Alerte avec Antivir
Résolu/Fermé
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
-
6 janv. 2008 à 22:30
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 8 janv. 2008 à 17:02
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 8 janv. 2008 à 17:02
A voir également:
- Alerte avec Antivir
- Fausse alerte connexion facebook - Guide
- Fausse alerte mcafee - Guide
- Avira antivir - Télécharger - Antivirus & Antimalwares
- Télécharger alerte rouge 2 complet gratuit - Forum Jeux vidéo
- Supprimer alerte logic immo - Forum Réseaux sociaux
35 réponses
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
6 janv. 2008 à 22:35
6 janv. 2008 à 22:35
bonsoir
* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT
*désactive ton antivirus, antispyware, et spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis
* Double clique combofix.exe.
* Tape sur la touche Y (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT
*désactive ton antivirus, antispyware, et spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis
* Double clique combofix.exe.
* Tape sur la touche Y (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
6 janv. 2008 à 22:36
6 janv. 2008 à 22:36
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Allo !
Ceci est une infection Vundo :
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Doubles cliques VundoFix.exe
Quand VundoFix s'ouvre, cliques sur le bouton Scan for Vundo.
Une fois le scan fini, cliques sur le bouton Remove Vundo.
Tu auras un avertissement te demandant si tu veut effacer ces
fichiers réponds en cliquant sur YES
Et remets un log HJTS.
Puis le rapport de Vundofix .
Stp.
Il est possible que je ne puisse te donner la suite je dois partir. alors sinon moi, un autre prendra la relève @+ jal
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Allo !
Ceci est une infection Vundo :
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Doubles cliques VundoFix.exe
Quand VundoFix s'ouvre, cliques sur le bouton Scan for Vundo.
Une fois le scan fini, cliques sur le bouton Remove Vundo.
Tu auras un avertissement te demandant si tu veut effacer ces
fichiers réponds en cliquant sur YES
Et remets un log HJTS.
Puis le rapport de Vundofix .
Stp.
Il est possible que je ne puisse te donner la suite je dois partir. alors sinon moi, un autre prendra la relève @+ jal
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
6 janv. 2008 à 22:37
6 janv. 2008 à 22:37
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Ok bonne chose Philae ! Salut en passant ;-)
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Ok bonne chose Philae ! Salut en passant ;-)
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
6 janv. 2008 à 22:39
6 janv. 2008 à 22:39
salut va voir tes MP.
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
6 janv. 2008 à 22:44
6 janv. 2008 à 22:44
Merci à tous pour vos réponses je fais ce que vous me dites et je vous tiens aucourant.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
6 janv. 2008 à 22:48
6 janv. 2008 à 22:48
à savoir que cela ne solutionneras pas tous tes problèmes mais il est utile d'avoir le rapport de combo pour la suite
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
6 janv. 2008 à 22:55
6 janv. 2008 à 22:55
Après un scan avec Combofix voila le rapport émit:
ComboFix 08-01-04.1 - eric 2008-01-06 22:42:38.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.426 [GMT 1:00]
Running from: F:\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Optimark\OTB\OTB.exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\hggeeec.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\rqrpmki.dll
C:\WINDOWS\system32\vtutq.dll
C:\WINDOWS\system32\vtutq.exe
[code] <pre>
"C:\ATI Technologies\ATI Control Panel\atiptaxx .exe" replaces infected copy of "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" moved to QooBox
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe" replaces infected copy of "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"
"C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe" replaces infected copy of "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
"C:\Program Files\Optimark\OTB\OTB .exe" replaces infected copy of "C:\Program Files\Optimark\OTB\OTB.exe"
"C:\Program Files\Unlocker\UnlockerAssistant .exe" replaces infected copy of "C:\Program Files\Unlocker\UnlockerAssistant.exe"
"C:\Program Files\Winamp\winampa .exe" replaces infected copy of "C:\Program Files\Winamp\winampa.exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
"C:\WINDOWS\system32\NeroCheck .exe" replaces infected copy of "C:\WINDOWS\system32\NeroCheck.exe"
</pre> [/code]
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 21:46 --------- d-----w C:\Program Files\Winamp
2008-01-06 21:46 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 21:37 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-28 22:16 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8ED73F5B-BC05-485F-9218-BCDA1CB46F0D}]
2008-01-06 22:48 344576 --a------ C:\WINDOWS\system32\vtutq.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-06 21:47 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [ ]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"FileBackup"="C:\Program Files\Optimark\OTB\OTB.exe" [ ]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\vtutq.exe
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\vtutq
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 22:47:35
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\vtutq.dll
.
Completion time: 2008-01-06 22:52:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-06 21:52:33
.
2007-12-13 14:10:37 --- E O F ---
En esperant que cela fera avancer les choses...
Merci d'avance
ComboFix 08-01-04.1 - eric 2008-01-06 22:42:38.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.426 [GMT 1:00]
Running from: F:\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Optimark\OTB\OTB.exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\hggeeec.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\rqrpmki.dll
C:\WINDOWS\system32\vtutq.dll
C:\WINDOWS\system32\vtutq.exe
[code] <pre>
"C:\ATI Technologies\ATI Control Panel\atiptaxx .exe" replaces infected copy of "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" moved to QooBox
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe" replaces infected copy of "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"
"C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe" replaces infected copy of "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
"C:\Program Files\Optimark\OTB\OTB .exe" replaces infected copy of "C:\Program Files\Optimark\OTB\OTB.exe"
"C:\Program Files\Unlocker\UnlockerAssistant .exe" replaces infected copy of "C:\Program Files\Unlocker\UnlockerAssistant.exe"
"C:\Program Files\Winamp\winampa .exe" replaces infected copy of "C:\Program Files\Winamp\winampa.exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
"C:\WINDOWS\system32\NeroCheck .exe" replaces infected copy of "C:\WINDOWS\system32\NeroCheck.exe"
</pre> [/code]
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 21:46 --------- d-----w C:\Program Files\Winamp
2008-01-06 21:46 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 21:37 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-28 22:16 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8ED73F5B-BC05-485F-9218-BCDA1CB46F0D}]
2008-01-06 22:48 344576 --a------ C:\WINDOWS\system32\vtutq.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-06 21:47 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [ ]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"FileBackup"="C:\Program Files\Optimark\OTB\OTB.exe" [ ]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\vtutq.exe
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\vtutq
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 22:47:35
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\vtutq.dll
.
Completion time: 2008-01-06 22:52:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-06 21:52:33
.
2007-12-13 14:10:37 --- E O F ---
En esperant que cela fera avancer les choses...
Merci d'avance
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
6 janv. 2008 à 22:58
6 janv. 2008 à 22:58
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Oui c'est bien Philae Combo a capté le bon aussi ;-)
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Oui c'est bien Philae Combo a capté le bon aussi ;-)
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
6 janv. 2008 à 23:17
6 janv. 2008 à 23:17
re
on continue
* Télécharge RenV.exe sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe
Double-clic sur RenV.exe pour le lancer, et patiente.
Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, poste le.
on continue
* Télécharge RenV.exe sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe
Double-clic sur RenV.exe pour le lancer, et patiente.
Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, poste le.
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
6 janv. 2008 à 23:38
6 janv. 2008 à 23:38
Je viens de finir un scan avec VundoFix après un reboot et un lancement de HJTS voila le rapport de celui-ci:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36:33, on 06/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FileBackup] C:\Program Files\Optimark\OTB\OTB.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
--
End of file - 6275 bytes
Maintenant je lance RenV.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36:33, on 06/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FileBackup] C:\Program Files\Optimark\OTB\OTB.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
--
End of file - 6275 bytes
Maintenant je lance RenV.exe
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
6 janv. 2008 à 23:41
6 janv. 2008 à 23:41
Et voila le rapport de RenV:
[code]
Ran on 06/01/2008 - 23:38:43,65
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
[/code]
[code]
Ran on 06/01/2008 - 23:38:43,65
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
[/code]
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
6 janv. 2008 à 23:50
6 janv. 2008 à 23:50
merci, je regarde pour te donner la suite
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
6 janv. 2008 à 23:55
6 janv. 2008 à 23:55
Petite info de dernière minute, après un reboot j'ai un message d'erreur de windows m'informant qu'il ne trouve pas C:\WINDOWS\system32\vtutq.exe.
Puis un second message d'erreur me demandant de le supprimer du registre.
Je ne sais pas ci cela à une importance mais au cas ou j'ai préféré t'en informer.
Puis un second message d'erreur me demandant de le supprimer du registre.
Je ne sais pas ci cela à une importance mais au cas ou j'ai préféré t'en informer.
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
6 janv. 2008 à 23:56
6 janv. 2008 à 23:56
merci, on voit ça ensuite. Je viens de te poster une manip à réaliser
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
6 janv. 2008 à 23:55
6 janv. 2008 à 23:55
c'est la première fois que je tombe sur cette new infection.
Créé un fichier Bloc Notes avec le texte qui se trouve en citation
# Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
# Choisis "Enregistrer sous" et choisis "Bureau"
# Dans le champs "Nom du fichier" en bas de page donne le nom suivant:Log.txt
# Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
# Quitte le Bloc Notes.
# Fait un glisser/déposer de ce fichier Log.txt sur le fichier RenV.exe comme sur la capture d'écran
https://www.enregistrersous.com/
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Créé un fichier Bloc Notes avec le texte qui se trouve en citation
C:\ATI Technologies\ATI Control Panel\atiptaxx .exe" replaces infected copy of "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" moved to QooBox "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe" "C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe" replaces infected copy of "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" "C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe" replaces infected copy of "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" "C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe" "C:\Program Files\Optimark\OTB\OTB .exe" replaces infected copy of "C:\Program Files\Optimark\OTB\OTB.exe" "C:\Program Files\Unlocker\UnlockerAssistant .exe" replaces infected copy of "C:\Program Files\Unlocker\UnlockerAssistant.exe" "C:\Program Files\Winamp\winampa .exe" replaces infected copy of "C:\Program Files\Winamp\winampa.exe" "C:\WINDOWS\system32\ctfmon .exe" moved to QooBox "C:\WINDOWS\system32\NeroCheck .exe" replaces infected copy of "C:\WINDOWS\system32\NeroCheck.exe"
# Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
# Choisis "Enregistrer sous" et choisis "Bureau"
# Dans le champs "Nom du fichier" en bas de page donne le nom suivant:Log.txt
# Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
# Quitte le Bloc Notes.
# Fait un glisser/déposer de ce fichier Log.txt sur le fichier RenV.exe comme sur la capture d'écran
https://www.enregistrersous.com/
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
7 janv. 2008 à 00:05
7 janv. 2008 à 00:05
Et voila!
[code]
Ran on 07/01/2008 - 0:03:43,12
----a-w 256,000 2008-01-06 22:53:12 C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe
----a-w 5,674,352 2008-01-06 22:53:14 C:\Program Files\MSN Messenger\MsnMsgr .Exe
Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 5,930,352 Blocks: 11,583
[/code]
Encore merci pour ta patience.
[code]
Ran on 07/01/2008 - 0:03:43,12
----a-w 256,000 2008-01-06 22:53:12 C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe
----a-w 5,674,352 2008-01-06 22:53:14 C:\Program Files\MSN Messenger\MsnMsgr .Exe
Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 5,930,352 Blocks: 11,583
[/code]
Encore merci pour ta patience.
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
7 janv. 2008 à 00:06
7 janv. 2008 à 00:06
si tu pouvais relancer combo, poster le nouveau rapport ainsi qu'un nouveau rapport hijackthis stp
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
7 janv. 2008 à 00:19
7 janv. 2008 à 00:19
Rapport avec Combo:
ComboFix 08-01-04.1 - eric 2008-01-07 0:08:30.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.426 [GMT 1:00]
Running from: F:\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\vtutq.dll
[code] <pre>
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
</pre> [/code]
.
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.
2008-01-06 22:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-05 20:12 . 2008-01-06 21:02 205 --a------ C:\WINDOWS\system32\'
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 20:11 . 2005-06-11 00:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-01-05 20:11 . 2004-06-26 15:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-01-05 20:11 . 2004-06-26 15:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-01-05 20:11 . 2004-06-26 15:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-05 19:27 . 2008-01-05 19:27 <REP> d-------- C:\VundoFix Backups
2008-01-01 13:08 . 2008-01-05 19:50 1,044,460 ---hs---- C:\WINDOWS\system32\gorksxou.ini
2007-12-28 23:16 . 2007-12-28 23:16 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:16 . 2007-12-28 23:16 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-28 23:16 . 2007-12-28 23:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-28 23:16 . 2008-01-01 13:34 319 --a------ C:\WINDOWS\game.ini
2007-12-14 23:25 . 2008-01-05 21:57 268 --ah----- C:\sqmdata19.sqm
2007-12-14 23:25 . 2008-01-05 21:57 244 --ah----- C:\sqmnoopt19.sqm
2007-12-13 16:06 . 2008-01-05 19:53 268 --ah----- C:\sqmdata18.sqm
2007-12-13 16:06 . 2008-01-05 19:53 244 --ah----- C:\sqmnoopt18.sqm
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 23:12 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 22:57 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 21:52 --------- d-----w C:\Program Files\Winamp
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3D8F287-F179-44B0-9697-FAD68C76FD6B}]
2008-01-07 00:13 344576 --a------ C:\WINDOWS\system32\vtutq.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-06 23:53 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\vtutq.exe
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\vtutq
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 00:13:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\temp
C:\WINDOWS\system32\ctfmon.exe
scan completed successfully
hidden files: 2
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\vtutq.dll
.
Completion time: 2008-01-07 0:17:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-06 23:17:02
ComboFix2.txt 2008-01-06 21:52:39
.
2007-12-13 14:10:37 --- E O F ---
Et avec Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:18:10, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
--
End of file - 5628 bytes
ComboFix 08-01-04.1 - eric 2008-01-07 0:08:30.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.426 [GMT 1:00]
Running from: F:\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\vtutq.dll
[code] <pre>
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
</pre> [/code]
.
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.
2008-01-06 22:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-05 20:12 . 2008-01-06 21:02 205 --a------ C:\WINDOWS\system32\'
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 20:11 . 2005-06-11 00:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-01-05 20:11 . 2004-06-26 15:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-01-05 20:11 . 2004-06-26 15:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-01-05 20:11 . 2004-06-26 15:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-05 19:27 . 2008-01-05 19:27 <REP> d-------- C:\VundoFix Backups
2008-01-01 13:08 . 2008-01-05 19:50 1,044,460 ---hs---- C:\WINDOWS\system32\gorksxou.ini
2007-12-28 23:16 . 2007-12-28 23:16 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:16 . 2007-12-28 23:16 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-28 23:16 . 2007-12-28 23:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-28 23:16 . 2008-01-01 13:34 319 --a------ C:\WINDOWS\game.ini
2007-12-14 23:25 . 2008-01-05 21:57 268 --ah----- C:\sqmdata19.sqm
2007-12-14 23:25 . 2008-01-05 21:57 244 --ah----- C:\sqmnoopt19.sqm
2007-12-13 16:06 . 2008-01-05 19:53 268 --ah----- C:\sqmdata18.sqm
2007-12-13 16:06 . 2008-01-05 19:53 244 --ah----- C:\sqmnoopt18.sqm
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 23:12 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 22:57 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 21:52 --------- d-----w C:\Program Files\Winamp
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3D8F287-F179-44B0-9697-FAD68C76FD6B}]
2008-01-07 00:13 344576 --a------ C:\WINDOWS\system32\vtutq.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-06 23:53 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\vtutq.exe
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\vtutq
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 00:13:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\temp
C:\WINDOWS\system32\ctfmon.exe
scan completed successfully
hidden files: 2
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\vtutq.dll
.
Completion time: 2008-01-07 0:17:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-06 23:17:02
ComboFix2.txt 2008-01-06 21:52:39
.
2007-12-13 14:10:37 --- E O F ---
Et avec Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:18:10, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
--
End of file - 5628 bytes
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
7 janv. 2008 à 00:38
7 janv. 2008 à 00:38
merci
j'ai oublié dans ma lancée, de te faire télécharger ERUNT pour sauvegarder ta base de registre, c'est pas bien du tout
fait le maintenant stp c'est important en cas de mauvaise manip
https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/erunt.html
tuto
http://pageperso.aol.fr/loraline60/tuto_erunt.htm
puis ensuite tu pourras
* lance hijackthis puis coche ces lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
* toutes applications fermées et hors connexion, clique sur fix checked
ensuite
Sélectionne le texte suivant :
# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
j'ai oublié dans ma lancée, de te faire télécharger ERUNT pour sauvegarder ta base de registre, c'est pas bien du tout
fait le maintenant stp c'est important en cas de mauvaise manip
https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/erunt.html
tuto
http://pageperso.aol.fr/loraline60/tuto_erunt.htm
puis ensuite tu pourras
* lance hijackthis puis coche ces lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
* toutes applications fermées et hors connexion, clique sur fix checked
ensuite
Sélectionne le texte suivant :
file:: C:\WINDOWS\system32\gorksxou.ini C:\WINDOWS\system32\vtutq.exe registry:: [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows] "vtutq.exe"=- [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{780638 7b-5125-11db-9f57-4d6564696130}]
# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
7 janv. 2008 à 01:05
7 janv. 2008 à 01:05
Dernier rapport de ComboFix:
ComboFix 08-01-04.1 - eric 2008-01-07 0:53:01.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.483 [GMT 1:00]
Running from: F:\ComboFix.exe
Command switches used :: C:\Documents and Settings\eric\Bureau\CFScript.txt
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\vtutq.dll
[code] <pre>
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
</pre> [/code]
.
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.
2008-01-06 22:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-05 20:12 . 2008-01-06 21:02 205 --a------ C:\WINDOWS\system32\'
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 20:11 . 2005-06-11 00:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-01-05 20:11 . 2004-06-26 15:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-01-05 20:11 . 2004-06-26 15:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-01-05 20:11 . 2004-06-26 15:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-05 19:27 . 2008-01-05 19:27 <REP> d-------- C:\VundoFix Backups
2008-01-01 13:08 . 2008-01-05 19:50 1,044,460 ---hs---- C:\WINDOWS\system32\gorksxou.ini
2007-12-28 23:16 . 2007-12-28 23:16 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:16 . 2007-12-28 23:16 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-28 23:16 . 2007-12-28 23:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-28 23:16 . 2008-01-01 13:34 319 --a------ C:\WINDOWS\game.ini
2007-12-14 23:25 . 2008-01-05 21:57 268 --ah----- C:\sqmdata19.sqm
2007-12-14 23:25 . 2008-01-05 21:57 244 --ah----- C:\sqmnoopt19.sqm
2007-12-13 16:06 . 2008-01-05 19:53 268 --ah----- C:\sqmdata18.sqm
2007-12-13 16:06 . 2008-01-05 19:53 244 --ah----- C:\sqmnoopt18.sqm
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 23:56 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 23:49 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 21:52 --------- d-----w C:\Program Files\Winamp
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.
((((((((((((((((((((((((((((( snapshot@2008-01-06_22.52.07.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 11:02:28 163,328 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\ERDNT.EXE
+ 2008-01-06 23:43:59 6,402,048 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-01-06 23:43:59 360,448 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-07 00:36 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 00:57:21
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-07 1:01:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-07 00:01:08
ComboFix2.txt 2008-01-06 23:17:13
ComboFix3.txt 2008-01-06 21:52:39
.
2007-12-13 14:10:37 --- E O F ---
Ne te casse plus la tête pour ce soir ça ne presse pas. Merci encore de ta patience je serai à nouveau en ligne demain dans la soirée.
ComboFix 08-01-04.1 - eric 2008-01-07 0:53:01.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.483 [GMT 1:00]
Running from: F:\ComboFix.exe
Command switches used :: C:\Documents and Settings\eric\Bureau\CFScript.txt
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\vtutq.dll
[code] <pre>
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
</pre> [/code]
.
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.
2008-01-06 22:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-05 20:12 . 2008-01-06 21:02 205 --a------ C:\WINDOWS\system32\'
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 20:11 . 2005-06-11 00:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-01-05 20:11 . 2004-06-26 15:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-01-05 20:11 . 2004-06-26 15:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-01-05 20:11 . 2004-06-26 15:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-05 19:27 . 2008-01-05 19:27 <REP> d-------- C:\VundoFix Backups
2008-01-01 13:08 . 2008-01-05 19:50 1,044,460 ---hs---- C:\WINDOWS\system32\gorksxou.ini
2007-12-28 23:16 . 2007-12-28 23:16 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:16 . 2007-12-28 23:16 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-28 23:16 . 2007-12-28 23:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-28 23:16 . 2008-01-01 13:34 319 --a------ C:\WINDOWS\game.ini
2007-12-14 23:25 . 2008-01-05 21:57 268 --ah----- C:\sqmdata19.sqm
2007-12-14 23:25 . 2008-01-05 21:57 244 --ah----- C:\sqmnoopt19.sqm
2007-12-13 16:06 . 2008-01-05 19:53 268 --ah----- C:\sqmdata18.sqm
2007-12-13 16:06 . 2008-01-05 19:53 244 --ah----- C:\sqmnoopt18.sqm
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 23:56 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 23:49 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 21:52 --------- d-----w C:\Program Files\Winamp
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.
((((((((((((((((((((((((((((( snapshot@2008-01-06_22.52.07.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 11:02:28 163,328 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\ERDNT.EXE
+ 2008-01-06 23:43:59 6,402,048 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-01-06 23:43:59 360,448 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-07 00:36 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 00:57:21
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-07 1:01:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-07 00:01:08
ComboFix2.txt 2008-01-06 23:17:13
ComboFix3.txt 2008-01-06 21:52:39
.
2007-12-13 14:10:37 --- E O F ---
Ne te casse plus la tête pour ce soir ça ne presse pas. Merci encore de ta patience je serai à nouveau en ligne demain dans la soirée.
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
7 janv. 2008 à 01:08
7 janv. 2008 à 01:08
c'est pas que ça presse ou pas, mais plus vite on soigne, mieux c'est et beaucoup plus simple, c'est pour ça que j'aime bien pouvoir faire à la suite.
peux tu reposter un nouveau rapport hijackthis
comment se comporte ton pc actuellement ?
j'attends ta réponse avant de couper de toutes facons à moins qu'elle ne vienne pas d'ici 1/4 d'heure
peux tu reposter un nouveau rapport hijackthis
comment se comporte ton pc actuellement ?
j'attends ta réponse avant de couper de toutes facons à moins qu'elle ne vienne pas d'ici 1/4 d'heure
BBaBB
Messages postés
16
Date d'inscription
dimanche 6 janvier 2008
Statut
Membre
Dernière intervention
8 janvier 2008
7 janv. 2008 à 01:16
7 janv. 2008 à 01:16
Voici le rapport avec Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:12:17, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
--
End of file - 5979 bytes
Quand à mon pc, au reboot je n'ai plus de message d'erreur ni d'alerte antivirus et il me semble plus rapide
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:12:17, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)
--
End of file - 5979 bytes
Quand à mon pc, au reboot je n'ai plus de message d'erreur ni d'alerte antivirus et il me semble plus rapide