Création
d'entreprise
Posez votre question Signaler

Virus supprimé ????

Kaze37 268Messages postés 12 novembre 2007Date d'inscription 28 janvier 2012Dernière intervention - Dernière réponse le 12 sept. 2008 à 22:15
Bonjour,
En analysant ma base de registre avec Malewarebytes'Anti-Malewares, deux virus à été détecté : Broken.SecurityProviders et Broken.OpenCommand.
Cependant après l'avoir supprimé, je constate des ralentissements...Je me pose alors cette question : Ce virus à t-il été supprimé correctement ou bien suivis-je victime d'un autre virus ???
Bon, je poste quand même un rapport HijackThis mais il doit être clean :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:13, on 12/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\found.002\dir0001.chk\Sauze Julien\Mes documents\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par ISP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Lire la suite 

Virus supprimé »

11 réponses
Réponse
-1
moins plus
boulepate62 23341Messages postés 14 mars 2006Date d'inscription 10 novembre 2011Dernière intervention 12 sept. 2008 à 21:26
Bonjour

As-tu le rapport de Malwarebytes afin de voir ce qui a été supprimé ?


* Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
- Ferme Internet Explorer avant de cliquer sur Fix checked
- S'il manque des lignes ce n'est pas grave
- Rien n'est supprimé

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe


* Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle-la sur "désactivé"

- NVIDIA Display Driver Service


* Vas dans ajouter/supprimer des programmes et désinstalle : Bonjour (Service Bonjour) inutile.


* Redémarre ton système pour prendre en compte les modifications.

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
-1
moins plus
Kaze37 268Messages postés 12 novembre 2007Date d'inscription 28 janvier 2012Dernière intervention 12 sept. 2008 à 21:37
Les lignes de HijackThis que j'ai supprimées, c'étaient quoi exactement ??

Le rapport de Malewarebytes précise que ces deux virus ont étés supprimés !!!!!

Et encore merci

 Ajouter un commentaire
Ajouter un commentaire
Réponse
-1
moins plus
boulepate62 23341Messages postés 14 mars 2006Date d'inscription 10 novembre 2011Dernière intervention 12 sept. 2008 à 21:40
Des programmes inutiles au démarrage, ça permet d'éviter des lenteurs et suconsommation de ressources système inutiles. Malwarebytes peut très bien s'être trompé, méfiance donc quand on supprime !

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+1
moins plus
Kaze37 268Messages postés 12 novembre 2007Date d'inscription 28 janvier 2012Dernière intervention 12 sept. 2008 à 21:42
J'espère ne pas avoir fait d'erreur !!!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
-1
moins plus
boulepate62 23341Messages postés 14 mars 2006Date d'inscription 10 novembre 2011Dernière intervention 12 sept. 2008 à 21:46
Normalement, si tu n'as pas supprimé ce qui est en quarantaine, tout y est encore.


Peux-tu faire ceci, car un dossier me semble suspect !

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

Tuto si besoin d'aide
http://kerio.probb.fr/Clean-h15.html

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+1
moins plus
Kaze37 268Messages postés 12 novembre 2007Date d'inscription 28 janvier 2012Dernière intervention 12 sept. 2008 à 21:56
12/09/2008 a 21:52:02,90

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\winsys.exe FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

 Ajouter un commentaire
Ajouter un commentaire
Réponse
-1
moins plus
Kaze37 268Messages postés 12 novembre 2007Date d'inscription 28 janvier 2012Dernière intervention 12 sept. 2008 à 21:56
DiagHelp version v1.4 - http://www.malekal.com
excute le 13/04/2008 à 17:41:52,21


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->13/04/2008 17:41:51
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/04/2008 17:41:50
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/04/2008 17:40:39
C:\WINDOWS\prefetch\AVP.EXE-05A8165C.pf -->13/04/2008 17:26:26
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->13/04/2008 17:15:36
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\GZIP.EXE-1F1F9B49.pf -->13/04/2008 17:15:08
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->13/04/2008 17:13:16
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->13/04/2008 17:13:06

C:\WINDOWS\System32\drivers\fidbox.dat -->13/04/2008 17:38:19
C:\WINDOWS\System32\drivers\fidbox2.dat -->13/04/2008 17:12:59
C:\WINDOWS\System32\drivers\fidbox2.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\fidbox.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\klif.sys -->12/04/2008 15:51:50
C:\WINDOWS\System32\drivers\klin.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\drivers\klick.dat -->12/04/2008 15:51:45

C:\WINDOWS\System32\wpa.dbl -->12/04/2008 14:27:34
C:\WINDOWS\System32\FNTCACHE.DAT -->09/04/2008 20:33:38
C:\WINDOWS\System32\MRT.exe -->06/04/2008 07:56:20
C:\WINDOWS\System32\PerfStringBackup.INI -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->26/03/2008 23:43:13
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->26/03/2008 22:06:43
C:\WINDOWS\System32\TZLog.log -->25/03/2008 23:17:47
C:\WINDOWS\System32\h323log.txt -->25/03/2008 22:40:58
C:\WINDOWS\System32\wpa.bak -->25/03/2008 22:13:07
C:\WINDOWS\System32\LoopyMusic.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\BuzzingBee.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\nvapps.xml -->25/03/2008 21:52:27
C:\WINDOWS\System32\$winnt$.inf -->25/03/2008 21:47:20
C:\WINDOWS\System32\CONFIG.NT -->25/03/2008 21:45:40
C:\WINDOWS\System32\nscompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\amcompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\WindowsLogon.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\logonui.exe.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\sapi.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\nwc.cpl.manifest -->25/03/2008 21:44:56

C:\WINDOWS\wiadebug.log -->13/04/2008 15:24:05
C:\WINDOWS\wiaservc.log -->13/04/2008 15:24:04
C:\WINDOWS\WindowsUpdate.log -->13/04/2008 15:03:31
C:\WINDOWS\0.log -->13/04/2008 15:02:41
C:\WINDOWS\bootstat.dat -->13/04/2008 15:02:35
C:\WINDOWS\SchedLgU.Txt -->13/04/2008 13:08:24
C:\WINDOWS\setupapi.log -->12/04/2008 15:17:14
C:\WINDOWS\HELPINST.LOG -->12/04/2008 15:12:05
C:\WINDOWS\fsdgunst.log -->12/04/2008 15:12:04
C:\WINDOWS\daasunin.LOG -->12/04/2008 15:12:04
C:\WINDOWS\fsmaunin.log -->12/04/2008 15:12:03
C:\WINDOWS\FSGUIINS.LOG -->12/04/2008 15:12:01
C:\WINDOWS\fstnbins.LOG -->12/04/2008 15:11:57
C:\WINDOWS\fsavunin.log -->12/04/2008 15:11:56
C:\WINDOWS\fwesinst.log -->12/04/2008 15:11:47

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 704
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Fri Dec 07 01:47:19 2007
*** Loaded image timestamp: Fri Dec 07 01:49:33 2007
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x015a0000 0x28000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll
0x01680000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x023d0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x66600000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prremote.dll
0x028d0000 0x48000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prloader.dll
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x01be0000 0xb000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\klscav.dll
0x64a00000 0x30000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prkernel.ppl
0x03120000 0x6c000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\params.ppl
0x03190000 0x9000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\pxstub.ppl
0x67f00000 0x7000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\tempfile.ppl
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x058b0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x60510000 0x19000 2.00.50727.1433 c:\WINDOWS\system32\dfshim.dll
0x79000000 0x46000 2.00.50727.1433 c:\WINDOWS\system32\mscoree.dll
0x79e70000 0x58f000 2.00.50727.1433 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
0x055f0000 0xc000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
0x62350000 0x53000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
0x60400000 0x18000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.3\program\MSVCR71.dll
0x61e70000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll
0x02840000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1332
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x011a0000 0x33000 7.00.0000.0124 C:\WINDOWS\system32\klogon.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB

Répertoire de C:\WINDOWS\system32

02/03/2006 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 239 608 688 640 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB

Répertoire de C:\WINDOWS\Downloaded Program Files

25/03/2008 21:45 <REP> .
25/03/2008 21:45 <REP> ..
25/03/2008 21:45 65 desktop.ini
1 fichier(s) 65 octets

Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 239 608 688 640 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+1
moins plus
boulepate62 23341Messages postés 14 mars 2006Date d'inscription 10 novembre 2011Dernière intervention 12 sept. 2008 à 22:02
Exécute l'option 2 de Clean afin de supprimer la bestiole

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+1
moins plus
Kaze37 268Messages postés 12 novembre 2007Date d'inscription 28 janvier 2012Dernière intervention 12 sept. 2008 à 22:08
J'ai quitté le logiciel !!!

Je relance Clean ou je passe directement à la suite ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
-1
moins plus
boulepate62 23341Messages postés 14 mars 2006Date d'inscription 10 novembre 2011Dernière intervention 12 sept. 2008 à 22:10
Oui tu relances Clean et tu fais option 2

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
-1
moins plus
Kaze37 268Messages postés 12 novembre 2007Date d'inscription 28 janvier 2012Dernière intervention 12 sept. 2008 à 22:15
Voilà le rapport :

Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 12/09/2008 a 22:11:23,71

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\winsys.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

C'était un virus important ??

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Virus supprimé ???? » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook