Virus ou spyware cmt supprimer?
Fermé
hody
-
24 sept. 2008 à 12:34
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 7 oct. 2008 à 17:50
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 7 oct. 2008 à 17:50
A voir également:
- Virus ou spyware cmt supprimer?
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Supprimer edge - Guide
- Supprimer bing - Guide
- Supprimer compte facebook - Guide
49 réponses
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
24 sept. 2008 à 16:48
24 sept. 2008 à 16:48
---> Quitte le programme et fais ceci :
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Bonjour Destriot;
je suis desolé j'avais été obligé de me de connecter hier. Pour en revenir a la deuxieme machine j'ai installer combofix mais lorsque je l'executer et qu'il arrive au scan il scanne mais au moment de rédemarrer l'ordi une écran bleu apparait avec un message d'err signalant une erreur système d'ou l'arret de l'ordi avec a la fin vidage de la memoire physique terminée
Merci de bien vouloir m'aider!
je suis desolé j'avais été obligé de me de connecter hier. Pour en revenir a la deuxieme machine j'ai installer combofix mais lorsque je l'executer et qu'il arrive au scan il scanne mais au moment de rédemarrer l'ordi une écran bleu apparait avec un message d'err signalant une erreur système d'ou l'arret de l'ordi avec a la fin vidage de la memoire physique terminée
Merci de bien vouloir m'aider!
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 12:10
25 sept. 2008 à 12:10
As-tu eu un rapport quand même ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 12:17
25 sept. 2008 à 12:17
Poste un nouveau rapport HijackThis.
Voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:22, on 2008-09-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\savedump.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ati2sgag.exe
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\Common\DataServer.exe
D:\WINDOWS\qqshel.exe
D:\WINDOWS\360safe.exe
D:\WINDOWS\soni.exe
D:\WINDOWS\System32\WScript.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
D:\WINDOWS\system32\dumprep.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\WINDOWS\system32\HPZipm12.exe
d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\dwwin.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [360] D:\WINDOWS\360safe.exe
O4 - HKLM\..\Run: [RavMonS] D:\WINDOWS\soni.exe
O4 - HKLM\..\Run: [Lany] D:\WINDOWS\Lany.vbs
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - D:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - D:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - D:\WINDOWS\PSEXESVC.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - D:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - D:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:22, on 2008-09-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\savedump.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ati2sgag.exe
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\Common\DataServer.exe
D:\WINDOWS\qqshel.exe
D:\WINDOWS\360safe.exe
D:\WINDOWS\soni.exe
D:\WINDOWS\System32\WScript.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
D:\WINDOWS\system32\dumprep.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\WINDOWS\system32\HPZipm12.exe
d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\dwwin.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [360] D:\WINDOWS\360safe.exe
O4 - HKLM\..\Run: [RavMonS] D:\WINDOWS\soni.exe
O4 - HKLM\..\Run: [Lany] D:\WINDOWS\Lany.vbs
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - D:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - D:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - D:\WINDOWS\PSEXESVC.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - D:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - D:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 12:34
25 sept. 2008 à 12:34
---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1203
Windows 5.1.2600 Service Pack 3
2008-09-25 10:42:45
mbam-log-2008-09-25 (10-42-45).txt
Type de recherche: Examen rapide
Eléments examinés: 49366
Temps écoulé: 2 minute(s), 58 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\newecocomediapop.popcoco (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newecocomediapop.popcoco.1 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newepushpopupad.bflogc (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newepushpopupad.bflogc.1 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newvcocomediazpop.popcoco.1 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\D:\WINDOWS\system32\wxvault.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
D:\Documents and Settings\BIOTA-WEST\Bureau\0.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Bureau\t.pif (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Bureau\X.PIF (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\wxvault.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
D:\WINDOWS\inf\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Version de la base de données: 1203
Windows 5.1.2600 Service Pack 3
2008-09-25 10:42:45
mbam-log-2008-09-25 (10-42-45).txt
Type de recherche: Examen rapide
Eléments examinés: 49366
Temps écoulé: 2 minute(s), 58 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\newecocomediapop.popcoco (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newecocomediapop.popcoco.1 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newepushpopupad.bflogc (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newepushpopupad.bflogc.1 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\newvcocomediazpop.popcoco.1 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\D:\WINDOWS\system32\wxvault.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
D:\Documents and Settings\BIOTA-WEST\Bureau\0.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Bureau\t.pif (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Bureau\X.PIF (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\wxvault.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
D:\WINDOWS\inf\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
D:\Documents and Settings\BIOTA-WEST\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 12:48
25 sept. 2008 à 12:48
---> Relance MBAM, va dans Quarantaine et supprime tout
* Télécharge SDFix (par Andy Manchesta) et sauvegarde-le sur ton bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Double-clique sur SDFix.exe et choisis Install pour l'extraire dans son dossier sur le bureau.
* Redémarre le PC en mode sans échec :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
* Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé sur le bureau et double-clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le nettoyage.
* Quand il te le demandera, appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long à redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du bureau, l'outil aura terminé et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton bureau.
* Le rapport SDFix s'ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le rapport du fichier Report.txt.
* Télécharge SDFix (par Andy Manchesta) et sauvegarde-le sur ton bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Double-clique sur SDFix.exe et choisis Install pour l'extraire dans son dossier sur le bureau.
* Redémarre le PC en mode sans échec :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
* Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé sur le bureau et double-clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le nettoyage.
* Quand il te le demandera, appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long à redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du bureau, l'outil aura terminé et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton bureau.
* Le rapport SDFix s'ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le rapport du fichier Report.txt.
voici le rapport SDFix
[b]SDFix: Version 1.229 [/b]
Run by BIOTA-WEST on 2008-09-25 at 10:56
Microsoft Windows XP [version 5.1.2600]
Running From: D:\Documents and Settings\BIOTA-WEST\Bureau\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
D:\autorun.inf - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:00:40
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wxvault.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="D:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[b]Remaining Files [/b]:
File Backups: - D:\DOCUME~1\BIOTA-~1\Bureau\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Fri 7 Mar 2008 14,532,106 A..H. --- "D:\WINDOWS\SoftwareDistribution\Download\5cd2ed83c8b2ba1484b967e9dfbb8885\BIT1D.tmp"
Fri 2 May 2008 3,493,888 A..H. --- "D:\Documents and Settings\BIOTA-WEST\Application Data\U3\temp\Launchpad Removal.exe"
[b]Finished![/b]
[b]SDFix: Version 1.229 [/b]
Run by BIOTA-WEST on 2008-09-25 at 10:56
Microsoft Windows XP [version 5.1.2600]
Running From: D:\Documents and Settings\BIOTA-WEST\Bureau\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
D:\autorun.inf - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:00:40
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wxvault.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="D:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[b]Remaining Files [/b]:
File Backups: - D:\DOCUME~1\BIOTA-~1\Bureau\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Fri 7 Mar 2008 14,532,106 A..H. --- "D:\WINDOWS\SoftwareDistribution\Download\5cd2ed83c8b2ba1484b967e9dfbb8885\BIT1D.tmp"
Fri 2 May 2008 3,493,888 A..H. --- "D:\Documents and Settings\BIOTA-WEST\Application Data\U3\temp\Launchpad Removal.exe"
[b]Finished![/b]
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 13:11
25 sept. 2008 à 13:11
---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download
---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.
---> Poste un nouveau rapport HijackThis
https://www.ccleaner.com/ccleaner/download
---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.
---> Poste un nouveau rapport HijackThis
voici le raport hjack this
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18, on 2008-09-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\Common\DataServer.exe
D:\WINDOWS\qqshel.exe
D:\WINDOWS\system32\HPZipm12.exe
d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\notepad.exe
D:\WINDOWS\360safe.exe
D:\WINDOWS\soni.exe
D:\WINDOWS\System32\WScript.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [360] D:\WINDOWS\360safe.exe
O4 - HKLM\..\Run: [RavMonS] D:\WINDOWS\soni.exe
O4 - HKLM\..\Run: [Lany] D:\WINDOWS\Lany.vbs
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - D:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - D:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - D:\WINDOWS\PSEXESVC.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - D:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - D:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18, on 2008-09-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\Common\DataServer.exe
D:\WINDOWS\qqshel.exe
D:\WINDOWS\system32\HPZipm12.exe
d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\notepad.exe
D:\WINDOWS\360safe.exe
D:\WINDOWS\soni.exe
D:\WINDOWS\System32\WScript.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [360] D:\WINDOWS\360safe.exe
O4 - HKLM\..\Run: [RavMonS] D:\WINDOWS\soni.exe
O4 - HKLM\..\Run: [Lany] D:\WINDOWS\Lany.vbs
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - D:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - D:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - D:\WINDOWS\PSEXESVC.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - D:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - D:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 13:23
25 sept. 2008 à 13:23
Ok, essaie le scan ComboFix en mode sans échec.
Je reviens bientôt.
Je reviens bientôt.
voici le rapprt de comboFix j'attends ton retour !
ComboFix 08-09-22.06 - BIOTA-WEST 2008-09-25 11:28:11.5 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1780 [GMT 0:00]
Lancé depuis: D:\Documents and Settings\BIOTA-WEST\Bureau\ComboFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
D:\autorun.inf
D:\Documents and Settings\BIOTA-WEST\Application Data\smss.exe
I:\autorun.inf
I:\RECYCLER\RECYCLER.exe
.
---- Previous Run -------
.
C:\Autorun.inf
D:\autorun.inf
D:\Documents and Settings\BIOTA-WEST\Application Data\smss.exe
I:\autorun.inf
I:\RECYCLER\RECYCLER.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.
2008-09-25 11:34 . 2008-04-27 01:33 377,344 --a------ D:\Documents and Settings\BIOTA-WEST\Application Data\svchost.exe
2008-09-25 11:34 . 2008-09-25 11:34 136 -rahs---- D:\autorun.inf
2008-09-25 10:55 . 2008-09-25 10:55 579,584 --a--c--- D:\WINDOWS\system32\dllcache\user32.dll
2008-09-25 10:54 . 2008-09-25 10:54 <REP> d-------- D:\WINDOWS\ERUNT
2008-09-25 10:38 . 2008-09-25 10:42 <REP> d-------- D:\Program Files\Malwarebytes' Anti-Malware
2008-09-25 10:38 . 2008-09-25 10:38 <REP> d-------- D:\Documents and Settings\BIOTA-WEST\Application Data\Malwarebytes
2008-09-25 10:38 . 2008-09-25 10:38 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-25 10:38 . 2008-09-10 00:04 38,528 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-25 10:38 . 2008-09-10 00:03 17,200 --a------ D:\WINDOWS\system32\drivers\mbam.sys
2008-09-24 14:01 . 2008-09-24 14:01 <REP> d-------- D:\Program Files\Trend Micro
2008-09-24 12:01 . 2008-09-25 11:07 1,120 --a------ D:\WINDOWS\vapa.ini
2008-09-17 13:32 . 2008-04-27 01:33 377,344 --a------ D:\WINDOWS\system32\Sexy Girls.scr
2008-09-08 03:40 . 2008-09-08 03:40 69,764 --a------ D:\WINDOWS\qqshel.exe
2008-09-08 03:40 . 2008-09-08 03:40 32,768 --a------ D:\WINDOWS\soni.exe
2008-09-08 03:32 . 2008-09-08 03:32 57,344 --a------ D:\WINDOWS\mspcexp.dll
2008-09-08 03:29 . 2008-09-08 03:29 61,440 --a------ D:\WINDOWS\ias.dll
2008-09-08 02:44 . 2008-09-08 02:44 57,344 --a------ D:\WINDOWS\AntiEng.dll
2008-09-08 02:43 . 2008-09-08 02:43 69,753 --a------ D:\WINDOWS\RavNT.exe
2008-09-01 08:45 . 2008-09-01 08:45 <REP> d-------- D:\WINDOWS\system32\fr
2008-09-01 08:45 . 2008-09-01 08:45 <REP> d-------- D:\WINDOWS\system32\bits
2008-09-01 08:45 . 2008-09-01 08:45 <REP> d-------- D:\WINDOWS\l2schemas
2008-09-01 08:43 . 2008-09-01 08:43 <REP> d-------- D:\WINDOWS\ServicePackFiles
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 11:34 6,758 ----a-w D:\Lany.vbs
2008-09-25 11:22 6,758 --sha-r D:\WINDOWS\Lany.vbs
2008-09-24 12:33 --------- d-----w D:\Documents and Settings\All Users\Application Data\Yahoo!
2008-08-13 17:12 --------- d-----w D:\Documents and Settings\All Users\Application Data\CyberLink
2008-08-06 12:47 --------- d-----w D:\Program Files\HP
2008-08-05 17:10 --------- d-s-a-r D:\Program Files\FlashGuard
2008-08-05 04:01 32,768 ----a-w D:\WINDOWS\360safe.exe
2008-07-07 07:38 36,864 ----a-w D:\WINDOWS\icpb.dll
.
((((((((((((((((((((((((((((( snapshot@2008-09-24_12.00.04.11 )))))))))))))))))))))))))))))))))))))))))
.
- 2002-09-24 10:35:53 45,748 ----a-w D:\WINDOWS\dt1.dat
+ 2008-09-25 11:13:37 45,748 ----a-w D:\WINDOWS\dt1.dat
+ 2008-08-07 16:27:04 163,328 ----a-w D:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-09-25 10:54:37 4,403,200 ----a-w D:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-09-25 10:54:38 32,768 ----a-w D:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-08-07 16:27:04 163,328 ----a-w D:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-09-25 10:54:24 4,403,200 ----a-w D:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-09-25 10:54:25 32,768 ----a-w D:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Messenger (Yahoo!)"="D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]
"FrameWorkService"="" [BU]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360"="D:\WINDOWS\360safe.exe" [2008-08-05 32768]
"RavMonS"="D:\WINDOWS\soni.exe" [2008-09-08 32768]
"Lany"="D:\WINDOWS\Lany.vbs" [2008-09-25 6758]
"FrameWorkService"="" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
D:\Documents and Settings\BIOTA-WEST\Menu D‚marrer\Programmes\D‚marrage\
DosÿOptimizer.pif [2008-04-27 377344]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoFind"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wxvault.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"msacm.divxa32"= DivXa32.acm
"msacm.dvacm"= D:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 wvauth nwprovau
[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EMBASSY Trust Suite Secure Update.lnk]
path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\EMBASSY Trust Suite Secure Update.lnk
backup=D:\WINDOWS\pss\EMBASSY Trust Suite Secure Update.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2006-01-02 17:41 45056 D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 13:49 153136 D:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 02:33 15360 D:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Document Manager]
--a------ 2006-05-16 12:35 102400 D:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-09-13 15:49 49152 D:\Program Files\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2004-07-27 16:50 221184 D:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2004-07-27 16:50 81920 D:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 02:34 1695232 D:\Program Files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 D:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
-r------- 2000-10-16 02:00 32768 D:\WINDOWS\system32\RMCTRL.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2006-08-17 09:00 1116920 D:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
--a------ 2006-05-01 10:07 843776 D:\Program Files\Analog Devices\Core\smax4pnp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
--a------ 2005-03-13 23:37 1057280 D:\Program Files\SuperCopier2\SuperCopier2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-01-18 08:30 68856 D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToolBoxFX]
--a------ 2006-10-06 10:14 53248 D:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
--a------ 2007-12-05 15:51 1885464 D:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]
--a------ 2007-12-07 09:42 9479448 D:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpyEraser]
--a------ 2008-01-08 09:14 1260296 D:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
R0 PBADRV;PBADRV;D:\WINDOWS\system32\drivers\pbadrv.sys [2005-12-09 18816]
R1 DLARTL_M;DLARTL_M;D:\WINDOWS\system32\Drivers\DLARTL_M.SYS [2006-08-11 28184]
R2 Ias;Ias;D:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 NwSapAgent;Agent SAP;D:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 USBSTOR;Pilote de stockage de masse USB;D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S2 RuWin;RuWin;D:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 HPFXBULK;HPFXBULK;D:\WINDOWS\system32\drivers\hpfxbulk.sys [2005-09-20 9344]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
RuWin
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{365586f2-1840-11dd-9647-0019b9258766}]
\Shell\AutoRun\command - G:\b.com
\Shell\explore\Command - G:\b.com
\Shell\open\Command - G:\b.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6509bd58-ea94-11dc-960c-0019b9258766}]
\shell\explore\command - J:\explorer.exe
\shell\open\Command - J:\explorer.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98d1e247-360d-11dd-965a-0019b9258766}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe Lany.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfc6a9f6-dad8-11dc-95ef-0019b9258766}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe Lany.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5bae0da-80c8-11dd-96b1-0019b9258766}]
\shell\explore\command - G:\explorer.exe
\shell\open\Command - G:\explorer.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cde37763-2674-11dd-964b-0019b9258766}]
\Shell\AutoRun\command - G:\tyktjfww.exe
\Shell\explore\Command - G:\tyktjfww.exe
\Shell\open\Command - G:\tyktjfww.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc81253c-5c95-11dd-9681-0019b9258766}]
\shell\explore\command - G:\
\shell\open\Command - G:\explorer.exe
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com/
R0 -: HKCU-Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com/
R0 -: HKLM-Main,Search Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 -: HKCU-SearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
O8 -: E&xporter vers Microsoft Excel - D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:34:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
D:\WINDOWS\system32\ati2evxx.exe
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\common\DataServer.exe
D:\WINDOWS\qqshel.exe
D:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
D:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\wscript.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\Program Files\Yahoo!\Messenger\Ymsgr_tray.exe
D:\ComboFix\pv.cfexe
.
**************************************************************************
.
Heure de fin: 2008-09-25 11:39:11 - La machine a redémarré [BIOTA-WEST]
ComboFix-quarantined-files.txt 2008-09-25 11:39:08
ComboFix2.txt 2008-09-24 12:03:50
Avant-CF: 181,605,965,824 octets libres
Après-CF: 181,635,129,344 octets libres
226
ComboFix 08-09-22.06 - BIOTA-WEST 2008-09-25 11:28:11.5 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1780 [GMT 0:00]
Lancé depuis: D:\Documents and Settings\BIOTA-WEST\Bureau\ComboFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
D:\autorun.inf
D:\Documents and Settings\BIOTA-WEST\Application Data\smss.exe
I:\autorun.inf
I:\RECYCLER\RECYCLER.exe
.
---- Previous Run -------
.
C:\Autorun.inf
D:\autorun.inf
D:\Documents and Settings\BIOTA-WEST\Application Data\smss.exe
I:\autorun.inf
I:\RECYCLER\RECYCLER.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.
2008-09-25 11:34 . 2008-04-27 01:33 377,344 --a------ D:\Documents and Settings\BIOTA-WEST\Application Data\svchost.exe
2008-09-25 11:34 . 2008-09-25 11:34 136 -rahs---- D:\autorun.inf
2008-09-25 10:55 . 2008-09-25 10:55 579,584 --a--c--- D:\WINDOWS\system32\dllcache\user32.dll
2008-09-25 10:54 . 2008-09-25 10:54 <REP> d-------- D:\WINDOWS\ERUNT
2008-09-25 10:38 . 2008-09-25 10:42 <REP> d-------- D:\Program Files\Malwarebytes' Anti-Malware
2008-09-25 10:38 . 2008-09-25 10:38 <REP> d-------- D:\Documents and Settings\BIOTA-WEST\Application Data\Malwarebytes
2008-09-25 10:38 . 2008-09-25 10:38 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-25 10:38 . 2008-09-10 00:04 38,528 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-25 10:38 . 2008-09-10 00:03 17,200 --a------ D:\WINDOWS\system32\drivers\mbam.sys
2008-09-24 14:01 . 2008-09-24 14:01 <REP> d-------- D:\Program Files\Trend Micro
2008-09-24 12:01 . 2008-09-25 11:07 1,120 --a------ D:\WINDOWS\vapa.ini
2008-09-17 13:32 . 2008-04-27 01:33 377,344 --a------ D:\WINDOWS\system32\Sexy Girls.scr
2008-09-08 03:40 . 2008-09-08 03:40 69,764 --a------ D:\WINDOWS\qqshel.exe
2008-09-08 03:40 . 2008-09-08 03:40 32,768 --a------ D:\WINDOWS\soni.exe
2008-09-08 03:32 . 2008-09-08 03:32 57,344 --a------ D:\WINDOWS\mspcexp.dll
2008-09-08 03:29 . 2008-09-08 03:29 61,440 --a------ D:\WINDOWS\ias.dll
2008-09-08 02:44 . 2008-09-08 02:44 57,344 --a------ D:\WINDOWS\AntiEng.dll
2008-09-08 02:43 . 2008-09-08 02:43 69,753 --a------ D:\WINDOWS\RavNT.exe
2008-09-01 08:45 . 2008-09-01 08:45 <REP> d-------- D:\WINDOWS\system32\fr
2008-09-01 08:45 . 2008-09-01 08:45 <REP> d-------- D:\WINDOWS\system32\bits
2008-09-01 08:45 . 2008-09-01 08:45 <REP> d-------- D:\WINDOWS\l2schemas
2008-09-01 08:43 . 2008-09-01 08:43 <REP> d-------- D:\WINDOWS\ServicePackFiles
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 11:34 6,758 ----a-w D:\Lany.vbs
2008-09-25 11:22 6,758 --sha-r D:\WINDOWS\Lany.vbs
2008-09-24 12:33 --------- d-----w D:\Documents and Settings\All Users\Application Data\Yahoo!
2008-08-13 17:12 --------- d-----w D:\Documents and Settings\All Users\Application Data\CyberLink
2008-08-06 12:47 --------- d-----w D:\Program Files\HP
2008-08-05 17:10 --------- d-s-a-r D:\Program Files\FlashGuard
2008-08-05 04:01 32,768 ----a-w D:\WINDOWS\360safe.exe
2008-07-07 07:38 36,864 ----a-w D:\WINDOWS\icpb.dll
.
((((((((((((((((((((((((((((( snapshot@2008-09-24_12.00.04.11 )))))))))))))))))))))))))))))))))))))))))
.
- 2002-09-24 10:35:53 45,748 ----a-w D:\WINDOWS\dt1.dat
+ 2008-09-25 11:13:37 45,748 ----a-w D:\WINDOWS\dt1.dat
+ 2008-08-07 16:27:04 163,328 ----a-w D:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-09-25 10:54:37 4,403,200 ----a-w D:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-09-25 10:54:38 32,768 ----a-w D:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-08-07 16:27:04 163,328 ----a-w D:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-09-25 10:54:24 4,403,200 ----a-w D:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-09-25 10:54:25 32,768 ----a-w D:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Messenger (Yahoo!)"="D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]
"FrameWorkService"="" [BU]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360"="D:\WINDOWS\360safe.exe" [2008-08-05 32768]
"RavMonS"="D:\WINDOWS\soni.exe" [2008-09-08 32768]
"Lany"="D:\WINDOWS\Lany.vbs" [2008-09-25 6758]
"FrameWorkService"="" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
D:\Documents and Settings\BIOTA-WEST\Menu D‚marrer\Programmes\D‚marrage\
DosÿOptimizer.pif [2008-04-27 377344]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoFind"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wxvault.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"msacm.divxa32"= DivXa32.acm
"msacm.dvacm"= D:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 wvauth nwprovau
[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EMBASSY Trust Suite Secure Update.lnk]
path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\EMBASSY Trust Suite Secure Update.lnk
backup=D:\WINDOWS\pss\EMBASSY Trust Suite Secure Update.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2006-01-02 17:41 45056 D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 13:49 153136 D:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 02:33 15360 D:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Document Manager]
--a------ 2006-05-16 12:35 102400 D:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-09-13 15:49 49152 D:\Program Files\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2004-07-27 16:50 221184 D:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2004-07-27 16:50 81920 D:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 02:34 1695232 D:\Program Files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 D:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
-r------- 2000-10-16 02:00 32768 D:\WINDOWS\system32\RMCTRL.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2006-08-17 09:00 1116920 D:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
--a------ 2006-05-01 10:07 843776 D:\Program Files\Analog Devices\Core\smax4pnp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
--a------ 2005-03-13 23:37 1057280 D:\Program Files\SuperCopier2\SuperCopier2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-01-18 08:30 68856 D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToolBoxFX]
--a------ 2006-10-06 10:14 53248 D:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
--a------ 2007-12-05 15:51 1885464 D:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]
--a------ 2007-12-07 09:42 9479448 D:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpyEraser]
--a------ 2008-01-08 09:14 1260296 D:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
R0 PBADRV;PBADRV;D:\WINDOWS\system32\drivers\pbadrv.sys [2005-12-09 18816]
R1 DLARTL_M;DLARTL_M;D:\WINDOWS\system32\Drivers\DLARTL_M.SYS [2006-08-11 28184]
R2 Ias;Ias;D:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 NwSapAgent;Agent SAP;D:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 USBSTOR;Pilote de stockage de masse USB;D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S2 RuWin;RuWin;D:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 HPFXBULK;HPFXBULK;D:\WINDOWS\system32\drivers\hpfxbulk.sys [2005-09-20 9344]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
RuWin
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{365586f2-1840-11dd-9647-0019b9258766}]
\Shell\AutoRun\command - G:\b.com
\Shell\explore\Command - G:\b.com
\Shell\open\Command - G:\b.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6509bd58-ea94-11dc-960c-0019b9258766}]
\shell\explore\command - J:\explorer.exe
\shell\open\Command - J:\explorer.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98d1e247-360d-11dd-965a-0019b9258766}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe Lany.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfc6a9f6-dad8-11dc-95ef-0019b9258766}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe Lany.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5bae0da-80c8-11dd-96b1-0019b9258766}]
\shell\explore\command - G:\explorer.exe
\shell\open\Command - G:\explorer.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cde37763-2674-11dd-964b-0019b9258766}]
\Shell\AutoRun\command - G:\tyktjfww.exe
\Shell\explore\Command - G:\tyktjfww.exe
\Shell\open\Command - G:\tyktjfww.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc81253c-5c95-11dd-9681-0019b9258766}]
\shell\explore\command - G:\
\shell\open\Command - G:\explorer.exe
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com/
R0 -: HKCU-Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com/
R0 -: HKLM-Main,Search Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 -: HKCU-SearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
O8 -: E&xporter vers Microsoft Excel - D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:34:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
D:\WINDOWS\system32\ati2evxx.exe
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\common\DataServer.exe
D:\WINDOWS\qqshel.exe
D:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
D:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\wscript.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\Program Files\Yahoo!\Messenger\Ymsgr_tray.exe
D:\ComboFix\pv.cfexe
.
**************************************************************************
.
Heure de fin: 2008-09-25 11:39:11 - La machine a redémarré [BIOTA-WEST]
ComboFix-quarantined-files.txt 2008-09-25 11:39:08
ComboFix2.txt 2008-09-24 12:03:50
Avant-CF: 181,605,965,824 octets libres
Après-CF: 181,635,129,344 octets libres
226
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 14:13
25 sept. 2008 à 14:13
Fais un scan complet avec Antivir :
http://dlce.antivir.com/preversion_fr/preversion_fr_exe.html
http://dlce.antivir.com/preversion_fr/preversion_fr_exe.html
voici le rapport du scan d'antivir
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 25 septembre 2008 12:43
La recherche porte sur 1642770 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :PC2
Informations de version :
BUILD.DAT : 8.1.0.47 16931 Bytes 19/08/2008 11:45:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 10:57:49
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 15:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 14:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 09:30:27
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 12:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 15:54:15
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12/09/2008 12:41:29
ANTIVIR3.VDF : 7.0.6.210 432128 Bytes 25/09/2008 12:41:43
Version du moteur: 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 11:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 25/09/2008 12:42:38
AESCN.DLL : 8.1.0.23 119156 Bytes 10/07/2008 14:44:49
AERDL.DLL : 8.1.1.2 438644 Bytes 25/09/2008 12:42:34
AEPACK.DLL : 8.1.2.3 364918 Bytes 25/09/2008 12:42:29
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 25/09/2008 12:42:23
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 25/09/2008 12:42:19
AEHELP.DLL : 8.1.0.15 115063 Bytes 10/07/2008 14:44:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 25/09/2008 12:41:54
AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 10:33:21
AECORE.DLL : 8.1.1.11 172406 Bytes 25/09/2008 12:41:47
AEBB.DLL : 8.1.0.1 53617 Bytes 10/07/2008 14:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 10:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 11:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 25/09/2008 12:41:44
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 13:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 10:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 14:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 19:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 14:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 14:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 09:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 12:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: d:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : jeudi 25 septembre 2008 12:43
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'setup.exe' - '1' module(s) sont contrôlés
Processus de recherche 'antivir_workstation_winu_fr_h.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ymsgr_tray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Dos Optimizer.pif' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscript.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sqlwriter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sqlbrowser.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sqlservr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qqshel.exe' - '1' module(s) sont contrôlés
Module infecté -> 'D:\WINDOWS\qqshel.exe'
Processus de recherche 'DataServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DevSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
Le processus 'qqshel.exe' est arrêté
D:\WINDOWS\qqshel.exe
[RESULTAT] Contient le cheval de Troie TR/BHO.gtt.2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494e87f3.qua' !
'37' processus ont été contrôlés avec '36' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
D:\WINDOWS\360safe.exe
[RESULTAT] Contient le cheval de Troie TR/Spy.Small.bua
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b87d2.qua' !
Le registre a été contrôlé ( '48' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.gzt.2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49408e07.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP151\A0039044.inf
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.edv.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dd7.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP152\A0039066.inf
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.edv.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2f8.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP195\A0059914.inf
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.edv.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dd8.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059922.INF
[RESULTAT] Contient le modèle de détection du virus INF INF/AutoRun.E
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2f9.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059925.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.dgf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dda.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059935.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.dgf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dd9.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059936.INF
[RESULTAT] Contient le modèle de détection du virus INF INF/AutoRun.E
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fa.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059941.pif
[RESULTAT] Contient le cheval de Troie TR/Dldr.Delf.epw.59
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8ddb.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059942.pif
[RESULTAT] Contient le modèle de détection du dropper DR/generic.698454.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fc.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059943.pif
[RESULTAT] Contient le modèle de détection du dropper DR/BHO.czi.64
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fb.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059944.pif
[RESULTAT] Contient le cheval de Troie TR/PSW.OnlineGames.thtg
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8ddc.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059952.pif
[RESULTAT] Contient le modèle de détection du dropper DR/Agent.abpb.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fd.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059977.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.dgf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8ddd.qua' !
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 25 septembre 2008 12:43
La recherche porte sur 1642770 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :PC2
Informations de version :
BUILD.DAT : 8.1.0.47 16931 Bytes 19/08/2008 11:45:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 10:57:49
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 15:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 14:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 09:30:27
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 12:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 15:54:15
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12/09/2008 12:41:29
ANTIVIR3.VDF : 7.0.6.210 432128 Bytes 25/09/2008 12:41:43
Version du moteur: 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 11:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 25/09/2008 12:42:38
AESCN.DLL : 8.1.0.23 119156 Bytes 10/07/2008 14:44:49
AERDL.DLL : 8.1.1.2 438644 Bytes 25/09/2008 12:42:34
AEPACK.DLL : 8.1.2.3 364918 Bytes 25/09/2008 12:42:29
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 25/09/2008 12:42:23
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 25/09/2008 12:42:19
AEHELP.DLL : 8.1.0.15 115063 Bytes 10/07/2008 14:44:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 25/09/2008 12:41:54
AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 10:33:21
AECORE.DLL : 8.1.1.11 172406 Bytes 25/09/2008 12:41:47
AEBB.DLL : 8.1.0.1 53617 Bytes 10/07/2008 14:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 10:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 11:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 25/09/2008 12:41:44
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 13:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 10:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 14:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 19:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 14:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 14:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 09:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 12:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: d:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : jeudi 25 septembre 2008 12:43
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'setup.exe' - '1' module(s) sont contrôlés
Processus de recherche 'antivir_workstation_winu_fr_h.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ymsgr_tray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Dos Optimizer.pif' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscript.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sqlwriter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sqlbrowser.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sqlservr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qqshel.exe' - '1' module(s) sont contrôlés
Module infecté -> 'D:\WINDOWS\qqshel.exe'
Processus de recherche 'DataServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DevSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
Le processus 'qqshel.exe' est arrêté
D:\WINDOWS\qqshel.exe
[RESULTAT] Contient le cheval de Troie TR/BHO.gtt.2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494e87f3.qua' !
'37' processus ont été contrôlés avec '36' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
D:\WINDOWS\360safe.exe
[RESULTAT] Contient le cheval de Troie TR/Spy.Small.bua
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b87d2.qua' !
Le registre a été contrôlé ( '48' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.gzt.2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49408e07.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP151\A0039044.inf
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.edv.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dd7.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP152\A0039066.inf
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.edv.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2f8.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP195\A0059914.inf
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.edv.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dd8.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059922.INF
[RESULTAT] Contient le modèle de détection du virus INF INF/AutoRun.E
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2f9.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059925.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.dgf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dda.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059935.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.dgf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8dd9.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059936.INF
[RESULTAT] Contient le modèle de détection du virus INF INF/AutoRun.E
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fa.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059941.pif
[RESULTAT] Contient le cheval de Troie TR/Dldr.Delf.epw.59
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8ddb.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059942.pif
[RESULTAT] Contient le modèle de détection du dropper DR/generic.698454.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fc.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059943.pif
[RESULTAT] Contient le modèle de détection du dropper DR/BHO.czi.64
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fb.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059944.pif
[RESULTAT] Contient le cheval de Troie TR/PSW.OnlineGames.thtg
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8ddc.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059952.pif
[RESULTAT] Contient le modèle de détection du dropper DR/Agent.abpb.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ae2fd.qua' !
C:\System Volume Information\_restore{5E41ED72-35F1-40C5-BD78-B425241D4926}\RP196\A0059977.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.dgf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490b8ddd.qua' !
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 sept. 2008 à 15:51
25 sept. 2008 à 15:51
Poste un nouveau rapport HijackThis.
Bonjour Destriot,
Voici le rapport Hjackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:42:20, on 26/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\Common\DataServer.exe
D:\WINDOWS\system32\HPZipm12.exe
d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\soni.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [RavMonS] D:\WINDOWS\soni.exe
O4 - HKLM\..\Run: [Lany] D:\WINDOWS\Lany.vbs
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - D:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - D:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - D:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - D:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
Voici le rapport Hjackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:42:20, on 26/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
D:\Program Files\Wave Systems Corp\Common\DataServer.exe
D:\WINDOWS\system32\HPZipm12.exe
d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\soni.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\BIOTA-WEST\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
D:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par <<< LANY >>> Ingénieur en Hacking ------ Fuck U --------
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [RavMonS] D:\WINDOWS\soni.exe
O4 - HKLM\..\Run: [Lany] D:\WINDOWS\Lany.vbs
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - D:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - D:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - D:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - D:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - D:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
26 sept. 2008 à 10:52
26 sept. 2008 à 10:52
/!\ Seul hody peut suivre cette procédure /!\
1/
---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
File::
D:\WINDOWS\icpb.dll
D:\Documents and Settings\BIOTA-WEST\Application Data\svchost.exe
D:\WINDOWS\soni.exe
D:\WINDOWS\Lany.vbs
D:\WINDOWS\360safe.exe
D:\WINDOWS\vapa.ini
D:\WINDOWS\system32\Sexy Girls.scr
D:\WINDOWS\qqshel.exe
D:\WINDOWS\RavNT.exe
D:\Lany.vbs
G:\b.com
J:\explorer.exe
G:\explorer.exe
G:\tyktjfww.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360"=-
"RavMonS"=-
"Lany"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{365586f2-1840-11dd-9647-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6509bd58-ea94-11dc-960c-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98d1e247-360d-11dd-965a-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfc6a9f6-dad8-11dc-95ef-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5bae0da-80c8-11dd-96b1-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cde37763-2674-11dd-964b-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc81253c-5c95-11dd-9681-0019b9258766}]
---> Colle la sélection dans le bloc-notes
---> Enregistre ce fichier sur le bureau (Impératif)
---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes
2/
---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
[*] Une fois le scan achevé, un rapport va s'afficher : poste-le
[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt
1/
---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
File::
D:\WINDOWS\icpb.dll
D:\Documents and Settings\BIOTA-WEST\Application Data\svchost.exe
D:\WINDOWS\soni.exe
D:\WINDOWS\Lany.vbs
D:\WINDOWS\360safe.exe
D:\WINDOWS\vapa.ini
D:\WINDOWS\system32\Sexy Girls.scr
D:\WINDOWS\qqshel.exe
D:\WINDOWS\RavNT.exe
D:\Lany.vbs
G:\b.com
J:\explorer.exe
G:\explorer.exe
G:\tyktjfww.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360"=-
"RavMonS"=-
"Lany"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{365586f2-1840-11dd-9647-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6509bd58-ea94-11dc-960c-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98d1e247-360d-11dd-965a-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfc6a9f6-dad8-11dc-95ef-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5bae0da-80c8-11dd-96b1-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cde37763-2674-11dd-964b-0019b9258766}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc81253c-5c95-11dd-9681-0019b9258766}]
---> Colle la sélection dans le bloc-notes
---> Enregistre ce fichier sur le bureau (Impératif)
---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes
2/
---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
[*] Une fois le scan achevé, un rapport va s'afficher : poste-le
[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt