Sujet Précédent Sujet Suivant

Plusieurs processus "iexplore.exe"

Résolu/Fermé
Alex390 Messages postés 6 Date d'inscription dimanche 12 août 2007 Statut Membre Dernière intervention 27 août 2007 - 12 août 2007 à 18:58
 didi - 24 févr. 2009 à 17:03
Bonjour

Depuis quelques jours je constate que dans ma liste de processus, j'ai des "iexplore.exe" qui se multiplient si je ne les supprime pas (une dizaine par heure) alors que je n'utilise pas internet explorer.

Ceci ralenti fortement l'ordinateur (qui fini par planter au bout de quelques heures, faute de mémoire vive), je pense que cela a un lien avec le trojan "bifrose" detecté par Avast il y a peu.

Seulement voila, le fameux trojan est en quarantaine, il n'est plus detecté par mes logiciels (avast, spybot, ad aware, xoftspy, counter spy) mais les processus sont toujours la :(
Que faire pour vérifier si je suis toujours infecté ? et comment s'en débarasser ?

Je poste le rapport de HiJackThis pour gagner du temps :)

Merci d'avance pour vos réponses.



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:56:03, on 12/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NDAS\System\ndassvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Wistron\AVManager\AVManager.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\WorldCommunityGrid\UD.EXE
C:\Program Files\WorldCommunityGrid\ud_17354810.exe
C:\Program Files\WorldCommunityGrid\ud_17354810_0.dir\WCGrid_AutoDock.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\ALEX\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteoconsult.fr/previsions-meteo/bulletin-detaille/ville-12365/previsions-meteo-lons-le-saunier-aujourdhui
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteoconsult.fr/synthese-previsions-meteo.php?recherche=lons%20le%20saunier
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVManager] "C:\Program Files\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PHIME2006ASyn] C:\DOCUME~1\ALEX\LOCALS~1\alvsvpd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers PDW2_16.lnk = C:\Documents and Settings\ALEX\Bureau\PDW\PDW2_16.exe
O4 - Startup: World Community Grid Agent.lnk = C:\Program Files\WorldCommunityGrid\UD.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NDAS Device Management.lnk = C:\Program Files\NDAS\System\ndasmgmt.exe
O4 - Global Startup: POC32.lnk = C:\Program Files\BayCom\POC32\poc32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: 51950 - {00000222-1111-1234-4321-0A1B2C3D4E99} - s1864w32.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

29 réponses

  • 1
  • 2
Réponse 1 / 29
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
12 août 2007 à 19:06
Bonjour Alex390 !
Attention! Aucun pare-feu actif n'a été trouvé sur votre système ou le pare-feu que vous utilisez nous est inconnu. Si vous n'utilisez pas de pare-feu vous devriez en télécharger un et l'installer ou activer celui de Windows XP. Au cas où vous auriez des questions ou vous désiriez que nous ajoutions votre pare-feu à notre base de données, contactez nous sur notre forum forum.hijackthis.de

Installes ceci: https://www.clubic.com/telecharger-fiche10494-zonealarm-free-antivirus-firewall.html

ensuite fais ce qui est décrit ici : https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Et mets le log ici.
Puis comme premiers soins ...
1: Dans Internet Explorer, tu vas dans Outils/ Gérer les modules complémentaires, puis tu désactives les modules bizarres et les Active X
2: Tu te sers de Ccleaner que si tu n'as pas tu installes ici : https://filehippo.com/download_ccleaner/
Et en installant, tu DÉCOCHES la Barre Yahoo . Puis une fois installé, tu vas dans Options/Propriétés/ Effacement lent 7 Passages NSA .Voilà la meilleure config.
Tu lances le Nettoyage 2 fois . Tu vas dans chercher des erreurs et tu corriges TOUTES LES ERREURS OUI TOUTES.
3: Tu ne retournes en aucun cas sur Internet explorer sauf pour les nécessités d'usages : Soit les scans en lignes anti-virus / Windows Updates/ MSN , car tu n'as pas le choix.
Mais toutes tes navigations doivent se faire sur Firefox dont voici ici le lien : http://www.firefox-3-0.eu/fr/ Et sur Outils/ effacement des cookis à la fermeture de Firefox et effecement de tes traces automatique.

4: Afin de te protéger davantage directement sur le net des logiciels les plus menaçants soit un minimum de 8000 des pires , tu installes ceci : http://www.brightfort.com/spywareblaster.html

Puis MAJ et 'Enable protections pour INT EXP MOZILLA FIREFOX/ ET LES SITES À RISQUE!

J'ai eu une petite accalmie mais bien temporaire.
Alors si je ne peux revenir aujourd'hui, un autre prendra la relève! @+ jal
3
Réponse 2 / 29
Alex390
13 août 2007 à 00:54
Bonsoir

Merci pour l'aide apportée.
Après de nouveaux scans par différents logiciels, rien à signaler. Et pourtant les processus "iexplore.exe" continuent de se multiplier.... Voici le dernier log :


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:47:58, on 13/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NDAS\System\ndassvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Wistron\AVManager\AVManager.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\RegCleaner\RegCleanr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Documents and Settings\ALEX\Bureau\PDW\PDW2_16.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\ALEX\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteoconsult.fr/previsions-meteo/bulletin-detaille/ville-12365/previsions-meteo-lons-le-saunier-aujourdhui
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteoconsult.fr/synthese-previsions-meteo.php?recherche=lons%20le%20saunier
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVManager] "C:\Program Files\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PHIME2006ASyn] C:\DOCUME~1\ALEX\LOCALS~1\alvsvpd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers PDW2_16.lnk = C:\Documents and Settings\ALEX\Bureau\PDW\PDW2_16.exe
O4 - Startup: World Community Grid Agent.lnk = C:\Program Files\WorldCommunityGrid\UD.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NDAS Device Management.lnk = C:\Program Files\NDAS\System\ndasmgmt.exe
O4 - Global Startup: POC32.lnk = C:\Program Files\BayCom\POC32\poc32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: 51950 - {00000222-1111-1234-4321-0A1B2C3D4E99} - s1864w32.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
0
Réponse 3 / 29
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
13 août 2007 à 02:04
Allo alex ! On commence: Fixes en sans échec Ceci :Visitor's assessment Analyzerdetails
C:\WINDOWS\system32\cisvc.exe

Genre

Safe
Safe

Microsoft Index Service Helper
-------------------------------------------------------------
et Visitor's assessment Analyzerdetails
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

Genre

Very safe
Very safe

Machine Debug Manager. Used by developers.

---------------------------------
Attention Viral ici ! :Visitor's assessment Analyzerdetails
C:\Program Files\NDAS\System\ndassvc.exe

Genre

Safe
Safe

This entry was classified from our visitors as good.

-----------------------------------------------
Visitor's assessment Analyzerdetails
C:\Program Files\Launch Manager\OSD.exe

Genre

Very safe
Very safe

CA eTrust antivirus and ClamWin free antivirus

-------------------------------------

Visitor's assessment Analyzerdetails
C:\Program Files\Launch Manager\Wbutton.exe

Genre

Very safe
Very safe

Wireless Button
Visitor's assessment Analyzerdetails
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

--------------------------------------
Visitor's assessment Analyzerdetails
C:\Program Files\Launch Manager\Wbutton.exe

Genre

Very safe
Very safe

Wireless Button
Visitor's assessment Analyzerdetails
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe


---------------------------------------------------------------

Visitor's assessment Analyzerdetails
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr

Genre


Ce site a été identifié comme étant non dangereux
Visitor's assessment Analyzerdetails
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteoconsult.fr/

---------------------------------------------

Visitor's assessment Analyzerdetails
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.meteoconsult.fr/

---------------------------------------
Visitor's assessment Analyzerdetails
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

---------------------------------------------
Visitor's assessment Analyzerdetails
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Genre

Safe
Safe

Inscription superflue (car sans effet) qui peut donc être effacée ! This entry was classified from our visitors as good.


------------------------------------------

Visitor's assessment Analyzerdetails
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

Genre

Very safe
Very safe
swg.dll - Google Toolbar Notifier, http://googlesystem.blogspot.com/2006/07 /google-is-your-default-search.html

--------------------------------------------------
Visitor's assessment Analyzerdetails
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

-----------------------------------------

Visitor's assessment Analyzerdetails
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

Genre

Very safe
Very safe
Synaptics touchpad driver helper. Required for touchpad features to work
Visitor's assessment Analyzerdetails
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

-------------------------------
Visitor's assessment Analyzerdetails
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Genre

Neutral
Neutral
Non dangereux, mais tout de même superflu.
Visitor's assessment Analyzerdetails
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

Genre

Safe
Safe
Programme inconnu. This entry was classified from our visitors as good.

-------------------
Visitor's assessment Analyzerdetails
O4 - HKLM\..\Run: [SBCSTray] C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe

GenrePart of counterspy antispyware

Safe
Safe

-----------------------------------------


Part of counterspy antispyware

------------------------------------------------------
Visitor's assessment Analyzerdetails
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Genre

Neutral
Neutral
Associated with GoogleToolbarNotifier from Google Inc

--------------------------------------------------
Visitor's assessment Analyzerdetails Inconnu
O4 - HKCU\..\Run: [PHIME2006ASyn] C:\DOCUME~1\ALEX\LOCALS~1\alvsvpd.exe

Genre


Fuzzy Algorithmcheck (3.39 / 5.00), Neutral
Visitor's assessment Analyzerdetails
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

Genre

Very safe
Very safe
Office related
Visitor's assessment Analyzerdetails
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

Genre


Office related
Visitor's assessment Analyzerdetails
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

Genre

Very safe
Very safe
Office related
Visitor's assessment Analyzerdetails
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Genre

Very safe
Very safe
Office related
Visitor's assessment Analyzerdetails
O4 - Startup: Raccourci vers PDW2_16.lnk = C:\Documents and Settings\ALEX\Bureau\PDW\PDW2_16.exe

-----------------------------------
commence par ceci
0
Réponse 4 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 août 2007 à 03:03
Bonsoir Alex,

À ta place, je ne toucherais pas à ces 4 lignes :
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

Par contre il faut fixer cette ligne :
O21 - SSODL: 51950 - {00000222-1111-1234-4321-0A1B2C3D4E99} - s1864w32.dll (file missing)
Tu relances HijackThis [Scan only], coche la case devant la ligne O21 - SSODL: 51950 ... seulement, ferme toutes les applications en cours ( sauf HJT ) et clic [Fix checked].

Ensuite :
Télécharger OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )

3°- Redémarrer le PC

4°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )

5°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller le chemin exact du fichier que tu veux supprimer :

C:\WINDOWS\s1864w32.dll

-dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ".
-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.
•- Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport.


Termine par ceci :
Lance JV16 et fais un prénettoyage complet des cases vertes uniquement .
TUTO < http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm >
Ensuite, à la section VII-Fonction "chercheur du registre" , tu lances les recherches sur base {00000222-1111-1234-4321-0A1B2C3D4E99} , et tu postes la liste obtenue. ( il faudra peut-être retirer les deux accolades ).



Merci Al.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
Alex390 Messages postés 6 Date d'inscription dimanche 12 août 2007 Statut Membre Dernière intervention 27 août 2007
13 août 2007 à 11:45
Bonjour

C'est un peu flou pour moi tout ca, mais si je comprend bien ce rapport n'a rien d'alarmant, à part quelques éléments superflus.

Pour en revenir à mon problème précis, quelqu'un sait ce qui lance ce processus iexplore.exe constamment (d'ailleurs a chaque fois qu'un de ces processus se lance, zone alarm me demande l'autorisation pour que internet explorer se connecte au web, que je refuse). Le processus se lance tout de même.
Est ce un VIRUS et comment y remédier ?

Merci
0
Réponse 6 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 août 2007 à 19:16
Salut Alex390

Est-ce bien ceci que tu nous as demandé « Que faire pour vérifier si je suis toujours infecté ? et comment s'en débarasser ? »

Si OUI, alors fait ce que j'ai demandé, s'il te plaît.
Merci

Pour info : « Méfiez-vous toujours des bestioles qui installent une valeur en AppInit_DLLs... Y a peut-être un (des) rootkits là-dessous, et ComboFix pourra nous éclairer. »


Pour ceci : « Pour en revenir à mon problème précis, quelqu'un sait ce qui lance ce processus iexplore.exe constamment (d'ailleurs a chaque fois qu'un de ces processus se lance, zone alarm me demande l'autorisation pour que internet explorer se connecte au web, que je refuse). Le processus se lance tout de même. »

Chaque fois que tu ouvres IE, un processus se lance; c'est normal.
ZA te questionne sur cette ouverture ; c'est heureusement normal. C'est son rôle.
« je refuse). Le processus se lance tout de même » Chez moi aussi et je n'ai aucun souci avec ça. ( d'accord ce n'est pas une explication)


Al.
0
Réponse 7 / 29
alex390
13 août 2007 à 23:19
Bonsoir

Pour préciser, je répete que ce n'est pas lorsque je lance internet explorer que les processus se lancent, je n'utilise PAS internet explorer mais firefox.

Aucun logiciel ne tourne, mais les processus iexplore.exe s'ajoute tout seul, sans que aucune fenetre ne s'ouvre, juste zone alarme qui me demande une autorisation à chaque fois qu'un nouveau processus s'ajoute à la liste.
Je viens encore à l'instant d'en fermer une quinzaine après 2h d'absence...
0
Réponse 8 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 août 2007 à 00:37
Salut alex390

Tu es têtu dis donc.
Commence par ce que je demande au post # 4.

Et tu feras ceci pour suivre : Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum



Je ne vais pas y passer la semaine.


J'ai déjà préparé une suite pour rencontrer "iexplore.exe".
Fais-moi un copier/coller de ce que contient ton fichier ( en gras ) C:\WINDOWS\system.ini


Je vais maintenant au lit.



0
Réponse 9 / 29
alex390
14 août 2007 à 20:47
Bonsoir

Donc j'ai fait ceci :

JV16, le nettoyage est fait, la valeur {00000222-1111-1234-4321-0A1B2C3D4E99} n'a pas été trouvée

ComboFix, voici le rapport :


ComboFix 07-08-14.4 - "ALEX" 2007-08-14 20:35:46.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.111 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm


((((((((((((((((((((((((( Files Created from 2007-07-14 to 2007-08-14 )))))))))))))))))))))))))))))))


2007-08-14 20:34 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-14 20:22 <REP> d-------- C:\Program Files\jv16 PowerTools
2007-08-13 16:14 <REP> d-------- C:\Program Files\StuffPlug3
2007-08-13 00:31 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-08-13 00:30 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-08-13 00:30 54,936 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-08-13 00:30 42,648 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-08-13 00:30 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-08-13 00:30 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-08-13 00:30 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-08-13 00:29 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-08-13 00:29 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-08-13 00:29 <REP> d-------- C:\WINDOWS\Internet Logs
2007-08-13 00:27 <REP> d-------- C:\Program Files\SpywareBlaster
2007-08-12 23:11 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-12 18:19 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-08-12 18:19 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-08-12 18:19 267,845 --a------ C:\WINDOWS\tsc.exe
2007-08-12 18:19 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-08-12 18:19 <REP> d-------- C:\WINDOWS\AU_Backup
2007-08-12 18:18 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-08-12 18:18 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-08-12 18:18 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-08-12 18:18 <REP> d-------- C:\WINDOWS\AU_Temp
2007-08-12 18:18 <REP> d-------- C:\WINDOWS\AU_Log
2007-08-12 17:53 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-11 16:00 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-08-11 16:00 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-08-11 15:58 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-08-11 15:55 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sunbelt Software
2007-08-11 15:55 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\Sunbelt Software
2007-08-11 15:44 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-10 23:08 106 --a------ C:\delete.bat
2007-08-10 23:07 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-08-10 23:07 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\WholeSecurity
2007-08-10 22:34 <REP> d-------- C:\VundoFix Backups
2007-08-10 22:28 <REP> d-------- C:\Program Files\XoftSpySE
2007-08-09 13:41 4,096 --a------ C:\WINDOWS\spload.dll
2007-08-09 13:41 31 --a------ C:\WINDOWS\system32\~.exe.bat
2007-08-09 13:41 3,328 --a------ C:\WINDOWS\system32\s744642.sys
2007-08-09 13:41 3,072 --a------ C:\WINDOWS\s1864w32.dll
2007-08-05 16:46 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\U3
2007-08-02 23:00 <REP> d-------- C:\Program Files\CCleaner
2007-07-31 18:41 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2007-07-31 18:41 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-07-31 18:41 236,032 --a--c--- C:\WINDOWS\system32\dllcache\camext20.dll
2007-07-31 18:41 236,032 --a------ C:\WINDOWS\system\camext20.dll
2007-07-31 18:41 223,232 --a--c--- C:\WINDOWS\system32\dllcache\camdrv21.sys
2007-07-31 18:41 223,232 --a------ C:\WINDOWS\system32\drivers\camdrv21.sys
2007-07-23 16:25 <REP> d-------- C:\Program Files\BitTorrent Fastest Tool
2007-07-21 19:10 <REP> d-------- C:\DOCUME~1\LOCALS~1\Bureau
2007-07-19 16:10 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\Azureus
2007-07-19 16:06 <REP> d-------- C:\Program Files\Azureus
2007-07-19 14:06 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll
2007-07-19 14:06 2,732,032 --a------ C:\WINDOWS\system32\Netw2r32.dll
2007-07-19 14:06 2,210,048 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2007-07-17 15:06 <REP> d-------- C:\Program Files\Neuf
2007-07-15 17:06 <REP> d-------- C:\Program Files\MyPhoneExplorer
2007-07-15 17:06 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\MyPhoneExplorer
2007-07-14 18:48 <REP> d-------- C:\Program Files\Disc2Phone
2007-07-14 17:39 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-07-14 17:39 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-07-14 17:39 18,704 -ra------ C:\WINDOWS\system32\drivers\se57nd5.sys
2007-07-14 17:38 97,088 -ra------ C:\WINDOWS\system32\drivers\se57mdm.sys
2007-07-14 17:38 90,800 -ra------ C:\WINDOWS\system32\drivers\se57unic.sys
2007-07-14 17:38 9,360 -ra------ C:\WINDOWS\system32\drivers\se57mdfl.sys
2007-07-14 17:38 88,624 -ra------ C:\WINDOWS\system32\drivers\se57mgmt.sys
2007-07-14 17:38 86,432 -ra------ C:\WINDOWS\system32\drivers\se57obex.sys
2007-07-14 17:38 61,536 -ra------ C:\WINDOWS\system32\drivers\se57bus.sys
2007-07-14 17:38 6,240 -ra------ C:\WINDOWS\system32\drivers\se57cmnt.sys
2007-07-14 17:38 6,240 -ra------ C:\WINDOWS\system32\drivers\se57cm.sys
2007-07-14 17:38 5,872 -ra------ C:\WINDOWS\system32\drivers\se57whnt.sys
2007-07-14 17:38 5,872 -ra------ C:\WINDOWS\system32\drivers\se57wh.sys
2007-07-14 17:38 4,128 -ra------ C:\WINDOWS\system32\drivers\se57cr.sys
2007-07-14 17:34 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\Teleca
2007-07-14 17:33 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\Sony Ericsson
2007-07-14 17:29 <REP> d-------- C:\Program Files\Fichiers communs\Sony Ericsson Shared
2007-07-14 17:29 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
2007-07-14 17:28 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
2007-07-14 17:28 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Teleca


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-14 10:11 --------- d-------- C:\Program Files\WorldCommunityGrid
2007-08-13 17:59 --------- d-------- C:\Program Files\eMule
2007-08-13 16:14 --------- d-------- C:\Program Files\MSN Messenger
2007-08-13 14:48 --------- d-------- C:\Program Files\PokerStars
2007-08-11 15:53 --------- d-------- C:\Program Files\Sunbelt Software
2007-08-10 22:33 --------- d-------- C:\Program Files\Launch Manager
2007-08-09 14:14 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Help
2007-08-09 13:41 31 --a------ C:\WINDOWS\system32\~.exe.bat
2007-08-05 15:28 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Skype
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-19 23:13 --------- d-------- C:\Program Files\Services en ligne
2007-07-19 14:05 --------- d-------- C:\Program Files\Intel
2007-07-16 20:25 --------- d-------- C:\Program Files\DivX
2007-07-15 16:50 --------- d-------- C:\Program Files\Sony Ericsson
2007-07-05 12:16 --------- d-------- C:\Program Files\WinMPG Video Convert
2007-06-26 23:20 --------- d-------- C:\Program Files\NDAS
2007-06-18 00:02 --------- d-------- C:\Program Files\Google
2007-06-15 14:37 27376 --a------ C:\WINDOWS\system32\SBBD.exe
2007-05-16 17:13 86528 --a--c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:13 85504 --a--c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:13 683520 --a--c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:13 510976 --a--c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:13 1314816 --a--c--- C:\WINDOWS\system32\dllcache\msoe.dll
2006-08-20 20:02:11 56 --sh--r C:\WINDOWS\system32\9E40D60C7A.sys
2005-01-20 20:55:24 8 --sh--r C:\WINDOWS\system32\BCFCF81A7E.sys
2007-04-05 17:39:56 13,302 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 14:00 C:\WINDOWS\system32\bthprops.cpl]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-21 22:05]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 16:54 C:\WINDOWS\SOUNDMAN.EXE]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2004-08-06 15:04]
"HotkeyApp"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2004-11-11 16:13]
"LMgrOSD"="C:\Program Files\Launch Manager\OSD.exe" [2004-07-26 15:52]
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2004-11-23 17:01]
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2003-09-16 15:28]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 17:25]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 17:24]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 14:38 C:\WINDOWS\AGRSMMSG.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"AVManager"="C:\Program Files\Wistron\AVManager\AVManager.exe" [2004-11-26 19:49]
"PCMService"="C:\Program Files\Home Cinema\PowerCinema\PCMService.exe" [2005-01-11 19:17]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06]
"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2006-12-15 19:23]
"SBCSTray"="C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-06-15 15:17]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2004-12-09 16:38]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-02 22:13]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59]

C:\Documents and Settings\ALEX\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers PDW2_16.lnk - C:\Documents and Settings\ALEX\Bureau\PDW\PDW2_16.exe [2007-08-09 13:36:33]
World Community Grid Agent.lnk - C:\Program Files\WorldCommunityGrid\UD.EXE [2005-04-29 14:12:42]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2004-11-29 20:55:44]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
NDAS Device Management.lnk - C:\Program Files\NDAS\System\ndasmgmt.exe [2006-03-20 16:40:20]
POC32.lnk - C:\Program Files\BayCom\POC32\poc32.exe [2003-08-04 10:46:22]

R0 lfsfilt;Lean File Sharing;C:\WINDOWS\system32\DRIVERS\lfsfilt.sys
R0 lpx;LPX Protocol;C:\WINDOWS\system32\DRIVERS\lpx.sys
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys
R2 s744642.sys;s744642.sys;\??\C:\WINDOWS\system32\s744642.sys
R3 ndasbus;NDAS Bus Driver;C:\WINDOWS\system32\DRIVERS\ndasbus.sys
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
R3 XUIF;X10 USB Wireless Transceiver;C:\WINDOWS\system32\Drivers\x10ufx2.sys
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys
S3 ndasscsi;NDAS SCSI Miniport Driver;C:\WINDOWS\system32\DRIVERS\ndasscsi.sys
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys
S3 se57bus;Sony Ericsson Device 087 driver (WDM);C:\WINDOWS\system32\DRIVERS\se57bus.sys
S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se57mdfl.sys
S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se57mdm.sys
S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se57mgmt.sys
S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);C:\WINDOWS\system32\DRIVERS\se57nd5.sys
S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se57obex.sys
S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);C:\WINDOWS\system32\DRIVERS\se57unic.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
AutoRun\command- H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22a55431-4350-11dc-ad2e-000e35c8aaf1}]
AutoRun\command- H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ef472-3e7e-11dc-ad25-000e35c8aaf1}]
AutoRun\command- G:\.\Recycled\Driveinfo.exe
Open\Command- G:\.\Recycled\Driveinfo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4448561-321f-11dc-ad00-000e35c8aaf1}]
AutoRun\command- G:\.\Recycled\Driveinfo.exe
Open\Command- G:\.\Recycled\Driveinfo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4448562-321f-11dc-ad00-000e35c8aaf1}]
AutoRun\command- H:\.\Recycled\Driveinfo.exe
Open\Command- H:\.\Recycled\Driveinfo.exe


Contents of the 'Scheduled Tasks' folder
2006-03-09 20:02:19 C:\WINDOWS\Tasks\XoftSpy.job - C:\Program Files\XoftSpy\XoftSpy.exe
2007-08-10 20:28:59 C:\WINDOWS\Tasks\XoftSpySE 2.job - C:\Program Files\XoftSpySE\XoftSpy.exe
2007-08-10 20:28:59 C:\WINDOWS\Tasks\XoftSpySE.job - C:\Program Files\XoftSpySE\XoftSpy.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-14 20:41:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-14 20:44:01 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-14 20:43

--- E O F ---




Et le contenu de system.ini :

; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON



Merci.
0
Réponse 10 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 août 2007 à 22:34
Bonsoir alex390

Merci

A)- Pour system.ini ==> OK, c'est bon. ==> (j'avais suspecté infection "Sality")



B)- Il faudra faire analyser ces fichiers ( en gras ) chez VirusTotal, comme ceci:

2007-08-09 13:41 4,096 --a------ C:\WINDOWS\spload.dll
2007-08-09 13:41 31 --a------ C:\WINDOWS\system32\~.exe.bat
2007-08-09 13:41 3,328 --a------ C:\WINDOWS\system32\s744642.sys
2007-08-10 23:08 106 --a------ C:\delete.bat

1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Ensuite vas là :< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers en gras ci-après dans la liste ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :

C:\WINDOWS\spload.dll
C:\WINDOWS\system32\~.exe.bat
C:\WINDOWS\system32\s744642.sys
C:\delete.bat

•- quand tu as trouvé le premier fichier spload.dll </gras, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier <gras>spload.dll se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

DONC, tu refais la manipulation fichier par fichier dont tu postes le rapport à chaque fois.

Merci pour ta collaboration



C)- Le rapport _OTMoveIt se trouve en C:\_OTMoveIt\MovedFiles ==> j'en ai besoin.

D'autant plus besoin que je vois encore dans le rapport ComboFix la trace de (2007-08-09 13:41 3,072 --a------) C:\WINDOWS\s1864w32.dll ; or _OTMoveIt aurait dû supprimer ce fichier.

Tu me réponds ceci: « j'ai fait ceci : JV16, le nettoyage est fait, la valeur {00000222-1111-1234-4321-0A1B2C3D4E99} n'a pas été trouvée » ==> as-tu lancé la recherche en ôtant les accolades comme ceci : 00000222-1111-1234-4321-0A1B2C3D4E99 ?? Merci de confimer.

Avec l'explorateur Windows, recherche ce fichier (en gras), et supprime-le : C:\WINDOWS\s1864w32.dll.
(dis-moi si tu l'as trouvé )



D)- Explique-moi ce que sont les partitions G et H que je vois ci-après :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
AutoRun\command- H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22a55431-4350-11dc-ad2e-000e35c8aaf1}]
AutoRun\command- H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ef472-3e7e-11dc-ad25-000e35c8aaf1}]
AutoRun\command- G:\.\Recycled\Driveinfo.exe
Open\Command- G:\.\Recycled\Driveinfo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4448561-321f-11dc-ad00-000e35c8aaf1}]
AutoRun\command- G:\.\Recycled\Driveinfo.exe
Open\Command- G:\.\Recycled\Driveinfo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4448562-321f-11dc-ad00-000e35c8aaf1}]
AutoRun\command- H:\.\Recycled\Driveinfo.exe
Open\Command- H:\.\Recycled\Driveinfo.exe


Les soucis que tu rencontres sont-ils en rapport avec une éventuelle connexion de disques amovibles ?



E)- Termine avec ceci:

Fais un scan en ligne avec Kaspersky < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
Le scan ne marche que sous Internet Explorer.

Sous < https://www.informatruc.com >, on t'explique la marche à suivre .

Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >

Clic sur « J'accepte » ( ou I agree )

On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )

Tu attends que la mise à jour se termine ( patienter ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur "Poste de travail" pour faire un scan complet
ATTENTION : si tu as des disques amovibles/externes, branche-les

Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le


AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure-toi que les contrôles active x sont bien configurés dans les options internet comme il est décrit sur ce lien=> http://www.inoculer.com/activex.php3

NOTES :
- En cas de problème vérifier ces quelques points < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809 >
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 >

Ça peut durer plus d’1 heure.
Patienter




F)- EDIT: Pour le prochain contact, il faut supprimer ta version bêta de HijackThis, et la remplacer par la version finale stable , comme ceci :

- Avec connexion au Net en service,

Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 Finale
< http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download > avec un installeur.

- Déconnecte-toi du Net pour installer le programme

Crée un nouveau dossier à la racine de ton disque dur : C:\Program Files\HijackThis.
Pour cela :
Double-clique sur poste de travail, double-clique sur l'icône de C:\ .
Double-clique sur le répertoire Program Files et fais un clic-droit dans la fenêtre et choisis "nouveau dossier"
Nomme-le "HijackThis".
Décompresse le programme précédemment téléchargé dans ce nouveau dossier HijackThis.

S'il n'y est pas, crée un raccourci de l'exécutable ( HijackThis.exe) sur vers le bureau

-Redémarre ton PC impérativement.



Bonne nuit
Al.


0
Réponse 11 / 29
alex390
16 août 2007 à 17:04
Bonjour, voici les résultats :

B)2) Les ananlyses par VirusTotal :

Fichier spload.dll reçu le 2007.08.16 16:15:47 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 TR/Agent.4096.133
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 Generic6.LVP
BitDefender 7.2 2007.08.16 Generic.Malware.Fdld!!.27D4BF1B
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 W32/Agent.275B!tr
F-Prot 4.3.2.48 2007.08.15 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 Win32.SuspectCrc
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 Suspicious file
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.16 Trojan.Agent.4096.133
Information additionnelle
File size: 4096 bytes
MD5: 68ab638b081537b8ccc724f3b95d67b6
SHA1: 0a2638d247bdd395942b39cf9d1b08ad5614f563


Fichier _.exe.bat reçu le 2007.08.16 16:32:19 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.15 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.16 -
Information additionnelle
File size: 31 bytes
MD5: 71bfec5b47beff8e2c3766ef2e053950
SHA1: 270b69496295bfc9f5687334c8a121eecc9f88cd


Fichier s744642.sys reçu le 2007.08.16 16:40:09 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 Generic6.LVS
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.15 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.16 -
Information additionnelle
File size: 3328 bytes
MD5: 89c58f498f27f9d0548c32219474ec7e
SHA1: 4d0ee481564f89f65287a281abc3e32f7e0e2283


Fichier delete.bat reçu le 2007.08.16 16:49:20 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.15 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.16 -
Information additionnelle
File size: 106 bytes
MD5: 5e7a2e466146542767d057c4192da669
SHA1: 9005de32014fee6c362c9c319fba889b1a27f655




C) Le rapport de la suppresion de "C:\WINDOWS\s1864w32.dll" par OTMoveIt :

File/Folder not found.
DllUnregisterServer procedure not found in C:\WINDOWS\s1864w32.dll
C:\WINDOWS\s1864w32.dll NOT unregistered.
C:\WINDOWS\s1864w32.dll moved successfully.

Created on 08/16/2007 16:18:22


Pour JV16, oui j'ai essayé avec et sans les accolades il n'a pas trouvé "00000222-1111-1234-4321-0A1B2C3D4E99".
Le fichier "s1864w32.dll" n'a pas été trouvé par le recherche windows à part dans "C:\_OTMoveIt\MovedFiles\WINDOWS"

D) Les partitions G et H sont mon téléphone portable et la carte mémoire qui est dedans.

E) Il m'est impossible de lancer internet explorer pour utiliser Kaspersky. Qand j'essaye d'ouvrir internet explorer, il ne se passe rien. D'autres part ces fameux processus iexplore.exe ne se lance plus. Y'aurait il un rapport ? Mis à part ce scan de Kaspersky que je ne peux faire, je pense avoir effetué tout ce qui etait demandé. C'est grave docteur ? :)
0
Réponse 12 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 août 2007 à 17:29
Salut alex390

Merci pour tes rapports.

Pour ceci : C:\WINDOWS\system32\~.exe.bat
Je voudrais que tu ailles rechercher ce fichier en system32, clic-droit dessus --> "modifier" et me faire un copier/coller de son contenu ( ensuite quitter ) . Merci.


Pour ceci : C:\WINDOWS\spload.dll
Supprime ce fichier avec _OT MoveIt ( tu connais la manip maintenant ).
Poste le rapport . Merci


Il me faut absolument le rapport Kaspersky.
Il faut pouvoir te connecter à Internet.
Regarde ceci < http://assistance.neuf.fr/neuf/internet/navigateurs/fichetech.do?id=10881&type=RichDataSheet > et dis-moi si ça réussi.
Si ça ne va pas, nous utiliserons une version à l'essai 29 jours.


Merci
Bonne soirée
Al.
0
Réponse 13 / 29
Alex390 Messages postés 6 Date d'inscription dimanche 12 août 2007 Statut Membre Dernière intervention 27 août 2007
16 août 2007 à 19:14
Alors :

Le contenu de "C:\WINDOWS\system32\~.exe.bat " en cliquant sur modifier :

del "C:\WINDOWS\system32\~.exe"


Pour "C:\WINDOWS\spload.dll", fichier supprimé, voici le rapport :

DllUnregisterServer procedure not found in C:\WINDOWS\spload.dll
C:\WINDOWS\spload.dll NOT unregistered.
C:\WINDOWS\spload.dll moved successfully.

Created on 08/16/2007 17:36:09


Pour Kaspersky, j'ai reussi à lancer internet explorer, voici le rapport :

KASPERSKY ON-LINE SCANNER REPORT
Thursday, August 16, 2007 7:12:51 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/08/2007
Enregistrements dans la base antivirus Kaspersky : 382860
Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
Statistiques de l'analyse
Total d'objets analysés 63530
Nombre de virus trouvés 1
Nombre d'objets infectés 2 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:20:26

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\ALEX\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\FM_log.txt L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Application Data\Mozilla\Firefox\Profiles\9ipsztb8.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Temp\~DFBFC.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\ALEX\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\muvee Technologies\030625\0237\0192\values L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_AGENT_LOG1.txt L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_BINARY\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db-journal L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{02D89F95-21B8-4DAF-8467-152E4A705174}\RP5\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\ALEXPORTABLE.ldb L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_718.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT01b69.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT01b6f.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{02D89F95-21B8-4DAF-8467-152E4A705174}\RP5\change.log L'objet est verrouillé ignoré
E:\System Volume Information\_restore{02D89F95-21B8-4DAF-8467-152E4A705174}\RP5\change.log L'objet est verrouillé ignoré
G:\autorun.inf Infecté : Worm.Win32.Small.i ignoré
H:\autorun.inf Infecté : Worm.Win32.Small.i ignoré
Analyse terminée.
0
Réponse 14 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 août 2007 à 21:12
Re,

Pour ceci : " Le contenu de "C:\WINDOWS\system32\~.exe.bat " en cliquant sur modifier : [del "C:\WINDOWS\system32\~.exe"]
==> OK, c'est un fichier .bat qui a dû t'être proposé un jour en dépannage.
Tu peux le supprimer manuellement dans "system32".


Pour C:\WINDOWS\spload.dll moved successfully.
==> c'est bon.


Tu as un problème là :
G:\autorun.inf Infecté : Worm.Win32.Small.i ignoré
H:\autorun.inf Infecté : Worm.Win32.Small.i ignoré
Je ne sais pas avec suffisamment de précision comment résoudre cette question manuellement.
Et donc, je te propose de faire ceci :

1°- Connecte chaque périphérique externe susceptible d'avoir été infecté ( donc ici G et H; qui sont ton téléphone portable et la carte mémoire qui est dedans ), puis ouvre le "Poste de travail" >, fais un clic-droit puis "Explorer" sur chaque icône correspondant à G et H :

/!\ Ne double clique surtout pas sur les icônes pour les ouvrir, sous peine de relancer l'infection.

Puis supprime le fichier "autorun.inf" ;
et dis -moi si tu y vois le fichier "MS32DLL.dll.vbs" .

2°- Déconnecte G et H .
Ensuite télécharge et enregistre Flash_Disinfector.exe sur le bureau.
< http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe >
Double-clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra , connecte clé USB et périphériques USB externes susceptibles ( G et H ) d'avoir été infectés.
Puis cliquez sur [Ok]
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!! "
Appuyez sur [Ok], pour faire réapparaitre le bureau.


Relance ComboFix et poste son rapport.


Dis-moi ensuite comment se comporte le PC.
Merci
Al



0
Réponse 15 / 29
Alex390 Messages postés 6 Date d'inscription dimanche 12 août 2007 Statut Membre Dernière intervention 27 août 2007
16 août 2007 à 22:29
Re,

- J'ai supprimé les fichier autorun.inf dans G et H.

- Le fichier MS32DLL.dll.vbs n'est pas présent dans ceux ci.

- Flash Disinfector a été utilisé.

- Voici le dernier rapport de scan combofix :


ComboFix 07-08-14.4 - "ALEX" 2007-08-16 22:21:48.2 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.54 [GMT 2:00]


((((((((((((((((((((((((( Files Created from 2007-07-16 to 2007-08-16 )))))))))))))))))))))))))))))))


2007-08-16 22:20 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-16 22:12 <REP> drahs---- C:\autorun.inf
2007-08-16 17:43 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-16 17:43 <REP> d-------- C:\WINDOWS\LastGood
2007-08-15 06:58 <REP> d-------- C:\Program Files\MSXML 4.0
2007-08-14 20:22 <REP> d-------- C:\Program Files\jv16 PowerTools
2007-08-13 16:14 <REP> d-------- C:\Program Files\StuffPlug3
2007-08-13 00:31 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-08-13 00:30 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-08-13 00:30 54,936 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-08-13 00:30 42,648 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-08-13 00:30 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-08-13 00:30 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-08-13 00:30 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-08-13 00:29 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-08-13 00:29 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-08-13 00:29 <REP> d-------- C:\WINDOWS\Internet Logs
2007-08-13 00:27 <REP> d-------- C:\Program Files\SpywareBlaster
2007-08-12 23:11 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-12 18:19 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-08-12 18:19 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-08-12 18:19 267,845 --a------ C:\WINDOWS\tsc.exe
2007-08-12 18:19 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-08-12 18:19 <REP> d-------- C:\WINDOWS\AU_Backup
2007-08-12 18:18 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-08-12 18:18 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-08-12 18:18 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-08-12 18:18 <REP> d-------- C:\WINDOWS\AU_Temp
2007-08-12 18:18 <REP> d-------- C:\WINDOWS\AU_Log
2007-08-12 17:53 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-11 16:00 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-08-11 16:00 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-08-11 15:58 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-08-11 15:55 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sunbelt Software
2007-08-11 15:55 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\Sunbelt Software
2007-08-11 15:44 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-10 23:08 106 --a------ C:\delete.bat
2007-08-10 23:07 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-08-10 23:07 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\WholeSecurity
2007-08-10 22:34 <REP> d-------- C:\VundoFix Backups
2007-08-10 22:28 <REP> d-------- C:\Program Files\XoftSpySE
2007-08-09 13:41 3,328 --a------ C:\WINDOWS\system32\s744642.sys
2007-08-05 16:46 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\U3
2007-08-02 23:00 <REP> d-------- C:\Program Files\CCleaner
2007-07-31 18:41 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2007-07-31 18:41 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-07-31 18:41 236,032 --a--c--- C:\WINDOWS\system32\dllcache\camext20.dll
2007-07-31 18:41 236,032 --a------ C:\WINDOWS\system\camext20.dll
2007-07-31 18:41 223,232 --a--c--- C:\WINDOWS\system32\dllcache\camdrv21.sys
2007-07-31 18:41 223,232 --a------ C:\WINDOWS\system32\drivers\camdrv21.sys
2007-07-23 16:25 <REP> d-------- C:\Program Files\BitTorrent Fastest Tool
2007-07-21 19:10 <REP> d-------- C:\DOCUME~1\LOCALS~1\Bureau
2007-07-19 16:10 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\Azureus
2007-07-19 16:06 <REP> d-------- C:\Program Files\Azureus
2007-07-19 14:06 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll
2007-07-19 14:06 2,732,032 --a------ C:\WINDOWS\system32\Netw2r32.dll
2007-07-19 14:06 2,210,048 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2007-07-17 15:06 <REP> d-------- C:\Program Files\Neuf


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-16 19:22 --------- d-------- C:\Program Files\eMule
2007-08-16 18:17 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-16 18:16 --------- d-------- C:\Program Files\Philips
2007-08-16 14:33 --------- d-------- C:\Program Files\WorldCommunityGrid
2007-08-13 16:14 --------- d-------- C:\Program Files\MSN Messenger
2007-08-13 14:48 --------- d-------- C:\Program Files\PokerStars
2007-08-11 15:53 --------- d-------- C:\Program Files\Sunbelt Software
2007-08-10 22:33 --------- d-------- C:\Program Files\Launch Manager
2007-08-09 22:08 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\MyPhoneExplorer
2007-08-09 14:14 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Help
2007-08-05 15:28 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Skype
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-19 23:13 --------- d-------- C:\Program Files\Services en ligne
2007-07-19 14:05 --------- d-------- C:\Program Files\Intel
2007-07-19 08:58 3583488 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-16 20:25 --------- d-------- C:\Program Files\DivX
2007-07-15 17:06 --------- d-------- C:\Program Files\MyPhoneExplorer
2007-07-15 16:50 --------- d-------- C:\Program Files\Sony Ericsson
2007-07-14 18:48 --------- d-------- C:\Program Files\Disc2Phone
2007-07-14 17:34 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Teleca
2007-07-14 17:33 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Sony Ericsson
2007-07-14 17:29 --------- d-------- C:\Program Files\Fichiers communs\Teleca Shared
2007-07-14 17:29 --------- d-------- C:\Program Files\Fichiers communs\Sony Ericsson Shared
2007-07-13 01:30 765952 --a--c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-05 12:16 --------- d-------- C:\Program Files\WinMPG Video Convert
2007-06-27 15:24 823808 --a--c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 15:24 671232 --a--c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 15:24 477696 --a--c--- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 15:24 232960 --a--c--- C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 15:24 193024 --a--c--- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 15:24 1152000 --a--c--- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 15:24 105984 --a--c--- C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 15:24 102400 --a--c--- C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 15:23 6058496 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 15:23 52224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 15:23 459264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 15:23 44544 --a--c--- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 15:23 27648 --a--c--- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 15:23 267776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 15:22 384512 --a--c--- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 15:22 383488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 15:22 230400 --a--c--- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 15:22 153088 --a--c--- C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 15:22 132608 --a--c--- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 15:22 124928 --a--c--- C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:28 625152 --a--c--- C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 10:27 63488 --a--c--- C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 09:00 161792 --a--c--- C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 23:20 --------- d-------- C:\Program Files\NDAS
2007-06-26 08:09 1104896 --a--c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a--c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-18 00:02 --------- d-------- C:\Program Files\Google
2007-06-15 14:37 27376 --a------ C:\WINDOWS\system32\SBBD.exe
2007-06-13 15:22 1037312 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-11 23:51 10834944 --a--c--- C:\WINDOWS\system32\dllcache\wmp.dll
2007-05-17 13:29 549376 --a--c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-05-17 13:29 549376 --a------ C:\WINDOWS\system32\oleaut32.dll
2007-05-16 17:13 86528 --a--c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:13 85504 --a--c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:13 683520 --a--c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:13 510976 --a--c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:13 1314816 --a--c--- C:\WINDOWS\system32\dllcache\msoe.dll
2006-08-20 20:02:11 56 --sh--r C:\WINDOWS\system32\9E40D60C7A.sys
2005-01-20 20:55:24 8 --sh--r C:\WINDOWS\system32\BCFCF81A7E.sys
2007-04-05 17:39:56 13,302 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 14:00 C:\WINDOWS\system32\bthprops.cpl]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-21 22:05]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 16:54 C:\WINDOWS\SOUNDMAN.EXE]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2004-08-06 15:04]
"HotkeyApp"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2004-11-11 16:13]
"LMgrOSD"="C:\Program Files\Launch Manager\OSD.exe" [2004-07-26 15:52]
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2004-11-23 17:01]
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2003-09-16 15:28]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 17:25]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 17:24]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 14:38 C:\WINDOWS\AGRSMMSG.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"AVManager"="C:\Program Files\Wistron\AVManager\AVManager.exe" [2004-11-26 19:49]
"PCMService"="C:\Program Files\Home Cinema\PowerCinema\PCMService.exe" [2005-01-11 19:17]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06]
"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2006-12-15 19:23]
"SBCSTray"="C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-06-15 15:17]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2004-12-09 16:38]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-02 22:13]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59]

C:\Documents and Settings\ALEX\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers PDW2_16.lnk - C:\Documents and Settings\ALEX\Bureau\PDW\PDW2_16.exe [2007-08-09 13:36:33]
World Community Grid Agent.lnk - C:\Program Files\WorldCommunityGrid\UD.EXE [2005-04-29 14:12:42]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2004-11-29 20:55:44]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
NDAS Device Management.lnk - C:\Program Files\NDAS\System\ndasmgmt.exe [2006-03-20 16:40:20]
POC32.lnk - C:\Program Files\BayCom\POC32\poc32.exe [2003-08-04 10:46:22]

R0 lfsfilt;Lean File Sharing;C:\WINDOWS\system32\DRIVERS\lfsfilt.sys
R0 lpx;LPX Protocol;C:\WINDOWS\system32\DRIVERS\lpx.sys
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys
R2 s744642.sys;s744642.sys;\??\C:\WINDOWS\system32\s744642.sys
R3 ndasbus;NDAS Bus Driver;C:\WINDOWS\system32\DRIVERS\ndasbus.sys
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
R3 XUIF;X10 USB Wireless Transceiver;C:\WINDOWS\system32\Drivers\x10ufx2.sys
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys
S3 ndasscsi;NDAS SCSI Miniport Driver;C:\WINDOWS\system32\DRIVERS\ndasscsi.sys
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys
S3 se57bus;Sony Ericsson Device 087 driver (WDM);C:\WINDOWS\system32\DRIVERS\se57bus.sys
S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se57mdfl.sys
S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se57mdm.sys
S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se57mgmt.sys
S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);C:\WINDOWS\system32\DRIVERS\se57nd5.sys
S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se57obex.sys
S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);C:\WINDOWS\system32\DRIVERS\se57unic.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
AutoRun\command- H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22a55431-4350-11dc-ad2e-000e35c8aaf1}]
AutoRun\command- H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ef472-3e7e-11dc-ad25-000e35c8aaf1}]
AutoRun\command- G:\.\Recycled\Driveinfo.exe
Open\Command- G:\.\Recycled\Driveinfo.exe


Contents of the 'Scheduled Tasks' folder
2006-03-09 20:02:19 C:\WINDOWS\Tasks\XoftSpy.job - C:\Program Files\XoftSpy\XoftSpy.exe
2007-08-10 20:28:59 C:\WINDOWS\Tasks\XoftSpySE 2.job - C:\Program Files\XoftSpySE\XoftSpy.exe
2007-08-10 20:28:59 C:\WINDOWS\Tasks\XoftSpySE.job - C:\Program Files\XoftSpySE\XoftSpy.exe

Voila. Pas de réaction particulière du PC, les processus iexplore.exe sont absent, mais depuis hier déja. Merci !
0
Réponse 16 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
17 août 2007 à 01:48
Re,

Désolé pour ce retard.
C'est parfait pour le travail que tu as exécuté.

Termine avec ceci ( impérativement ):

Crée un "nouveau document texte".
Pour cela : clic droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ).
Ouvre-le, et copie/colle dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! )

(Si tu ne comprends pas, demande) !

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ef472-3e7e-11dc-ad25-000e35c8aaf1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"inetsrv"=-


Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau "
Dans "Nom du fichier" : taper par exemple " fix.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur [enregistrer]
L'icône de "fix.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png >

4°- ATTENTION:
- Les manipulations qui suivent sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.
- Tu n'auras plus accès ni à IE, ni à CCM durant la procédure de désinfection qui suit .
- Imprime-la
- Redémarre en mode sans échec
(choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

10°- double-clique sur " fix.reg " (que tu as créé sur ton bureau ) pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui "
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

12°- Redémarre normalement.
13°- Relance ComboFix + rapport SVP.



Explications:

-Driveinfo.exe is W32.Resik.A worm.
-W32.Resik.A est un ver qui se propage par des dossiers partagés en réseau.
-W32/Resik-C est un ver pour la plate-forme Windows.
-Lorsqu'il est installé, le ver se copie dans <system>\inetsrv.exe.
-W32/Resik-C tente régulièrement de se copier sur des lecteurs amovibles, y compris des disquettes et des clés USB.
-Le ver tente de créer un fichier caché Autorun.inf sur le disque amovible et de se copier au même emplacement sous le nom de fichier <Recycled>\DriveInfo.exe.
-Le fichier Autorun.inf est destiné à démarrer le ver une fois que le lecteur amovible est connecté à un ordinateur non infecté.
-W32/Resik-C paramètre l'entrée de registre suivante:
HKLM\SOFTWARE\Microsoft\CurrentVersion\Run\
inetsrv=<system>\inetsrv.exe



Bonne chance
Al.
0
Réponse 17 / 29
alex390
20 août 2007 à 16:30
Bonjour,

Desolé, pour le retard, travail oblige :)

J'ai effectué la manipulation sur le registre, sans problèmes. Voici le rapport Combofix :


ComboFix 07-08-14.4 - "ALEX" 2007-08-20 16:24:03.3 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.86 [GMT 2:00]


((((((((((((((((((((((((( Files Created from 2007-07-20 to 2007-08-20 )))))))))))))))))))))))))))))))


2007-08-16 22:20 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-16 22:12 <REP> drahs---- C:\autorun.inf
2007-08-16 17:43 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-15 06:58 <REP> d-------- C:\Program Files\MSXML 4.0
2007-08-14 20:22 <REP> d-------- C:\Program Files\jv16 PowerTools
2007-08-13 16:14 <REP> d-------- C:\Program Files\StuffPlug3
2007-08-13 00:31 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-08-13 00:30 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-08-13 00:30 54,936 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-08-13 00:30 42,648 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-08-13 00:30 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-08-13 00:30 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-08-13 00:30 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-08-13 00:29 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-08-13 00:29 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-08-13 00:29 <REP> d-------- C:\WINDOWS\Internet Logs
2007-08-13 00:27 <REP> d-------- C:\Program Files\SpywareBlaster
2007-08-12 23:11 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-12 18:19 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-08-12 18:19 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-08-12 18:19 267,845 --a------ C:\WINDOWS\tsc.exe
2007-08-12 18:19 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-08-12 18:19 <REP> d-------- C:\WINDOWS\AU_Backup
2007-08-12 18:18 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-08-12 18:18 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-08-12 18:18 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-08-12 18:18 <REP> d-------- C:\WINDOWS\AU_Temp
2007-08-12 18:18 <REP> d-------- C:\WINDOWS\AU_Log
2007-08-12 17:53 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-11 16:00 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-08-11 16:00 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-08-11 15:58 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-08-11 15:55 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sunbelt Software
2007-08-11 15:55 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\Sunbelt Software
2007-08-11 15:44 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-10 23:08 106 --a------ C:\delete.bat
2007-08-10 23:07 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-08-10 23:07 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\WholeSecurity
2007-08-10 22:34 <REP> d-------- C:\VundoFix Backups
2007-08-10 22:28 <REP> d-------- C:\Program Files\XoftSpySE
2007-08-09 13:41 3,328 --a------ C:\WINDOWS\system32\s744642.sys
2007-08-05 16:46 <REP> d-------- C:\DOCUME~1\ALEX\APPLIC~1\U3
2007-08-02 23:00 <REP> d-------- C:\Program Files\CCleaner
2007-07-31 18:41 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2007-07-31 18:41 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-07-31 18:41 236,032 --a--c--- C:\WINDOWS\system32\dllcache\camext20.dll
2007-07-31 18:41 236,032 --a------ C:\WINDOWS\system\camext20.dll
2007-07-31 18:41 223,232 --a--c--- C:\WINDOWS\system32\dllcache\camdrv21.sys
2007-07-31 18:41 223,232 --a------ C:\WINDOWS\system32\drivers\camdrv21.sys
2007-07-23 16:25 <REP> d-------- C:\Program Files\BitTorrent Fastest Tool
2007-07-21 19:10 <REP> d-------- C:\DOCUME~1\LOCALS~1\Bureau


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-20 16:23 --------- d-------- C:\Program Files\WorldCommunityGrid
2007-08-20 15:10 --------- d-------- C:\Program Files\eMule
2007-08-16 18:17 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-16 18:16 --------- d-------- C:\Program Files\Philips
2007-08-13 16:14 --------- d-------- C:\Program Files\MSN Messenger
2007-08-13 14:48 --------- d-------- C:\Program Files\PokerStars
2007-08-13 10:47 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Azureus
2007-08-11 15:53 --------- d-------- C:\Program Files\Sunbelt Software
2007-08-10 22:33 --------- d-------- C:\Program Files\Launch Manager
2007-08-09 22:08 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\MyPhoneExplorer
2007-08-09 14:14 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Help
2007-08-05 15:28 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Skype
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-19 23:13 --------- d-------- C:\Program Files\Services en ligne
2007-07-19 16:06 --------- d-------- C:\Program Files\Azureus
2007-07-19 14:05 --------- d-------- C:\Program Files\Intel
2007-07-19 08:58 3583488 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-17 15:06 --------- d-------- C:\Program Files\Neuf
2007-07-16 20:25 --------- d-------- C:\Program Files\DivX
2007-07-15 17:06 --------- d-------- C:\Program Files\MyPhoneExplorer
2007-07-15 16:50 --------- d-------- C:\Program Files\Sony Ericsson
2007-07-14 18:48 --------- d-------- C:\Program Files\Disc2Phone
2007-07-14 17:34 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Teleca
2007-07-14 17:33 --------- d-------- C:\DOCUME~1\ALEX\APPLIC~1\Sony Ericsson
2007-07-14 17:29 --------- d-------- C:\Program Files\Fichiers communs\Teleca Shared
2007-07-14 17:29 --------- d-------- C:\Program Files\Fichiers communs\Sony Ericsson Shared
2007-07-13 01:30 765952 --a--c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-05 12:16 --------- d-------- C:\Program Files\WinMPG Video Convert
2007-06-27 15:24 823808 --a--c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 15:24 671232 --a--c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 15:24 477696 --a--c--- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 15:24 232960 --a--c--- C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 15:24 193024 --a--c--- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 15:24 1152000 --a--c--- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 15:24 105984 --a--c--- C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 15:24 102400 --a--c--- C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 15:23 6058496 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 15:23 52224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 15:23 459264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 15:23 44544 --a--c--- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 15:23 27648 --a--c--- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 15:23 267776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 15:22 384512 --a--c--- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 15:22 383488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 15:22 230400 --a--c--- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 15:22 153088 --a--c--- C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 15:22 132608 --a--c--- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 15:22 124928 --a--c--- C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:28 625152 --a--c--- C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 10:27 63488 --a--c--- C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 09:00 161792 --a--c--- C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 23:20 --------- d-------- C:\Program Files\NDAS
2007-06-26 08:09 1104896 --a--c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a--c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-15 14:37 27376 --a------ C:\WINDOWS\system32\SBBD.exe
2007-06-13 15:22 1037312 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-11 23:51 10834944 --a--c--- C:\WINDOWS\system32\dllcache\wmp.dll
2006-08-20 20:02:11 56 --sh--r C:\WINDOWS\system32\9E40D60C7A.sys
2005-01-20 20:55:24 8 --sh--r C:\WINDOWS\system32\BCFCF81A7E.sys
2007-04-05 17:39:56 13,302 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 14:00 C:\WINDOWS\system32\bthprops.cpl]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-21 22:05]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 16:54 C:\WINDOWS\SOUNDMAN.EXE]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2004-08-06 15:04]
"HotkeyApp"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2004-11-11 16:13]
"LMgrOSD"="C:\Program Files\Launch Manager\OSD.exe" [2004-07-26 15:52]
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2004-11-23 17:01]
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2003-09-16 15:28]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 17:25]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 17:24]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 14:38 C:\WINDOWS\AGRSMMSG.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"AVManager"="C:\Program Files\Wistron\AVManager\AVManager.exe" [2004-11-26 19:49]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06]
"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2006-12-15 19:23]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2004-12-09 16:38]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-02 22:13]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59]

C:\Documents and Settings\ALEX\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers PDW2_16.lnk - C:\Documents and Settings\ALEX\Bureau\Alex\PDW\PDW2_16.exe [2007-08-09 13:36:33]
World Community Grid Agent.lnk - C:\Program Files\WorldCommunityGrid\UD.EXE [2005-04-29 14:12:42]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2004-11-29 20:55:44]
POC32.lnk - C:\Program Files\BayCom\POC32\poc32.exe [2003-08-04 10:46:22]

R0 lfsfilt;Lean File Sharing;C:\WINDOWS\system32\DRIVERS\lfsfilt.sys
R0 lpx;LPX Protocol;C:\WINDOWS\system32\DRIVERS\lpx.sys
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys
R2 s744642.sys;s744642.sys;\??\C:\WINDOWS\system32\s744642.sys
R3 ndasbus;NDAS Bus Driver;C:\WINDOWS\system32\DRIVERS\ndasbus.sys
R3 ndasscsi;NDAS SCSI Miniport Driver;C:\WINDOWS\system32\DRIVERS\ndasscsi.sys
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
R3 XUIF;X10 USB Wireless Transceiver;C:\WINDOWS\system32\Drivers\x10ufx2.sys
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys
S3 se57bus;Sony Ericsson Device 087 driver (WDM);C:\WINDOWS\system32\DRIVERS\se57bus.sys
S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se57mdfl.sys
S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se57mdm.sys
S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se57mgmt.sys
S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);C:\WINDOWS\system32\DRIVERS\se57nd5.sys
S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se57obex.sys
S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);C:\WINDOWS\system32\DRIVERS\se57unic.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
AutoRun\command- H:\LaunchU3.exe


Contents of the 'Scheduled Tasks' folder
2006-03-09 20:02:19 C:\WINDOWS\Tasks\XoftSpy.job - C:\Program Files\XoftSpy\XoftSpy.exe
2007-08-10 20:28:59 C:\WINDOWS\Tasks\XoftSpySE 2.job - C:\Program Files\XoftSpySE\XoftSpy.exe
2007-08-10 20:28:59 C:\WINDOWS\Tasks\XoftSpySE.job - C:\Program Files\XoftSpySE\XoftSpy.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-20 16:26:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-20 16:27:38
C:\ComboFix-quarantined-files.txt ... 2007-08-20 16:27
C:\ComboFix2.txt ... 2007-08-14 20:44

--- E O F ---




Alex.
0
Réponse 18 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 août 2007 à 16:55
Bonjour alex390,


Supposant que tes fichiers/dossiers cachés de Windows sont toujours affichés ,
vas dans C:\ et supprime ce fichier autorun.inf

Ensuite:

•Télécharge et enregistre Flash_Disinfector.exe sur le bureau.
•< http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe >
•Double-clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra , connecte clé USB et périphériques USB externes susceptibles d'avoir été infectés.
•Puis cliquez sur [Ok]
•Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!! "
Appuyez sur [Ok], pour faire réapparaitre le bureau.


Télécharge < ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe >
-une fois téléchargé clique dessus le pogramme va se lancer.
-une fois lancé clique sur: tous les disques durs ==> branche les USB et D.ext.
-une fois fini mets tout ce qu'il a trouvé en quarantaine 4eme icone a gauche
clique sur la petite cible en haut à gauche
une autre fenetre va s'ouvrir c'est le rapport.
clique sur /fichier/enregistre , le rapport est enregistre puis poste-le.


Merci
Al.
0
Réponse 19 / 29
alex390
20 août 2007 à 18:59
Re

OK je vais faire ca. Juste une petite question avant, j'ai remarqué que ce dossier "autorun.inf" (qui contient un fichier appelé "Who created this folder.txt", -je suppose à ne pas ouvrir lol-) ce trouve également dans mes disques amovibles précedement infecté. Dois je l'enlever aussi de ces disques ?
0
Réponse 20 / 29
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 août 2007 à 21:20
Re,

Désolé pour cette réponse tardive,
mais si tes Disques amovibles contiennent également ce ficher "autorun.inf" , supprime-le là également.

Oui, évite de faire double-clic pour ouvrir ==> fais plutôt clic droit > ouvrir .

Procède ainsi :
Connecte chaque périphérique externe susceptible d'avoir été infecté puis ouvre le "Poste de travail" > Fais un clic droit > puis "Explorer" sur chaque icônes correspondant à :
Clé USB
Disque dur externe.
Partitions
Etc...
/!\ Ne double clique surtout pas sur les icônes pour les ouvrir, sous peine de relancer l'infection.
Puis supprime les fichiers autorun.inf and MS32DLL.dll.vbs s'ils sont présents.
( ainsi que AdobeR.exe, autorun.bin, autorun.reg, autorun.txt, autorun.wsh, RavMonLog, RavAV, ie.exe )


Bonne chance

Mrci
Al.
0

Discussions similaires

processus inactif du systeme
edsurf64 -
mick8 -

29 réponses
Échec de l'initialisation d'ouverture de session
clement62123 -
jmbesnard -

4 réponses
Le processus ne peut pas accéder au fichier
stanly971 -
stanly971 -

2 réponses
processus d'execution client serveur utilise GPU
Lixis258 -
Malekal_morte- -

1 réponse
Lancement d'application en priorité haute par défaut ?
finelarme -
Turok -

8 réponses