K7AntiVirus 7.10.891 2009.11.07 Trojan.Win32.Malware.4
Kaspersky 7.0.0.125 2009.11.07 Trojan.Win32.Buzus.awjc
McAfee 5794 2009.11.06 BackDoor-DOQ.gen.e
McAfee+Artemis 5794 2009.11.06 BackDoor-DOQ.gen.e
McAfee-GW-Edition 6.8.5 2009.11.07 Heuristic.LooksLike.Win32.Buzus.H
Microsoft 1.5202 2009.11.07 Backdoor:Win32/IRCbot.gen!K
NOD32 4581 2009.11.07 Win32/Agent.NXM
Norman 6.03.02 2009.11.06 W32/Spybot.DNKJ
nProtect 2009.1.8.0 2009.11.07 Trojan/W32.Buzus.76418
Panda 10.0.2.2 2009.11.07 W32/Buzus.FJ.worm
PCTools 7.0.3.5 2009.11.06 Trojan.Buzus!sd6
Prevx 3.0 2009.11.07 -
Rising 21.54.52.00 2009.11.07 Worm.Win32.Autorun.frq
Sophos 4.47.0 2009.11.07 Mal/Behav-243
Sunbelt 3.2.1858.2 2009.11.07 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.11.07 Trojan Horse
TheHacker 6.5.0.2.063 2009.11.06 Trojan/Buzus.awft
TrendMicro 9.0.0.1003 2009.11.07 WORM_NEERIS.A
VBA32 3.12.10.11 2009.11.06 Trojan.Win32.Buzus.awwv
ViRobot 2009.11.6.2025 2009.11.06 Trojan.Win32.Buzus.76418
VirusBuster 4.6.5.0 2009.11.07 Trojan.Inject.Gen.5
Information additionnelle
File size: 76418 bytes
MD5...: a7241bb25aac6b6a15b75d8129ab7733
SHA1..: fe0e7b9ffec885355725bdfdbc2a94a3f8b22225
SHA256: aa252d2a39cdfa16c80d5c22e8688d7b65fe951d90a4e2532298e0d3d265b8c4
ssdeep: 1536:STEKV+zoxoXIy7GArumtETUmLW/Lxq/NfilT:SBQzoxCv7ZtETfa/Lxq/Na
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3116
timedatestamp.....: 0x49f49331 (Sun Apr 26 17:00:33 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6164 0x6200 6.53 11c26c7a7b9da39d1da5465803b48523
.rdata 0x8000 0x92c 0xa00 5.12 6947f2e37254d73ee67187f35892abc1
.data 0x9000 0x41a0 0x2c00 1.17 2b903ad2365fc39e4e9cbcf0c9fab8dd

( 2 imports )
> KERNEL32.dll: OpenProcess, GetProcAddress, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=a7241bb25aac6b6a15b75d8129ab7733' target='_blank'>https://www.symantec.com?md5=a7241bb25aac6b6a15b75d8129ab7733</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Antiy-AVL): Armadillo 1.71



****************************************************************************************************

G:\Key-Installer.exe

Fichier Key-Installer.exe reçu le 2009.11.07 17:41:51 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 40/41 (97.57%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 52 et 75 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.11.07 Virus.Win32.CeeInject!IK
AhnLab-V3 5.0.0.2 2009.11.06 Win-Trojan/Agent.76418
AntiVir 7.9.1.61 2009.11.06 TR/Buzus.awwv
Antiy-AVL 2.0.3.7 2009.11.05 Trojan/Win32.Buzus.gen
Authentium 5.2.0.5 2009.11.07 W32/TrojanX.BSFH
Avast 4.8.1351.0 2009.11.07 Win32:Inject-UG
AVG 8.5.0.423 2009.11.07 Generic13.AFUU
BitDefender 7.2 2009.11.07 Application.Generic.249444
CAT-QuickHeal 10.00 2009.11.07 Trojan.Inject.wjs
ClamAV 0.94.1 2009.11.07 Trojan.Buzus-4861
Comodo 2874 2009.11.07 TrojWare.Win32.Trojan.Buzus.~SW
DrWeb 5.0.0.12182 2009.11.07 Trojan.Spambot.4433
eSafe 7.0.17.0 2009.11.05 Win32.VirToolInjecto
eTrust-Vet 35.1.7108 2009.11.06 Win32/CInject.AZ
F-Prot 4.5.1.85 2009.11.07 W32/TrojanX.BSFH
F-Secure 9.0.15370.0 2009.11.04 Suspicious:W32/Riskware!Online
Fortinet 3.120.0.0 2009.11.07 PossibleThreat
GData 19 2009.11.07 Application.Generic.249444
Ikarus T3.1.1.74.0 2009.11.07 Virus.Win32.CeeInject
Jiangmin 11.0.800 2009.11.07 Trojan/Buzus.jmg
K7AntiVirus 7.10.891 2009.11.07 Trojan.Win32.Malware.4
Kaspersky 7.0.0.125 2009.11.07 Trojan.Win32.Buzus.awjc
McAfee 5794 2009.11.06 BackDoor-DOQ.gen.e
McAfee+Artemis 5794 2009.11.06 BackDoor-DOQ.gen.e
McAfee-GW-Edition 6.8.5 2009.11.07 Heuristic.LooksLike.Win32.Buzus.H
Microsoft 1.5202 2009.11.07 Backdoor:Win32/IRCbot.gen!K
NOD32 4581 2009.11.07 Win32/Agent.NXM
Norman 6.03.02 2009.11.06 W32/Spybot.DNKJ
nProtect 2009.1.8.0 2009.11.07 Trojan/W32.Buzus.76418
Panda 10.0.2.2 2009.11.07 W32/Buzus.FJ.worm
PCTools 7.0.3.5 2009.11.06 Trojan.Buzus!sd6
Prevx 3.0 2009.11.07 -
Rising 21.54.52.00 2009.11.07 Worm.Win32.Autorun.frq
Sophos 4.47.0 2009.11.07 Mal/Behav-243
Sunbelt 3.2.1858.2 2009.11.07 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.11.07 Trojan Horse
TheHacker 6.5.0.2.063 2009.11.06 Trojan/Buzus.awft
TrendMicro 9.0.0.1003 2009.11.07 WORM_NEERIS.A
VBA32 3.12.10.11 2009.11.06 Trojan.Win32.Buzus.awwv
ViRobot 2009.11.6.2025 2009.11.06 Trojan.Win32.Buzus.76418
VirusBuster 4.6.5.0 2009.11.07 Trojan.Inject.Gen.5
Information additionnelle
File size: 76418 bytes
MD5...: a7241bb25aac6b6a15b75d8129ab7733
SHA1..: fe0e7b9ffec885355725bdfdbc2a94a3f8b22225
SHA256: aa252d2a39cdfa16c80d5c22e8688d7b65fe951d90a4e2532298e0d3d265b8c4
ssdeep: 1536:STEKV+zoxoXIy7GArumtETUmLW/Lxq/NfilT:SBQzoxCv7ZtETfa/Lxq/Na
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3116
timedatestamp.....: 0x49f49331 (Sun Apr 26 17:00:33 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6164 0x6200 6.53 11c26c7a7b9da39d1da5465803b48523
.rdata 0x8000 0x92c 0xa00 5.12 6947f2e37254d73ee67187f35892abc1
.data 0x9000 0x41a0 0x2c00 1.17 2b903ad2365fc39e4e9cbcf0c9fab8dd

( 2 imports )
> KERNEL32.dll: OpenProcess, GetProcAddress, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=a7241bb25aac6b6a15b75d8129ab7733' target='_blank'>https://www.symantec.com?md5=a7241bb25aac6b6a15b75d8129ab7733</a>
packers (Antiy-AVL): Armadillo 1.71
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



*****************************************************************************************

C:\WINDOWS\System32\wbar.exe

Fichier wbar.exe reçu le 2009.11.07 17:43:49 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 25/34 (73.53%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 61 et 87 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.11.07 Trojan.Buzus!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 Worm/SdBot.58880.1
Antiy-AVL 2.0.3.7 2009.11.05 Backdoor/Win32.SdBot.gen
Authentium 5.2.0.5 2009.11.07 -
Avast 4.8.1351.0 2009.11.07 Win32:Injector-SE
BitDefender 7.2 2009.11.07 Backdoor.Bot.108453
CAT-QuickHeal 10.00 2009.11.07 Backdoor.SdBot.qaf
Comodo 2874 2009.11.07 TrojWare.Win32.PSW.LdPinch.~W1
DrWeb 5.0.0.12182 2009.11.07 BackDoor.IRC.Sdbot.5190
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.07 -
Fortinet 3.120.0.0 2009.11.07 W32/SDBot.QAF!tr.bdr
Ikarus T3.1.1.74.0 2009.11.07 Trojan.Buzus
Jiangmin 11.0.800 2009.11.07 -
K7AntiVirus 7.10.891 2009.11.07 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.11.07 Backdoor.Win32.SdBot.qaf
McAfee 5794 2009.11.06 BackDoor-DOQ.gen.u
McAfee+Artemis 5794 2009.11.06 BackDoor-DOQ.gen.u
Microsoft 1.5202 2009.11.07 TrojanProxy:Win32/Ranky
NOD32 4581 2009.11.07 a variant of Win32/Injector.AGK
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.07 Backdoor/W32.SdBot.58880.M
Panda 10.0.2.2 2009.11.07 Bck/Sdbot.JED.worm
Prevx 3.0 2009.11.07 Medium Risk Malware
Rising 21.54.52.00 2009.11.07 -
Sophos 4.47.0 2009.11.07 Mal/EncPK-LL
Sunbelt 3.2.1858.2 2009.11.07 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.11.07 Backdoor.Sdbot
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.07 BKDR_SDBOT.DCP
VBA32 3.12.10.11 2009.11.06 Backdoor.Win32.SdBot.qaf
ViRobot 2009.11.6.2025 2009.11.06 Trojan.Win32.Buzus.57856.G
VirusBuster 4.6.5.0 2009.11.07 -
Information additionnelle
File size: 58880 bytes
MD5...: 1eac8e187865799a8c276bad42462f7a
SHA1..: 5f12fde574cab0714f108aad58aa4b76a1b94dc4
SHA256: eb15f3f40400d26cae2824e67706b7a6219a4170e77b793a2d11248ea260f469
ssdeep: 1536:CWW2tymu3EGDYlrmS+Ztfbjq3QVjSLSh:pW6ruVY5sdq3D
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x282c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x2e24 0x3000 6.11 3814afa20e9004feb9498f25f1ce634f
DATA 0x4000 0x15c 0x200 2.84 9e76cd380f9ab64aa442cef03c2a6de1
BSS 0x5000 0xcd9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x6000 0x1de 0x200 3.92 64a8bd3e58fdcb6c701caaf91edaf71e
.tls 0x7000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x8000 0x18 0x200 0.20 9c64371b3caaec39a528c752bd95a1b9
.reloc 0x9000 0x484 0x600 5.64 88d06e96cd5b87ac1ebc36d0e9a635fc
.rsrc 0xa000 0xa554 0xa600 7.79 70a992925bc822a63989c2840060ac84

( 3 imports )
> kernel32.dll: GetCurrentThreadId, WideCharToMultiByte, ExitProcess, RtlUnwind, RaiseException, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap
> oleaut32.dll: SysFreeString, SysReAllocStringLen
> kernel32.dll: LoadLibraryExA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F72816760040A2C4E69D00AB14CD35000618FF3A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F72816760040A2C4E69D00AB14CD35000618FF3A</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 17 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 nov. 2009 à 18:56
bien ...


que de la m**de ...^^"



la suite ( toujours ces deux clé branchées au PC ! ) :



1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,



:Files
G:\Key-Installer.exe
F:\Key-Installer.exe
C:\WINDOWS\System32\wbar.exe

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


===================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ...


Relance ensuite une nouvelle fois ZHPDiag , mais cette fois fais un scan "MD5" en cliquant sur le bouton " loupe + dossier " présent en haut à droite ...
Sauvegarde se rapport et poste le via Cijoint également ...

0
Réponse 18 / 28
Mr_Domino
7 nov. 2009 à 19:08
Sans MD5

http://www.cijoint.fr/cjlink.php?file=cj200911/cijDSihoCF.txt

AVEC MD5

http://www.cijoint.fr/cjlink.php?file=cj200911/cijykmNiKB.txt



Le diagnostic OTM...


All processes killed
========== FILES ==========
G:\Key-Installer.exe moved successfully.
F:\Key-Installer.exe moved successfully.
C:\WINDOWS\System32\wbar.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Mr_Domino
->Temp folder emptied: 607988 bytes
->Temporary Internet Files folder emptied: 170605 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 70212130 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114013 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 13871465 bytes

Total Files Cleaned = 82,95 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11072009_185717

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 19 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
8 nov. 2009 à 10:07
Salut,


on avance ... mais des saltés refont leurs apparitions ... ^^



on poursuit donc avec ceci :



A -Télécharge SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
ou ici http://sdfix.net/SDFix.exe

--> Double-clique sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil .
-->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".

Poste ce dernier dans ta prochaine réponse pour analyse ...


========================


B- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


0
Réponse 20 / 28
Mr_Domino
8 nov. 2009 à 10:58
Alors, le rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj200911/cijN5MDXBw.txt

Et le rapport SDFIX

[b]SDFix: Version 1.240 [/b]
Run by Mr_Domino on 08/11/2009 at 10:43

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\lssas.exe - Deleted
C:\WINDOWS\system32\spoolsvc.exe - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-08 10:51:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 24 Jun 2009 163,880 ..SHR --- "C:\WINDOWS\mpupd.exe"
Tue 23 Jun 2009 50,176 ..SHR --- "C:\WINDOWS\vmnat.exe"
Mon 7 Sep 2009 1,570,648 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 28 May 2009 76,418 A.SHR --- "C:\_OTM\MovedFiles\11072009_185717\Key-Installer.exe"

[b]Finished![/b]
0

Discussions similaires

erreur système de fichiers (- 1073741819)
lily -
Aucan -

7 réponses
virus services.exe ou service.exe
jujucz -
jujucz -

26 réponses
Virus dans le mbamservice.exe
BAPTISTE9922 -
Malekal_morte- -

21 réponses
Lenteur Vista et deux portables Toshiba
Félix-Victor -
jezu -

16 réponses
[reboot] services.exe code d'état -1073741819
Ze-Ben -
Ze-Ben -

5 réponses