Virus Lire rapport hijackthis?Résolu/Fermé

Question

Bonjour,
je viens de faire un scan avec hijackthis car je pense que mon pc est infecté je vous poste le rapport je vous remercie d'avance pour votre aide.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:43, on 02/02/2010
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tropal.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [SpywareTerminatorUpdate] "C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe" (User 'Système')
O4 - HKUS\.DEFAULT\..\Run: [SpywareTerminatorUpdate] "C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe" (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O13 - Gopher Prefix: 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

pimprenelle27 · Answer

Bonsoir,

As tu fais y pas longtemps un scan avec Malwarebyte's?

ouha · Answer

salut j'ai lancé un scan avec malwarebyte's et il ma trouvé une infection que j'ai supprimé et j'ai du redémarrer lordi ensuite et ces tous ce que j'ai fait pour l'instant.

pimprenelle27 · Answer

Bonjour,

tu le poster le rapport malware STP. Merci.

ouha · Answer

Bonjour,
 le voila:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3680
Windows 6.1.7100
Internet Explorer 8.0.7100.0

02/02/2010 21:19:03
mbam-log-2010-02-02 (21-19-03).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 238638
Temps écoulé: 40 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Oujda\AppData\Local\Mozilla\Firefox\Profiles\z1w8p3tm.default\Cache\6DD15E1Fd01 (Rogue.Installer) -> Quarantined and deleted successfully.

pimprenelle27 · Answer

ok fait moi ceci pour un diagnostic de ton pc : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; copie le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

&#x25B6; Ensuite viens coller dans ta prochaine réponse le rapport log.txt et dans une autre réponse la rapport info.txt afin qu'ils soient complet tout les 2.

ouha · Answer

j'ai un message d'erreur quand je clique sur continue de random il m'affiche Error:Variable used without being declared. je dois faire quoi?

pimprenelle27 · Answer

bon fait moi celui ci : 

&#9654; Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

&#9654; Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

&#9654; lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

&#x25B6; Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

&#9654; Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

&#9654; clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654; Clique sur Parcourir et cherche le fichier ZHPDiag.txt

&#9654; Clique sur Ouvrir.

&#9654; Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654; Copie ce lien dans ta réponse.

ouha · Answer

salutdésolé je finiré taleur je vais au boulot je ferais ce que tu ma di et je t'envoi le tous merci encore.

ouha · Answer

voila le lien avant que je parte
http://www.cijoint.fr/cjlink.php?file=cj201002/cijGkTWquY.txt

pimprenelle27 · Answer

Voilà une petite infection USB pour le moment : 

&#x25B6; Télécharge UsbFix et enregistre-le sur ton bureau

&#x25B6; tutoriel recherche

&#x25B6; Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Choisi l'option 1 (recherche)

&#x25B6; Laisse travailler l'outil

&#x25B6; Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

ouha · Answer

salut voila le rapport :

############################## | UsbFix V6.086 |

User : Oujda (Administrateurs) # OUJDA-PC
Update on 03/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:47:03 | 03/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7100 64-bit) # 
Internet Explorer 8.0.7100.0
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 465,75 Go (130,58 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

############################## | Processus actifs |

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Windows\SysWOW64\PnkBstrA.exe
C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{1ebfa16c-8a4c-11de-8b2d-002215639541}
shell\AutoRun\command =J:\Autoplay.exe 

################## | ! Fin du rapport # UsbFix V6.086 ! |

pimprenelle27 · Answer

&#x25B6; tutoriel nettoyage

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci UsbFix présent sur ton bureau

&#x25B6; choisi l'option 2 ( Suppression )

&#x25B6; Ton bureau disparaîtra et le pc redémarrera .

&#x25B6; Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#x25B6; Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

&#x25B6; Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

&#x25B6; /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

&#x25B6; Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

&#x25B6; Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

&#x25B6; Merci d'avance pour ta contribution !!

ouha · Answer

voila le rapport :


############################## | UsbFix V6.086 |

User : Oujda (Administrateurs) # OUJDA-PC
Update on 03/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:19:57 | 04/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7100 64-bit) # 
Internet Explorer 8.0.7100.0
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 465,75 Go (130,18 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

############################## | Processus actifs |

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Windows\SysWOW64\PnkBstrA.exe
C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
C:\Windows\SysWOW64unonce.exe

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1526496010-3586117913-1093853490-1000 
Supprimé ! C:\Recycler\S-1-5-21-1177238915-57989841-682003330-500 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{1ebfa16c-8a4c-11de-8b2d-002215639541}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[27/07/2009 17:20|--a------|0] C:\AUTOEXEC.BAT 
[27/07/2009 17:16|---h-----|212] C:\Boot.BAK 
[30/07/2009 14:47|-rahs----|356] C:\Boot.ini.saved 
[14/04/2008 13:00|-rahs----|4952] C:\Bootfont.bin 
[22/04/2009 06:28|-rahs----|383200] C:\bootmgr 
[30/07/2009 14:47|-rahs----|8192] C:\BOOTSECT.BAK 
[27/07/2009 17:20|--a------|0] C:\CONFIG.SYS 
[02/08/2009 09:59|-rahs----|171136] C:\grldr 
[?|?|?] C:\hiberfil.sys 
[27/07/2009 17:20|-rahs----|0] C:\IO.SYS 
[22/09/2005 23:39|--a------|894976] C:\msdia80.dll 
[27/07/2009 17:20|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 13:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 13:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[27/07/2009 18:08|--a------|522] C:\RHDSetup.log 
[27/07/2009 17:20|--a------|2102] C:\Silverlight0.log 
[27/07/2009 17:20|--a------|548620] C:\SilverlightMSI.log 
[04/02/2010 21:21|--a------|2309] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_Oujda-PC.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.086 ! |

pimprenelle27 · Answer

Ensuite : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

ouha · Answer

salut voila le rapport:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3694
Windows 6.1.7100
Internet Explorer 8.0.7100.0

05/02/2010 21:21:17
mbam-log-2010-02-05 (21-21-17).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 239098
Temps écoulé: 31 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

Ensuite pour vérifier qu'il n'y est pas de spyware, adware, trojans, vers, keylogger, hijacker, dialer et toutes autres menaces destinées au vol d'informations confidentielles


Télécharge Superantispyware (SAS)



Choisis en bas de la page download free version home users puis tu clique sur "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

ouha · Answer

bonjour.
voila le rapport:

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 02/06/2010 at 09:47 PM

Application Version : 4.33.1000

Core Rules Database Version : 4561
Trace Rules Database Version: 2373

Scan type       : Complete Scan
Total Scan Time : 00:24:16

Memory items scanned      : 379
Memory threats detected   : 0
Registry items scanned    : 5551
Registry threats detected : 0
File items scanned        : 36294
File threats detected     : 8

Adware.Tracking Cookie
	C:\Users\Oujda\AppData\Roaming\Microsoft\Windows\Cookies\oujda@bs.serving-sys[2].txt
	C:\Users\Oujda\AppData\Roaming\Microsoft\Windows\Cookies\oujda@atdmt[1].txt
	C:\Users\Oujda\AppData\Roaming\Microsoft\Windows\Cookies\oujda@doubleclick[1].txt
	C:\Users\Oujda\AppData\Roaming\Microsoft\Windows\Cookies\oujda@serving-sys[2].txt
	C:\Users\Oujda\AppData\Roaming\Microsoft\Windows\Cookies\oujda@msnportal.112.2o7[1].txt
	C:\Users\Oujda\AppData\Local\Temp\Cookies\oujda@atdmt[2].txt
	C:\Users\Oujda\AppData\Roaming\Microsoft\Windows\Cookies\Low\oujda@atdmt[2].txt
	C:\Users\Oujda\AppData\Roaming\Microsoft\Windows\Cookies\Low\oujda@ads.backads[2].txta

pimprenelle27 · Answer

que des cookies rien de bien méchant, ensuite ceci et on passera au nettoyage : 

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est détecté a tort comme infection)

&#9654; Télécharge et installe List&Kill'em et enregistre le sur ton bureau

&#9654; Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "créer une icône sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654; laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

&#9654; Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  chercher le rapport .txt puis cliquez sur  ici pour déposer le fichier

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

ouha · Answer

voila le rapport:
List'em by g3n-h@ckm@n 1.2.4.0

User : Oujda (Administrateurs) 
Update on 05/02/2010 by g3n-h@ckm@n ::::: 18.40 
Start at: 11:15:21 | 08/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7100 64-bit) # 
Internet Explorer 8.0.7100.0
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 465,75 Go (132,63 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Windows\SysWOW64\PnkBstrA.exe
C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
C:\Program Files (x86)\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\List_Kill'em\List_Kill'em.scr
C:\Windows\SysWOW64\cmd.exe
C:\Users\Oujda\AppData\Local\Temp\D0A7.tmp\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MsnMsgr	REG_SZ         	"C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
DLD.EXE	REG_SZ         	
SUPERAntiSpyware	REG_SZ         	C:\Program Files (x86)\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
avgnt	REG_SZ         	"C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
Adobe ARM	REG_SZ         	"C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files (x86)\Java\jre6\bin\jusched.exe" 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
ConsentPromptBehaviorAdmin	REG_DWORD      	0 (0x0) 
ConsentPromptBehaviorUser	REG_DWORD      	3 (0x3) 
EnableInstallerDetection	REG_DWORD      	1 (0x1) 
EnableLUA	REG_DWORD      	0 (0x0) 
EnableSecureUIAPaths	REG_DWORD      	1 (0x1) 
EnableUIADesktopToggle	REG_DWORD      	0 (0x0) 
EnableVirtualization	REG_DWORD      	1 (0x1) 
PromptOnSecureDesktop	REG_DWORD      	0 (0x0) 
ValidateAdminCodeSignatures	REG_DWORD      	0 (0x0) 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
scforceoption	REG_DWORD      	0 (0x0) 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
FilterAdministratorToken	REG_DWORD      	0 (0x0) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	128 (0x80) 
NoDriveTypeAutoRun	REG_DWORD      	128 (0x80) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoActiveDesktop	REG_DWORD      	1 (0x1) 
ForceActiveDesktopOn	REG_DWORD      	0 (0x0) 
NoActiveDesktopChanges	REG_DWORD      	0 (0x0) 
NoDriveAutoRun	REG_DWORD      	128 (0x80) 
NoDriveTypeAutoRun	REG_DWORD      	128 (0x80) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 ReportBootOk	REG_SZ         	1 
 Shell	REG_SZ         	explorer.exe 
 PreCreateKnownFolders	REG_SZ         	{A520A1A4-1780-4FF6-BD18-167343C5AF16} 
 DefaultDomainName	REG_SZ         	 
 DefaultUserName	REG_SZ         	 
 Userinit	REG_SZ         	C:\Windows\system32\userinit.exe, 
 VMApplet	REG_SZ         	SystemPropertiesPerformance.exe /pagefile 
 allocatecdroms	REG_SZ         	0 
 LegalNoticeCaption	REG_SZ         	 
 LegalNoticeText	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x3 ( OK = 2 )
SharedAccess : 0x4 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Oujda\AppData\Local\Temp\D0A7.tmp
## C:\> hashdeep C:\Windows\Sysnative\Drivers\atapi.sys
## 
24128,f57b8bb59fb27784b67d54d9161d3cd9,84951b35ddc75b5fe4a04249eb3e05c5edc23ace64c7a498f12d0cd4eed9d61e,C:\Windows\Sysnative\Drivers\atapi.sys


Sources
======= 
 
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_amd64_neutral_6240958557aee151\atapi.sys  
C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7100.0_none_aa49bbff2efd111b\atapi.sys  
C:\Windows.old\Windows\system32\drivers\atapi.sys  
C:\Windows.old\Windows\system32\drivers\system32\DRIVERS\atapi.sys  
C:\Windows.old\Windows\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys  
C:\Windows.old\Windows\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys  

Référence :
==========

Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
 
=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Windows\SysWow64\x3daudio1_0.dll  
Present !! : C:\Windows\SysWow64\x3daudio1_1.dll  
Present !! : C:\Windows\SysWow64\X3DAudio1_2.dll  
Present !! : C:\Windows\SysWow64\X3DAudio1_3.dll  
Present !! : C:\Windows\SysWow64\X3DAudio1_4.dll  
Present !! : C:\Windows\SysWow64\X3DAudio1_5.dll  
Present !! : C:\Windows\SysWow64\X3DAudio1_6.dll  
Present !! : C:\Windows\SysWow64\XInput9_1_0.dll  
Present !! : C:\Windows\Sysnative\x3daudio1_0.dll  
Present !! : C:\Windows\Sysnative\x3daudio1_1.dll  
Present !! : C:\Windows\Sysnative\X3DAudio1_2.dll  
Present !! : C:\Windows\Sysnative\X3DAudio1_3.dll  
Present !! : C:\Windows\Sysnative\X3DAudio1_4.dll  
Present !! : C:\Windows\Sysnative\X3DAudio1_5.dll  
Present !! : C:\Windows\Sysnative\X3DAudio1_6.dll  
Present !! : C:\Windows\Sysnative\XInput9_1_0.dll  
Present !! : C:\Users\Oujda\Local Settings\Temp\SH.txt  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp
vStInst.exe  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\SSUPDATE.EXE  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\_isDAB5.exe  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\carl_marshall_%26_s.d.%27s%2C_the_-_1980_-_i%27ll_give_my_heart_to_you_by_bentleyfunk.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\Strutt_-_1976_-_Time_Moves_On.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\The_Dutch_Rhythm_Steel___Show_Band_-_1975_-_Soul___Steel_Show.rar  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges  

============

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-08 11:21:06
Windows 6.1.7100  WOW64 NTFS

detected NTDLL code modification:
ZwEnumerateKey 0 != 47, ZwQueryKey 0 != 19, ZwOpenKey 0 != 15, ZwClose 0 != 12, ZwEnumerateValueKey 0 != 16, ZwQueryValueKey 0 != 20, ZwOpenFile 0 != 48, ZwQueryDirectoryFile 0 != 50, ZwQuerySystemInformation 0 != 51Initialization error


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR 

==========
Programs
==========

abgx360
Adobe
AGEIA Technologies
Avira
AVS4YOU
CCleaner
CDBurnerXP
CHRYOPROD
Common Files
desktop.ini
Download Direct
Eidos
Free Audio Pack
ImgBurn
InstallShield Installation Information
Internet Explorer
Java
List_Kill'em
Logitech
ma-config.com
Malwarebytes' Anti-Malware
Microsoft
Microsoft Games
Microsoft Games for Windows - LIVE
Microsoft Silverlight
Mozilla Firefox
MSBuild
NVIDIA Corporation
Reference Assemblies
SuperAdBlocker.com
SUPERAntiSpyware
SystemRequirementsLab
Trend Micro
UltraISO
Uninstall Information
VideoLAN
Windows Defender
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Viewer
Windows Sidebar
WinRAR
ZHPDiag

============
Drive C:
============

$Recycle.Bin
AUTOEXEC.BAT
autorun.inf
Boot
Boot.BAK
Boot.ini.saved
Bootfont.bin
bootmgr
BOOTSECT.BAK
CONFIG.SYS
Documents and Settings
grldr
hiberfil.sys
Intel
IO.SYS
Kill'em
List'em.txt
msdia80.dll
MSDOS.SYS
NTDETECT.COM
ntldr
NVIDIA
pagefile.sys
PerfLogs
Program Files
Program Files (x86)
ProgramData
Recovery
RECYCLER
RHDSetup.log
rsit
Silverlight0.log
SilverlightMSI.log
System Volume Information
Temp
UsbFix
UsbFix.txt
UsbFix_Upload_Me_Oujda-PC.zip
Users
Windows
Windows.old
 
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials 
 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Film & Musique\Soul & Funk 2\SWSetup\hpOSEnh\SerialPort.reg 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Soul & Funk 2\SWSetup\hpOSEnh\SerialPort.reg 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Film & Musique\Soul & Funk 2\SWSetup\MMFlash\Install.exe 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Film & Musique\Soul & Funk 2\SWSetup\MSWorks\FR\Install.exe 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Soul & Funk 2\SWSetup\MMFlash\Install.exe 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Soul & Funk 2\SWSetup\MSWorks\FR\Install.exe 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
et le lien:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijO4BRpkl.txt

pimprenelle27 · Answer

A supprimer : Cracks | Keygens | Serials  source de virus, car tu ass peut être encore un ROOTKIT : 


Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.

Voici les principales actions des rootkits :

    * Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
    * Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.

Nettoyage :


! Déconnecte toi ferme toutes tes applications en cours !

    * Redémarrer ton PC en mode sans échec manuellement 
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec sans prise en charge réseau et appuyez sur la touche entrée de votre clavier.


&#9654; Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654; choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

&#9654; colle le contenu dans ta réponse

ouha · Answer

voila le rapport:

Kill'em by g3n-h@ckm@n 1.2.4.0 
 
User : Oujda () 
Update on 05/02/2010 by g3n-h@ckm@n ::::: 18.40 
Start at: 13:18:45 | 10/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7100 64-bit) # 
Internet Explorer 8.0.7100.0
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 465,75 Go (125,55 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Program Files (x86)\List_Kill'em\List_Kill'em.scr
C:\Windows\SysWOW64\cmd.exe
C:\Users\Oujda\AppData\Local\Temp\CE55.tmp\ERUNT.EXE
C:\Users\Oujda\AppData\Local\Temp\CE55.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\Windows\SysWow64\x3daudio1_0.dll 
Quarantined & Deleted !! : C:\Windows\SysWow64\x3daudio1_1.dll 
Quarantined & Deleted !! : C:\Windows\SysWow64\X3DAudio1_2.dll 
Quarantined & Deleted !! : C:\Windows\SysWow64\X3DAudio1_3.dll 
Quarantined & Deleted !! : C:\Windows\SysWow64\X3DAudio1_4.dll 
Quarantined & Deleted !! : C:\Windows\SysWow64\X3DAudio1_5.dll 
Quarantined & Deleted !! : C:\Windows\SysWow64\X3DAudio1_6.dll 
Quarantined & Deleted !! : C:\Windows\SysWow64\XInput9_1_0.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\x3daudio1_0.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\x3daudio1_1.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\X3DAudio1_2.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\X3DAudio1_3.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\X3DAudio1_4.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\X3DAudio1_5.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\X3DAudio1_6.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\XInput9_1_0.dll 
Quarantined & Deleted !! : C:\Users\Oujda\Local Settings\Temp\SH.txt 
Quarantined & Deleted !! : C:\Users\Oujda\LOCAL Settings\Temp
vStInst.exe 
Quarantined & Deleted !! : C:\Users\Oujda\LOCAL Settings\Temp\SSUPDATE.EXE 
Quarantined & Deleted !! : C:\Users\Oujda\LOCAL Settings\Temp\_isDAB5.exe 
Quarantined & Deleted !! : C:\Users\Oujda\LOCAL Settings\Temp\catchme.dll 
Quarantined & Deleted !! : C:\Users\Oujda\LOCAL Settings\Temp\carl_marshall_%26_s.d.%27s%2C_the_-_1980_-_i%27ll_give_my_heart_to_you_by_bentleyfunk.rar 
Quarantined & Deleted !! : C:\Users\Oujda\LOCAL Settings\Temp\Strutt_-_1976_-_Time_Moves_On.rar 
Quarantined & Deleted !! : C:\Users\Oujda\LOCAL Settings\Temp\The_Dutch_Rhythm_Steel___Show_Band_-_1975_-_Soul___Steel_Show.rar 
 
==============
host file OK !
==============

========
Registry
========

Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges  
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
============
 
================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

bonsoir,

Peux tu refaire list&killem option 1 merci.

ouha · Answer

Bonjour,
Oui voila le rapport:

List'em by g3n-h@ckm@n 1.2.4.0

User : Oujda (Administrateurs) 
Update on 05/02/2010 by g3n-h@ckm@n ::::: 18.40 
Start at: 10:27:12 | 14/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7100 64-bit) # 
Internet Explorer 8.0.7100.0
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 465,75 Go (119,67 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Windows\SysWOW64\PnkBstrA.exe
C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
C:\Program Files (x86)\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Adobe\Reader 9.0\Readereader_sl.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\List_Kill'em\List_Kill'em.scr
C:\Windows\SysWOW64\cmd.exe
C:\Users\Oujda\AppData\Local\Temp\E30E.tmp\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MsnMsgr	REG_SZ         	"C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
DLD.EXE	REG_SZ         	
SUPERAntiSpyware	REG_SZ         	C:\Program Files (x86)\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
avgnt	REG_SZ         	"C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files (x86)\Java\jre6\bin\jusched.exe" 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
Adobe ARM	REG_SZ         	"C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
ConsentPromptBehaviorAdmin	REG_DWORD      	0 (0x0) 
ConsentPromptBehaviorUser	REG_DWORD      	3 (0x3) 
EnableInstallerDetection	REG_DWORD      	1 (0x1) 
EnableLUA	REG_DWORD      	0 (0x0) 
EnableSecureUIAPaths	REG_DWORD      	1 (0x1) 
EnableUIADesktopToggle	REG_DWORD      	0 (0x0) 
EnableVirtualization	REG_DWORD      	1 (0x1) 
PromptOnSecureDesktop	REG_DWORD      	0 (0x0) 
ValidateAdminCodeSignatures	REG_DWORD      	0 (0x0) 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
scforceoption	REG_DWORD      	0 (0x0) 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
FilterAdministratorToken	REG_DWORD      	0 (0x0) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	128 (0x80) 
NoDriveTypeAutoRun	REG_DWORD      	128 (0x80) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoActiveDesktop	REG_DWORD      	1 (0x1) 
ForceActiveDesktopOn	REG_DWORD      	0 (0x0) 
NoDriveAutoRun	REG_DWORD      	128 (0x80) 
NoDriveTypeAutoRun	REG_DWORD      	128 (0x80) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 ReportBootOk	REG_SZ         	1 
 Shell	REG_SZ         	explorer.exe 
 PreCreateKnownFolders	REG_SZ         	{A520A1A4-1780-4FF6-BD18-167343C5AF16} 
 DefaultDomainName	REG_SZ         	 
 DefaultUserName	REG_SZ         	 
 Userinit	REG_SZ         	C:\Windows\system32\userinit.exe, 
 VMApplet	REG_SZ         	SystemPropertiesPerformance.exe /pagefile 
 allocatecdroms	REG_SZ         	0 
 LegalNoticeCaption	REG_SZ         	 
 LegalNoticeText	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x2 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Oujda\AppData\Local\Temp\E30E.tmp
## C:\> hashdeep C:\Windows\Sysnative\Drivers\atapi.sys
## 
24128,f57b8bb59fb27784b67d54d9161d3cd9,84951b35ddc75b5fe4a04249eb3e05c5edc23ace64c7a498f12d0cd4eed9d61e,C:\Windows\Sysnative\Drivers\atapi.sys


Sources
======= 
 
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_amd64_neutral_6240958557aee151\atapi.sys  
C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7100.0_none_aa49bbff2efd111b\atapi.sys  
C:\Windows.old\Windows\system32\drivers\atapi.sys  
C:\Windows.old\Windows\system32\drivers\system32\DRIVERS\atapi.sys  
C:\Windows.old\Windows\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys  
C:\Windows.old\Windows\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys  

Référence :
==========

Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
 
=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Windows\SysWow64\XInput9_1_0.dll  
Present !! : C:\Windows\Sysnative\XInput9_1_0.dll  
Present !! : C:\Users\Oujda\Local Settings\Temp\NA.txt  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\SSUPDATE.EXE  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\Billy_Paul_-_Ebony_Woman__1970_.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\leechdl.com_lamont_dozier_-_black_bach__1974_.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\lonnie_liston_smith_-_astral_traveling__1973_.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\lonnie_liston_smith_-_cosmic_funk__1974_.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\lonnie_liston_smith_-_exotic_mysteries__1978_.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\Luther - 1976 - Luther _Vandross_.rar  
Present !! : C:\Users\Oujda\LOCAL Settings\Temp\Luther_Ingram_1972_Ive_Been_Here_All_The_time.rar  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 


============

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-14 10:34:24
Windows 6.1.7100  WOW64 NTFS

detected NTDLL code modification:
ZwEnumerateKey 0 != 47, ZwQueryKey 0 != 19, ZwOpenKey 0 != 15, ZwClose 0 != 12, ZwEnumerateValueKey 0 != 16, ZwQueryValueKey 0 != 20, ZwOpenFile 0 != 48, ZwQueryDirectoryFile 0 != 50, ZwQuerySystemInformation 0 != 51Initialization error


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR 

==========
Programs
==========

abgx360
Adobe
AGEIA Technologies
Avira
AVS4YOU
CCleaner
CDBurnerXP
CHRYOPROD
Common Files
desktop.ini
Download Direct
Eidos
Free Audio Pack
ImgBurn
InstallShield Installation Information
Internet Explorer
Java
List_Kill'em
Logitech
ma-config.com
Malwarebytes' Anti-Malware
Microsoft
Microsoft Games
Microsoft Games for Windows - LIVE
Microsoft Silverlight
Mozilla Firefox
MSBuild
NVIDIA Corporation
Reference Assemblies
SuperAdBlocker.com
SUPERAntiSpyware
SystemRequirementsLab
Trend Micro
UltraISO
Uninstall Information
VideoLAN
Windows Defender
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Viewer
Windows Sidebar
WinRAR
ZHPDiag

============
Drive C:
============

$Recycle.Bin
AUTOEXEC.BAT
autorun.inf
Boot
Boot.BAK
Boot.ini.saved
Bootfont.bin
bootmgr
BOOTSECT.BAK
Config.Msi
CONFIG.SYS
Documents and Settings
grldr
hiberfil.sys
Intel
IO.SYS
Kill'em
Kill'em.txt
List'em.txt
msdia80.dll
MSDOS.SYS
NTDETECT.COM
ntldr
NVIDIA
pagefile.sys
PerfLogs
Program Files
Program Files (x86)
ProgramData
Recovery
RECYCLER
RHDSetup.log
rsit
Silverlight0.log
SilverlightMSI.log
System Volume Information
Temp
UsbFix
UsbFix_Upload_Me_Oujda-PC.zip
Users
Windows
Windows.old
 
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials 
 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Film & Musique\Soul & Funk 2\SWSetup\hpOSEnh\SerialPort.reg 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Film & Musique\Soul & Funk 2\SWSetup\MMFlash\Install.exe 
C:\Windows.old\Documents and Settings\Administrateur\Bureau\Musique Soul & Funk\Film & Musique\Soul & Funk 2\SWSetup\MSWorks\FR\Install.exe 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

Refais l'option 2 STP.

ouha · Answer

bonsoir:
voila le rapport de l'option 2:

Kill'em by g3n-h@ckm@n 1.2.4.0 
 
User : Oujda () 
Update on 05/02/2010 by g3n-h@ckm@n ::::: 18.40 
Start at: 20:53:48 | 16/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7100 64-bit) # 
Internet Explorer 8.0.7100.0
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 465,75 Go (115,46 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Program Files (x86)\List_Kill'em\List_Kill'em.scr
C:\Windows\SysWOW64\cmd.exe
C:\Users\Oujda\AppData\Local\Temp\D6CE.tmp\ERUNT.EXE
C:\Users\Oujda\AppData\Local\Temp\D6CE.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\Windows\SysWow64\XInput9_1_0.dll 
Quarantined & Deleted !! : C:\Windows\Sysnative\XInput9_1_0.dll 
 
==============
host file OK !
==============

========
Registry
========

========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
============
 
================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

un dernier RSIT.

ouha · Answer

impossible de l'installer j'ai le message d'erreur qui s'affiche.

pimprenelle27 · Answer

Parce que tu l'avais supprimé?

ouha · Answer

non je t'avais dis sur mes messages précédent qu'il ne voulais pas s'installer.

pimprenelle27 · Answer

pour le tout 1er messages du sujet y a bien un rapport RSIT?

ouha · Answer

le 1er message je l'ai fait avec hijackthis et en suite tu ma demander de faire avec RSIT et je t'avais dis qu'il ne voulais pas s'installer et la tu ma donné a sa place USBFIX.

pimprenelle27 · Answer

Effectivement je croyais avoir vu RSIT, mais non c'est ZHP.

ouha · Answer

tu veu que je fasse quoi?

pimprenelle27 · Answer

Bonsoir,

Tu fera ceci alors : 

&#9654; Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

&#9654; Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

&#9654; lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

&#x25B6; Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

&#9654; Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

&#9654; clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654; Clique sur Parcourir et cherche le fichier ZHPDiag.txt

&#9654; Clique sur Ouvrir.

&#9654; Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654; Copie ce lien dans ta réponse.

ouha · Answer

salut voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijzM4d5Qx.txt

Virus Lire rapport hijackthis?

35 réponses

Discussions similaires

Newsletters