Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Virus supprimé ????

Dernière réponse le 12 sep 2008 à 22:15:48 Kaze37, le 12 sep 2008 à 20:29:33

Signaler ce message aux modérateurs

Bonjour,

En analysant ma base de registre avec Malewarebytes'Anti-Malewares, deux virus à été détecté : Broken.SecurityProviders et Broken.OpenCommand.

Cependant après l'avoir supprimé, je constate des ralentissements...Je me pose alors cette question : Ce virus à t-il été supprimé correctement ou bien suivis-je victime d'un autre virus ???

Bon, je poste quand même un rapport HijackThis mais il doit être clean :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:13, on 12/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\found.002\dir0001.chk\Sauze Julien\Mes documents\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par ISP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
End of file - 5129 bytes

Configuration: Windows XP
Firefox 3.0.1

Meilleures réponses pour « Virus supprimé ???? » dans :

Virus: Supprimer ou Quarantaine? (Résolu) Voir

Anti virus Supprimer Voir

Supprimer ou Nettoyer un virus? (Résolu) Voir

[Virus] Que faire quand on est infecté ? VoirSi vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque...

Virus et Malwares ... Le truc pour les éliminer Voir

Virus/Ver MSN/WLM VoirACTION À MENER ! SUPPRIMER L'INFECTION. Vous avez reçu via vos conversations MSN/Windows Live Messenger un fichier ou un message accompagné d’un lien du style : "Album photo.zip" "t'es tres jolie sur cet tof..." "ta tof fait quoi...

Virus qui supprime droit administrateur (Résolu) Voir

Cheval de troie comment le supprimer? (Résolu) Voir

[virus] Trojan impossible a supprimer (Résolu) Voir

Télécharger APO USB Autorun VoirAPO USB Autorun vous permet d'ajouter la fonction de lancement automatique à votre clé USB. Il cherche automatiquement l'extension autorun.inf comme sur les CDs pour l'exécuter. Cette fonction toute simple et pourtant indispensable vous permet...

Télécharger Advanced NTFS Recovery Voir

Télécharger Avast! Virus Cleaner VoirTout le monde connaît l' antivirus gratuit Avast. Son éditeur propose avast! Virus Cleaner, un nettoyeur de virus gratuit, permettant de supprimer de l'ordinateur, les infections d'une vaste gamme de virus et de vers (worms). Si, malgré toutes...

Taskmgr - taskmgr.exe Voirtaskmgr - taskmgr.exe Le processus taskmgr.exe (taskmgr signifiant task Manager) est le gestionnaire des tâches de Windows lui-même. Il est donc systématiquement lancé à chaque fois que vous souhaitez voir les processus d'arrière-plan ! Le...

Posez votre question Répondre

boulepate62, le 12 sep 2008 à 21:26:38

Bonjour

As-tu le rapport de Malwarebytes afin de voir ce qui a été supprimé ?

* Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
- Ferme Internet Explorer avant de cliquer sur Fix checked
- S'il manque des lignes ce n'est pas grave
- Rien n'est supprimé

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

* Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle-la sur "désactivé"

- NVIDIA Display Driver Service

* Vas dans ajouter/supprimer des programmes et désinstalle : Bonjour (Service Bonjour) inutile.

* Redémarre ton système pour prendre en compte les modifications.
C'est en forgeant que l'on devient forgeron !

Répondre à boulepate62

Kaze37, le 12 sep 2008 à 21:37:25

Les lignes de HijackThis que j'ai supprimées, c'étaient quoi exactement ??

Le rapport de Malewarebytes précise que ces deux virus ont étés supprimés !!!!!

Et encore merci

Répondre à Kaze37

boulepate62, le 12 sep 2008 à 21:40:46

Des programmes inutiles au démarrage, ça permet d'éviter des lenteurs et suconsommation de ressources système inutiles. Malwarebytes peut très bien s'être trompé, méfiance donc quand on supprime !
C'est en forgeant que l'on devient forgeron !

Répondre à boulepate62

Kaze37, le 12 sep 2008 à 21:42:13

J'espère ne pas avoir fait d'erreur !!!

Répondre à Kaze37

boulepate62, le 12 sep 2008 à 21:46:52

Normalement, si tu n'as pas supprimé ce qui est en quarantaine, tout y est encore.

Peux-tu faire ceci, car un dossier me semble suspect !

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

Tuto si besoin d'aide
http://kerio.probb.fr/Clean-h15.html
C'est en forgeant que l'on devient forgeron !

Répondre à boulepate62

Kaze37, le 12 sep 2008 à 21:56:00

12/09/2008 a 21:52:02,90

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\winsys.exe FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Répondre à Kaze37

Kaze37, le 12 sep 2008 à 21:56:50

DiagHelp version v1.4 - http://www.malekal.com
excute le 13/04/2008 à 17:41:52,21

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->13/04/2008 17:41:51
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/04/2008 17:41:50
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/04/2008 17:40:39
C:\WINDOWS\prefetch\AVP.EXE-05A8165C.pf -->13/04/2008 17:26:26
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->13/04/2008 17:15:36
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\GZIP.EXE-1F1F9B49.pf -->13/04/2008 17:15:08
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->13/04/2008 17:13:16
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->13/04/2008 17:13:06

C:\WINDOWS\System32\drivers\fidbox.dat -->13/04/2008 17:38:19
C:\WINDOWS\System32\drivers\fidbox2.dat -->13/04/2008 17:12:59
C:\WINDOWS\System32\drivers\fidbox2.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\fidbox.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\klif.sys -->12/04/2008 15:51:50
C:\WINDOWS\System32\drivers\klin.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\drivers\klick.dat -->12/04/2008 15:51:45

C:\WINDOWS\System32\wpa.dbl -->12/04/2008 14:27:34
C:\WINDOWS\System32\FNTCACHE.DAT -->09/04/2008 20:33:38
C:\WINDOWS\System32\MRT.exe -->06/04/2008 07:56:20
C:\WINDOWS\System32\PerfStringBackup.INI -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->26/03/2008 23:43:13
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->26/03/2008 22:06:43
C:\WINDOWS\System32\TZLog.log -->25/03/2008 23:17:47
C:\WINDOWS\System32\h323log.txt -->25/03/2008 22:40:58
C:\WINDOWS\System32\wpa.bak -->25/03/2008 22:13:07
C:\WINDOWS\System32\LoopyMusic.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\BuzzingBee.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\nvapps.xml -->25/03/2008 21:52:27
C:\WINDOWS\System32\$winnt$.inf -->25/03/2008 21:47:20
C:\WINDOWS\System32\CONFIG.NT -->25/03/2008 21:45:40
C:\WINDOWS\System32\nscompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\amcompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\WindowsLogon.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\logonui.exe.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\sapi.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\nwc.cpl.manifest -->25/03/2008 21:44:56

C:\WINDOWS\wiadebug.log -->13/04/2008 15:24:05
C:\WINDOWS\wiaservc.log -->13/04/2008 15:24:04
C:\WINDOWS\WindowsUpdate.log -->13/04/2008 15:03:31
C:\WINDOWS\0.log -->13/04/2008 15:02:41
C:\WINDOWS\bootstat.dat -->13/04/2008 15:02:35
C:\WINDOWS\SchedLgU.Txt -->13/04/2008 13:08:24
C:\WINDOWS\setupapi.log -->12/04/2008 15:17:14
C:\WINDOWS\HELPINST.LOG -->12/04/2008 15:12:05
C:\WINDOWS\fsdgunst.log -->12/04/2008 15:12:04
C:\WINDOWS\daasunin.LOG -->12/04/2008 15:12:04
C:\WINDOWS\fsmaunin.log -->12/04/2008 15:12:03
C:\WINDOWS\FSGUIINS.LOG -->12/04/2008 15:12:01
C:\WINDOWS\fstnbins.LOG -->12/04/2008 15:11:57
C:\WINDOWS\fsavunin.log -->12/04/2008 15:11:56
C:\WINDOWS\fwesinst.log -->12/04/2008 15:11:47

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 704
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Fri Dec 07 01:47:19 2007
*** Loaded image timestamp: Fri Dec 07 01:49:33 2007
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x015a0000 0x28000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll
0x01680000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x023d0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x66600000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prremote.dll
0x028d0000 0x48000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prloader.dll
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x01be0000 0xb000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\klscav.dll
0x64a00000 0x30000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prkernel.ppl
0x03120000 0x6c000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\params.ppl
0x03190000 0x9000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\pxstub.ppl
0x67f00000 0x7000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\tempfile.ppl
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x058b0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x60510000 0x19000 2.00.50727.1433 c:\WINDOWS\system32\dfshim.dll
0x79000000 0x46000 2.00.50727.1433 c:\WINDOWS\system32\mscoree.dll
0x79e70000 0x58f000 2.00.50727.1433 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
0x055f0000 0xc000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
0x62350000 0x53000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
0x60400000 0x18000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.3\program\MSVCR71.dll
0x61e70000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll
0x02840000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1332
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x011a0000 0x33000 7.00.0000.0124 C:\WINDOWS\system32\klogon.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB

Répertoire de C:\WINDOWS\system32

02/03/2006 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 239 608 688 640 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB

Répertoire de C:\WINDOWS\Downloaded Program Files

25/03/2008 21:45 <REP> .
25/03/2008 21:45 <REP> ..
25/03/2008 21:45 65 desktop.ini
1 fichier(s) 65 octets

Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 239 608 688 640 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...

Répondre à Kaze37

boulepate62, le 12 sep 2008 à 22:02:46

Exécute l'option 2 de Clean afin de supprimer la bestiole
C'est en forgeant que l'on devient forgeron !

Répondre à boulepate62

Kaze37, le 12 sep 2008 à 22:08:06

J'ai quitté le logiciel !!!

Je relance Clean ou je passe directement à la suite ?

Répondre à Kaze37

boulepate62, le 12 sep 2008 à 22:10:31

Oui tu relances Clean et tu fais option 2
C'est en forgeant que l'on devient forgeron !

Répondre à boulepate62

Kaze37, le 12 sep 2008 à 22:15:48

Voilà le rapport :

Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 12/09/2008 a 22:11:23,71

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\winsys.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

C'était un virus important ??

Répondre à Kaze37

Posez votre question Répondre