Sujet Précédent Sujet Suivant

Virus win32 Rootkit-gen

Résolu/Fermé
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 - 22 oct. 2008 à 21:05
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 24 oct. 2008 à 23:39
Bonsoir ,

J'ai attraper il y a environ une semaine plusieurs virus du style win32 dont un win32 rootkit-gen , avast ( étant mon anti virus ) les à détecté , il à fallu insister mais il à finit par les supprimer.
Cela fait deux jours que j'ai des soucis avec ma navigation sur internet , j'arrive à accéder à google mais lorsque que je clique sur un lien j'ai des pubs ou des sites qui n'ont rien avoir avec le lien où j'ai cliquer à la base .
Avast n'arrive plus à faire de mise à jour depuis 2 jours , je l'ai donc supprimer et j'ai télécharger AVG free , lui non plus n'arrive pas à faire de mise à jour car sois disant il n'arrive pas à se connecter au serveur . Je precise ma connection internet en dehors de la navigation marche trés bien .
Ce qui est vraiment étonnant c'est que je peux pas accéder au site Avast.com et AVG.com , ca me dit impossible d'afficher la page .

Aidez moi svp sinon je crois que je vais devoir formater mon pc .


Merci d'avance

32 réponses

  • 1
  • 2
Réponse 1 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 22:30
Bien ...

fais ceci pour commencer :

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installes le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php

Utilisation ---> option 1 / Recherche :
Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
22 oct. 2008 à 23:08
voila le rapport smitfraudfix

SmitFraudFix v2.366

Rapport fait à 23:04:01,10, 22/10/2008
Executé à partir de C:\Documents and Settings\Mel\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\DNA\btdna.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_07\bin\jucheck.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Mel\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\drivers\svchost.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mel


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mel\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D14BA1DC-05EC-4A8A-B591-3356EAAAFF68}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
22 oct. 2008 à 23:08
voila le rapport smitfraudfix

SmitFraudFix v2.366

Rapport fait à 23:04:01,10, 22/10/2008
Executé à partir de C:\Documents and Settings\Mel\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\DNA\btdna.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_07\bin\jucheck.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Mel\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\drivers\svchost.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mel


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mel\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D14BA1DC-05EC-4A8A-B591-3356EAAAFF68}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 2 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 23:13
Suite de la manipe ( nettoyage ), fais exactement ce qui suit :

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

* Double-cliques sur SmitfraudFix.exe

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

--> Si besion :

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

( Le correctif déterminera si le fichier wininet.dll est infecté.)

* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement )

Le rapport se trouve à la racine de C\:
(dans le fichier "rapport.txt")

Postes moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport
hijackthis ( fais en mode normal ) et attends les instructions ...


1
Réponse 3 / 32
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
22 oct. 2008 à 23:49
juste pour info on m'a posé la question si je voulais corriger les fichiers infectés .

Hijackthis rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:07, on 22/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\DNA\btdna.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_07\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lo.st
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\E_SA7.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\msagent" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
1
Réponse 4 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 00:00
juste pour info on m'a posé la question si je voulais corriger les fichiers infectés .


-> et tu y as répondu quoi ?
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 00:03
pardon erreur de frappe on ne m'a PAS posé la question .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 00:06
Ok .... ^^


J'allais oublier :

Version de Windows non légitime ...
info à prendre en compte :
http://www.commentcamarche.net/faq/sujet 2981 windows j utilise une version piratee



la suite :

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.


Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



2- Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Fermes bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* cliques ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)


-> laisses faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 00:35
j'ai fais ccleaner mais le lien pour Random's System Information Tool (RSIT) de random/random quand je l'ouvre ca me dit impossible d'afficher la page .
Je ne l'ai pas trouvé ailleurs en telechargement qui ne mene pas à la même page que le lien que tu m'as donné qui ne fonctionne pas chez moi .

Aurais tu un autre lien stp ?

Merci
0
Réponse 6 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 00:39
Fais clique-droit sur le lien / choisis "enregistrer la cible sous ... " ( et tu l'enregistre sur ton bureau ... )


cela devrait fonctionner ... dis moi ....
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 00:42
j'arrive pas grrrrrrrr

Cela me donne ce message "Internet explorer ne peut telechager "rsit.exe" de images.malwareremoval.com impossible d'etablie une connexion avec le serveur "
0
Réponse 7 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 00:50
mouais ...

essayes ceci allors :

Télécharge DiagHelp.zip sur ton bureau :
( note : si ton anti-virus s'affolle lors du téléchargement ou de l'installe, c'est normal , ignore l'alerte ).

-> http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...

1
Réponse 8 / 32
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 01:10
Quel galere mon pc m'ouvre un peu les liens qui lui convient... , j'ai pas reussi avec ton lien de diaghelp non plus mais j'ai reussi à le trouver ailleurs .

voila le rapport
DiagHelp version v1.4 - http://www.malekal.com
excute le 23/10/2008 à 1:04:52,25


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->23/10/2008 01:04:09
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->23/10/2008 01:03:11
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->23/10/2008 01:03:02
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->23/10/2008 01:02:39
C:\WINDOWS\prefetch\AVGCMGR.EXE-1D29CBA8.pf -->23/10/2008 01:00:00
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->23/10/2008 00:57:48
C:\WINDOWS\prefetch\WINZIP32.EXE-335422C1.pf -->23/10/2008 00:57:35
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->23/10/2008 00:53:53
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->22/10/2008 23:48:55
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->22/10/2008 23:46:16

C:\WINDOWS\System32\drivers\avgtdix.sys -->22/10/2008 13:39:43
C:\WINDOWS\System32\drivers\avgldx86.sys -->22/10/2008 13:39:38
C:\WINDOWS\System32\drivers\avgmfx86.sys -->22/10/2008 13:39:36
C:\WINDOWS\System32\drivers\GEARAspiWDM.sys -->17/04/2008 13:12:54
C:\WINDOWS\System32\drivers\pxhelp20.sys -->23/02/2008 04:38:33
C:\WINDOWS\System32\drivers\cdralw2k.sys -->05/10/2006 04:42:42
C:\WINDOWS\System32\drivers\cdr4_xp.sys -->05/10/2006 04:42:42

C:\WINDOWS\System32\tmp.txt -->22/10/2008 23:32:52
C:\WINDOWS\System32\tmp.reg -->22/10/2008 23:32:52
C:\WINDOWS\System32\avgrsstx.dll -->22/10/2008 13:39:44
C:\WINDOWS\System32\CONFIG.NT -->22/10/2008 12:19:28
C:\WINDOWS\System32\delself.bat -->19/10/2008 19:33:48
C:\WINDOWS\System32\wpa.dbl -->19/10/2008 13:31:02
C:\WINDOWS\System32\o4Patch.exe -->10/10/2008 08:58:08
C:\WINDOWS\System32\IEDFix.C.exe -->10/10/2008 08:58:08
C:\WINDOWS\System32\FNTCACHE.DAT -->06/10/2008 11:58:18
C:\WINDOWS\System32\Thumbs.db -->05/10/2008 21:52:07
C:\WINDOWS\System32\VACFix.exe -->01/10/2008 15:51:40
C:\WINDOWS\System32\h323log.txt -->16/09/2008 14:40:47
C:\WINDOWS\System32\PerfStringBackup.INI -->16/09/2008 13:38:21
C:\WINDOWS\System32\perfh00C.dat -->16/09/2008 13:38:21
C:\WINDOWS\System32\perfh009.dat -->16/09/2008 13:38:21
C:\WINDOWS\System32\perfc00C.dat -->16/09/2008 13:38:21
C:\WINDOWS\System32\perfc009.dat -->16/09/2008 13:38:21
C:\WINDOWS\System32\YourCPLconfig.txt -->16/09/2008 13:07:51
C:\WINDOWS\System32\jupdate-1.5.0_07-b03.log -->16/09/2008 13:07:15
C:\WINDOWS\System32\nscompat.tlb -->16/09/2008 13:02:54
C:\WINDOWS\System32\amcompat.tlb -->16/09/2008 13:02:54
C:\WINDOWS\System32\$winnt$.inf -->16/09/2008 12:51:49
C:\WINDOWS\System32\WindowsLogon.manifest -->16/09/2008 12:45:40
C:\WINDOWS\System32\logonui.exe.manifest -->16/09/2008 12:45:40
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->16/09/2008 12:45:33

C:\WINDOWS\setupapi.log -->23/10/2008 00:59:46
C:\WINDOWS\WindowsUpdate.log -->22/10/2008 23:35:39
C:\WINDOWS\wiadebug.log -->22/10/2008 23:35:38
C:\WINDOWS\wiaservc.log -->22/10/2008 23:35:37
C:\WINDOWS\bootstat.dat -->22/10/2008 23:35:16
C:\WINDOWS\SchedLgU.Txt -->22/10/2008 23:23:01
C:\WINDOWS\nsreg.dat -->20/10/2008 17:37:01
C:\WINDOWS\CDE DX4400DEFGIPS.ini -->06/10/2008 17:45:39
C:\WINDOWS\Sti_Trace.log -->16/09/2008 15:42:57
C:\WINDOWS\system.ini -->16/09/2008 14:34:39
C:\WINDOWS\ODBC.INI -->16/09/2008 13:46:43
C:\WINDOWS\RTHDCPL_DB.dbt -->16/09/2008 13:31:59
C:\WINDOWS\REGLOCS.OLD -->16/09/2008 12:52:59
C:\WINDOWS\WMSysPr9.prx -->16/09/2008 12:47:53
C:\WINDOWS\win.ini -->16/09/2008 12:47:01

winlogon.exe
svchost.exe
ws2_32.dll
user32.dll
tcpip.sys
ndis.sys
null.sys


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1544
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x10000000 0x5000 8.00.0000.0134 C:\WINDOWS\system32\avgrsstx.dll
0x58b50000 0x9a000 5.82.2900.2649 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x745e0000 0x2c6000 3.01.4000.2435 C:\WINDOWS\system32\msi.dll
0x017b0000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x013d0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x01900000 0x29000 C:\Program Files\WinRAR\rarext.dll
0x01380000 0x13000 1.01.0000.0000 C:\Program Files\EPSON\Creativity Suite\Easy Photo Print\EPPShell.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x621a0000 0x1b000 8.00.0000.0134 C:\Program Files\AVG\AVG8\avgse.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x01940000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x01d50000 0x5b000 1.01.0000.0000 C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 760
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x10000000 0x5000 8.00.0000.0134 C:\WINDOWS\system32\avgrsstx.dll
0x58b50000 0x9a000 5.82.2900.2649 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x73d50000 0x3000 1.05.0532.0000 C:\WINDOWS\system32\WgaLogon.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0457-D984

Répertoire de C:\WINDOWS\system32

19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 52 270 014 464 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0457-D984

Répertoire de C:\WINDOWS\Downloaded Program Files

06/10/2008 17:53 <REP> .
06/10/2008 17:53 <REP> ..
16/09/2008 12:45 65 desktop.ini
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe
25/07/2002 17:05 172 032 isusweb.dll
24/03/2008 19:18 247 swflash.inf
6 fichier(s) 1 920 584 octets

Total des fichiers listés :
6 fichier(s) 1 920 584 octets
2 Rép(s) 52 270 014 464 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

Export de la clef SharedTaskScheduler



exports des policies



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-23 01:05:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Mel\ntuser.dat, 0
scanning hidden files ...

disk error: C:\

please note that you need administrator rights to perform deep scan

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
148 - E_FATICAE.EXE
488 - AppleMobileDevi
504 - avgwdsvc.exe
544 - mDNSResponder.e
736 - csrss.exe
816 - services.exe
828 - lsass.exe
972 - svchost.exe
1040 - svchost.exe
1076 - svchost.exe
1236 - svchost.exe
1544 - explorer.exe
1656 - spoolsv.exe
1700 - msnmsgr.exe
1836 - RTHDCPL.EXE
1876 - hkcmd.exe
1892 - igfxpers.exe
1920 - iTunesHelper.ex
1936 - HiYo.exe
1948 - EoEngine.exe
1960 - avgtray.exe
2024 - btdna.exe
2108 - cmd.exe
2112 - avgemc.exe
2456 - iPodService.exe
2748 - alg.exe
2836 - jucheck.exe
3272 - svchost.exe

Total number of processes = 29
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
F8974000 - \WINDOWS\system32\KDCOM.DLL
F8884000 - \WINDOWS\system32\BOOTVID.dll
F8344000 - ACPI.sys
F8976000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F8333000 - pci.sys
F8474000 - isapnp.sys
F8484000 - ohci1394.sys
F8494000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F8888000 - compbatt.sys
F888C000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
F8A3C000 - pciide.sys
F86F4000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F8978000 - intelide.sys
F8315000 - pcmcia.sys
F84A4000 - MountMgr.sys
F82F6000 - ftdisk.sys
F897A000 - dmload.sys
F82D0000 - dmio.sys
F8890000 - ACPIEC.sys
F8A3D000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
F86FC000 - PartMgr.sys
F84B4000 - VolSnap.sys
F82B8000 - atapi.sys
F84C4000 - disk.sys
F84D4000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F8299000 - fltMgr.sys
F8287000 - sr.sys
F84E4000 - PxHelp20.sys
F8270000 - KSecDD.sys
F81E3000 - Ntfs.sys
F81B6000 - NDIS.sys
F819C000 - Mup.sys
F8504000 - \SystemRoot\system32\DRIVERS\nic1394.sys
F85F4000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F8934000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
F8031000 - \SystemRoot\system32\DRIVERS\ialmnt5.sys
F801D000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F7FF7000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
F8754000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F7FD4000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F875C000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F7FB7000 - \SystemRoot\system32\drivers\tifmsony.sys
F7F1E000 - \SystemRoot\system32\DRIVERS\e100b325.sys
F8764000 - \SystemRoot\system32\DRIVERS\SonyNC.sys
F8604000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F876C000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F8774000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F8614000 - \SystemRoot\system32\DRIVERS\imapi.sys
F8624000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F8634000 - \SystemRoot\system32\DRIVERS\redbook.sys
F7EFB000 - \SystemRoot\system32\DRIVERS\ks.sys
F8938000 - \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
F8B68000 - \SystemRoot\system32\DRIVERS\audstub.sys
F8644000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F8940000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F7EBC000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F8654000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F8664000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F877C000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F7EAB000 - \SystemRoot\system32\DRIVERS\psched.sys
F8674000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F8784000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F878C000 - \SystemRoot\system32\DRIVERS\raspti.sys
F7E7A000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F8684000 - \SystemRoot\system32\DRIVERS\termdd.sys
F898E000 - \SystemRoot\system32\DRIVERS\swenum.sys
F7E46000 - \SystemRoot\system32\DRIVERS\update.sys
F895C000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F8694000 - \SystemRoot\System32\Drivers\NDProxy.SYS
AAC9D000 - \SystemRoot\system32\drivers\RtkHDAud.sys
AAC7B000 - \SystemRoot\system32\drivers\portcls.sys
F86B4000 - \SystemRoot\system32\drivers\drmk.sys
AAC49000 - \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
AAB55000 - \SystemRoot\system32\DRIVERS\HSF_DPV.sys
AAAA4000 - \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
F8794000 - \SystemRoot\System32\Drivers\Modem.SYS
F86D4000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F8992000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F8994000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8A6D000 - \SystemRoot\System32\Drivers\Null.SYS
F87B4000 - \SystemRoot\System32\drivers\vga.sys
F8996000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8998000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F87BC000 - \SystemRoot\System32\Drivers\Msfs.SYS
F87C4000 - \SystemRoot\System32\Drivers\Npfs.SYS
F814B000 - \SystemRoot\system32\DRIVERS\rasacd.sys
AAA49000 - \SystemRoot\system32\DRIVERS\ipsec.sys
AA9F1000 - \SystemRoot\system32\DRIVERS\tcpip.sys
AA9C9000 - \SystemRoot\system32\DRIVERS\netbt.sys
AA9A7000 - \SystemRoot\System32\drivers\afd.sys
F8514000 - \SystemRoot\system32\DRIVERS\netbios.sys
AA96A000 - \SystemRoot\system32\DRIVERS\rdbss.sys
AA8FB000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F8524000 - \SystemRoot\System32\Drivers\Fips.SYS
AA8DA000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F8534000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F8544000 - \SystemRoot\system32\DRIVERS\arp1394.sys
F87DC000 - \SystemRoot\System32\Drivers\avgmfx86.sys
AA8C3000 - \SystemRoot\System32\Drivers\avgldx86.sys
F8574000 - \SystemRoot\System32\Drivers\Cdfs.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F7ED7000 - \SystemRoot\System32\drivers\Dxapi.sys
F87FC000 - \SystemRoot\System32\watchdog.sys
BF9C2000 - \SystemRoot\System32\drivers\dxg.sys
F8B00000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9E2000 - \SystemRoot\System32\ialmdnt5.dll
BF9D4000 - \SystemRoot\System32\ialmrnt5.dll
BFA03000 - \SystemRoot\System32\ialmdev5.DLL
BFA37000 - \SystemRoot\System32\ialmdd5.DLL
AA6FF000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
AA44E000 - \SystemRoot\system32\drivers\wdmaud.sys
F7DBD000 - \SystemRoot\system32\drivers\sysaudio.sys
A9F7C000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
A9F43000 - \SystemRoot\System32\Drivers\avgtdix.sys
A9FDD000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
A9EC9000 - \SystemRoot\system32\DRIVERS\srv.sys
A9B18000 - \SystemRoot\System32\Drivers\HTTP.sys
F8B6D000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 120

Liste des programmes installes

Adobe Flash Player ActiveX
Adobe Reader 7.0.8 - Français
Apple Mobile Device Support
Apple Software Update
Archiveur WinRAR
Assistant de connexion Windows Live
AVG Free 8.0
Bonjour
Camera RAW Plug-In for EPSON Creativity Suite
CCleaner (remove only)
Codeur Windows Media Série 9
Codeur Windows Media Série 9
Correctif Windows XP - KB867282
Correctif Windows XP - KB885894
CX4300_5500_DX4400 Manuel
eoEngine 7.1
EPSON Attach To Email
EPSON Attach To Email
EPSON Copy Utility 3
EPSON Easy Photo Print
EPSON File Manager
EPSON Logiciel imprimante
EPSON Scan
EPSON Scan Assistant
EPSON Web-To-Page
Exstora Pro 2.3
HDAUDIO SoftV92 Data Fax Modem with SmartCP
High Definition Audio Driver Package - KB835221
HiYo
HiYo
Hotfix for Windows Media Format SDK (KB902344)
Intel(R) Graphics Media Accelerator Driver for Mobile
Intel(R) PRO Network Connections Drivers
iTunes
J2SE Runtime Environment 5.0 Update 7
Lecteur Windows Media 10
Macromedia Flash Player 8 Plugin
Macromedia Shockwave Player
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB886903)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows Media Video 9 VCM
Mise à jour de logiciel pour les Dossiers Web
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Windows XP (KB913433)
Mise à jour de sécurité pour Windows XP (KB916281)
Mise à jour de sécurité pour Windows XP (KB917953)
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Photorécit 3 pour Windows
Picasa 2
QuickTime
Realtek High Definition Audio Driver
Visionneuse Journal Windows Microsoft
VLC media player 0.9.2
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Live installer
Windows Live Messenger
Windows Media Connect
Windows Media Format Runtime
Windows Media Player 10 Hotfix - KB888656
Windows Messenger 5.1
WinZip 12.0



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0457-D984

Répertoire de C:\Program Files

23/10/2008 01:00 <REP> .
23/10/2008 01:00 <REP> ..
16/09/2008 13:04 <REP> Adobe
16/09/2008 15:00 <REP> Apple Software Update
22/10/2008 13:39 <REP> AVG
16/09/2008 17:02 <REP> BitTorrent
16/09/2008 15:01 <REP> Bonjour
23/10/2008 00:15 <REP> CCleaner
16/09/2008 12:43 <REP> ComPlus Applications
16/09/2008 13:28 <REP> CONEXANT
16/09/2008 17:02 <REP> DNA
22/10/2008 11:30 <REP> EoRezo
06/10/2008 17:51 <REP> epson
19/10/2008 15:33 <REP> Exstora Pro
16/09/2008 15:38 <REP> Fichiers communs
21/09/2008 21:53 <REP> Google
03/10/2008 13:23 <REP> HiYo
16/09/2008 13:29 <REP> Intel
16/09/2008 12:57 <REP> Internet Explorer
16/09/2008 15:01 <REP> iPod
16/09/2008 15:02 <REP> iTunes
16/09/2008 13:07 <REP> Java
16/09/2008 12:54 <REP> JEUX
16/09/2008 13:04 <REP> Messenger
16/09/2008 12:48 <REP> microsoft frontpage
16/09/2008 13:45 <REP> Microsoft Office
16/09/2008 13:45 <REP> Microsoft.NET
16/09/2008 12:44 <REP> Movie Maker
23/10/2008 00:53 <REP> Mozilla Firefox
16/09/2008 12:42 <REP> MSN Gaming Zone
16/09/2008 12:44 <REP> NetMeeting
16/09/2008 12:44 <REP> Outlook Express
16/09/2008 13:04 <REP> Photo Story 3 for Windows
23/09/2008 11:00 <REP> Picasa2
16/09/2008 15:01 <REP> QuickTime
16/09/2008 13:24 <REP> Realtek
22/10/2008 21:36 <REP> Trend Micro
16/09/2008 12:54 <REP> UTILS
16/09/2008 14:54 <REP> VideoLAN
16/09/2008 13:02 <REP> Windows Journal Viewer
16/09/2008 15:38 <REP> Windows Live
16/09/2008 13:03 <REP> Windows Media Components
16/09/2008 12:47 <REP> Windows Media Connect 2
16/09/2008 13:03 <REP> Windows Media Player
16/09/2008 12:42 <REP> Windows NT
16/09/2008 13:12 <REP> WinRAR
05/10/2008 21:56 <REP> WinZip
16/09/2008 13:03 <REP> WMV9_VCM
16/09/2008 12:48 <REP> xerox
0 fichier(s) 0 octets
49 Rép(s) 52 270 006 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0457-D984

Répertoire de C:\Program Files\fichiers communs

16/09/2008 15:38 <REP> .
16/09/2008 15:38 <REP> ..
16/09/2008 13:05 <REP> Adobe
16/09/2008 15:01 <REP> Apple
16/09/2008 13:45 <REP> DESIGNER
06/10/2008 17:53 <REP> InstallShield
16/09/2008 13:06 <REP> Java
22/10/2008 13:39 <REP> Microsoft Shared
16/09/2008 12:44 <REP> MSSoap
16/09/2008 14:34 <REP> ODBC
16/09/2008 12:44 <REP> Services
16/09/2008 14:34 <REP> SpeechEngines
16/09/2008 12:44 <REP> System
0 fichier(s) 0 octets
13 Rép(s) 52 270 002 176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0457-D984

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

16/09/2008 13:08 <REP> .
16/09/2008 13:08 <REP> ..
16/09/2008 13:45 <REP> 1033
16/09/2008 13:45 <REP> 1036
17/09/2004 14:43 1 293 008 msonsext.dll
15/07/2003 06:52 35 896 MSOSV.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
17/09/2004 14:43 80 448 pkmws.dll
5 fichier(s) 1 659 322 octets
4 Rép(s) 52 270 002 176 octets libres




c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.0.0.35\SetupAdmin.exe
c:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DifXInstall32.exe
c:\Documents and Settings\Mel\Application Data\Microsoft\Installer\{E3D278BD-FC97-4F87-BB1F-689AE0CB9122}\ARPPRODUCTICON.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Mel\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\A appliquer en fonction de votre quantité de mémoire\WCPUID\wcpuclk.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\A appliquer en fonction de votre quantité de mémoire\WCPUID\wcpuid.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Firefox - Plugins Macromedia\Firefox_Flash.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Firefox - Plugins Macromedia\Firefox_Shockwave.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\ChCfg.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\RtlUpd.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\RtlUpd64.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\SetCDfmt.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\Setup.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\Config\AzMixerSel.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\WDM\Alcmtr.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\WDM\AlcWzrd.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\WDM\MicCal.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\WDM\RTHDCPL.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\WDM\RTLCPL.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\Audio\WDM\SoundMan.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Audio\UAA High Definition Audio Class driver\kb835221.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\ChipSet\Setup.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Modem\HXFSetup.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Network\PROUnstl.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Pointing\ApntEx.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Pointing\Apoint.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Pointing\Apvfb.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Pointing\Ezcapt.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Pointing\Uninstap.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\USBMouse\Setup.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\USBMouse\SetupNT.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\hkcmd.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\ialmudlg.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\igfxcfg.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\igfxext.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\igfxpers.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\igfxsrvc.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\igfxtray.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\Video\igfxzoom.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\WirelessLAN1\Setup.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\WirelessLAN2\Instmsiw.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Pilotes du portable\WirelessLAN2\iProInst.exe
c:\Documents and Settings\Mel\Bureau\OPTIONS\Si vous utilisez l'outil de gravure intégré à Windows\KB831240_HighMAT.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\404Fix.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\AntiXPVSTFix.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\dumphive.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\exit.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\GenericRenosFix.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\HostsChk.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\IEDFix.C.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\IEDFix.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\o4Patch.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\Policies.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\Process.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\Reboot.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\restart.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\SmiUpdate.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\SrchSTS.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\swreg.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\swsc.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\swxcacls.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\UIFix.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\unzip.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\VACFix.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\VCCLSID.exe
c:\Documents and Settings\Mel\Bureau\SmitfraudFix\WS2Fix.exe
c:\Documents and Settings\Mel\Local Settings\Temp\7zS1.tmp\avgsetup.exe
c:\Documents and Settings\Mel\Mes documents\Mes images\Mes images\Fond decran\EmoticonesAnimaux.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DIFxAPI.dll
c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86\GEARAspi.dll
c:\Documents and Settings\Mel\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_MELANIE.tar.gz a l'adresse http://upload.malekal.com
1
Réponse 9 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 01:23
Bon ...


fais ceci :

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" .
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 01:51
Ok je fais ça pendant la nuit et je t'envoi le rapport demain matin parce que je sens que je vais galerais avec la mise à jour etant donné que j'ai plus aucun anti virusqui marche sur mon ordi à cause du fait qu'il ne trouve aucune connection au serveur quand j'essaye de faire les mises à jour .


merci pour ton aide

A demain et bonne nuit à toi .
0
Réponse 10 / 32
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 11:33
salut ske69

Je désespère j'arrive pas à faire la mise à jour j'ai un message qui me dit que je suis pas connecté à internet ou que c'est mon pare feu ( je crois pas que j'ai un parefeu )
Que dois je faire stp ?

merci
1
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 13:47
Salut,

reste zen .... laisses tomber la mise à jour ... vu que tu viens de le télécharger , malwarebytes ne doit pas être loin de l'être ...


lances la manipe et postes moi les résultats demanés ...
0
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
23 oct. 2008 à 15:26
re ,

Voila le rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:26, on 23/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\DNA\btdna.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lo.st
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\E_SA7.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\msagent" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
0
Réponse 11 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 15:30
re,

tu es infecter par un bien belle saloperie ...


On continue .... fais exactement ce qui suit :


Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 15:49
dans internet explorer je fais desactiver le bloqueur de fenetre intempesstive c ca mon parefeu ?
Parce que mon pc à etait formater il y a pas longtemps je n'ai insatllé que avast et avg , pas de parefeu .
Je veux juste etre sur pour pas faire de betises .
0
Réponse 12 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 15:53
Pour ton pare-feu :

vas dans panneau de configuration : là tu cliques sur " pare-feu Windows " -> valides l'option " désactiver le pare feu " et cliques sur OK ...


1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 17:12
J'ai lancé le scan il y a une fenetre que je ne peux pas fermer qui c'est ouverte je ne peux que repondre oui ou non
" combofix has detected that this machine does not have the " windows recovery console "
It would be your best interest to have it installed wouls you like to do so now?
*note* - this requires an active internet connection "
et donc repondre par oui ou par non
Que dois je faire stp ??

merci
0
Réponse 13 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 17:24
réponds " NON " ...
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 17:46
une nouvellle page s'est ouverte aprés le redemarrage du pc aprés avoir fait le scan .
"des fichiers necessaires au fonctionnement de windows ont eté remplacé par des fichiers d'une version non reconnu e.
Pour maintenir la stabilité du systeme . Windows doit restaurer la version originale de ces fichiers . inserez votre cd du service pack 2 pour windows xp "

on peux repondre recommencer , imformations ou annuler

Je clique sur koi ?


Le rapport c'est ouvert quand même sous c:/document and setting/local settings/temp/log.txt
0
Réponse 14 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 17:48
postes moi ce rapport et fais annuler ...

as tu le CD de Windows à tout hasard ? ....
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 17:51
non j'ai le cd je l'ai amené chez un imformaticien pour mon dernier formatage , d'ailleurs je suis trés étonné que j'ai une version pas offficiel de windows .Ils m'ont bien eu , ils savent que j'y comprends rien ils en ont profité .
0
Réponse 15 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 17:53
c'est d'aiileur pour cela que ton windows te donne ce genre de message ... ^^


fais annuler pour voir et postes moi le rapport de Combofix stp ....
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 17:54
ComboFix 08-10-22.05 - Mel 2008-10-23 17:36:07.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.226 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Mel\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((((((((( Fichiers créés du 2008-09-23 au 2008-10-23 ))))))))))))))))))))))))))))))))))))
.

2008-10-23 01:48 . 2008-10-23 11:24 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-23 01:48 . 2008-10-23 01:48 <REP> d-------- C:\Documents and Settings\Mel\Application Data\Malwarebytes
2008-10-23 01:48 . 2008-10-23 01:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-23 01:48 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-23 01:48 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-23 01:05 . 2008-10-23 01:05 252,721 --a------ C:\upload_moi_MELANIE.tar.gz
2008-10-23 00:15 . 2008-10-23 00:15 <REP> d-------- C:\Program Files\CCleaner
2008-10-22 23:04 . 2008-10-22 23:32 2,426 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-22 23:03 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-10-22 23:03 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-10-22 23:03 . 2008-09-08 23:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-22 23:03 . 2008-10-01 15:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe
2008-10-22 23:03 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe
2008-10-22 23:03 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-10-22 23:03 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-10-22 23:03 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-10-22 23:03 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-22 23:03 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-10-22 23:03 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-10-22 21:36 . 2008-10-22 21:36 <REP> d-------- C:\Program Files\Trend Micro
2008-10-22 15:13 . 2008-10-22 15:13 <REP> d--h----- C:\$AVG8.VAULT$
2008-10-22 13:39 . 2008-10-23 15:46 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-10-22 13:39 . 2008-10-22 13:39 <REP> d-------- C:\Program Files\AVG
2008-10-22 13:39 . 2008-10-22 14:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-10-22 13:39 . 2008-10-22 13:39 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-10-22 13:39 . 2008-10-22 13:39 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-10-22 13:39 . 2008-10-22 13:39 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-10-22 11:30 . 2008-10-22 11:30 <REP> d-------- C:\Program Files\EoRezo
2008-10-22 11:30 . 2008-10-23 17:41 <REP> d-------- C:\Documents and Settings\Mel\Application Data\EoRezo
2008-10-21 17:35 . 2008-10-21 17:35 <REP> d-------- C:\Documents and Settings\Mel\Application Data\dvdcss
2008-10-20 17:37 . 2008-10-20 17:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-10-19 19:28 . 2008-10-19 19:28 164 --a------ C:\WINDOWS\system32\TDSSosvd.dat
2008-10-19 15:34 . 2008-10-19 15:34 <REP> d-------- C:\Documents and Settings\Mel\Application Data\Exstora
2008-10-19 15:33 . 2008-10-19 15:33 <REP> d-------- C:\Program Files\Exstora Pro
2008-10-16 00:00 . 2008-10-16 00:00 268 --ah----- C:\sqmdata01.sqm
2008-10-16 00:00 . 2008-10-16 00:00 244 --ah----- C:\sqmnoopt01.sqm
2008-10-06 17:52 . 2008-10-06 17:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-10-06 17:49 . 2008-10-06 17:49 <REP> d-------- C:\Documents and Settings\Mel\Application Data\InstallShield
2008-10-06 17:48 . 2008-10-06 17:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
2008-10-06 17:48 . 2006-12-08 04:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCAE.DLL
2008-10-06 17:48 . 2006-04-19 04:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCAE.DLL
2008-10-06 17:48 . 2004-09-10 22:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-10-06 17:45 . 2008-10-06 17:51 <REP> d-------- C:\Program Files\epson
2008-10-06 17:45 . 2006-12-28 00:00 208,896 --a------ C:\WINDOWS\system32\esint7e.dll
2008-10-06 17:45 . 2006-12-28 00:00 66,560 --a------ C:\WINDOWS\system32\eswia7e.dll
2008-10-06 17:45 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-10-06 17:45 . 2006-03-10 00:00 3,584 --a------ C:\WINDOWS\system32\eswiaml.dll
2008-10-06 17:45 . 2008-10-06 17:45 27 --a------ C:\WINDOWS\CDE DX4400DEFGIPS.ini
2008-10-06 17:42 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-10-05 21:56 . 2008-10-05 21:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-10-05 21:52 . 2008-10-05 21:52 6,144 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-10-03 13:23 . 2008-10-03 13:23 <REP> d-------- C:\Program Files\HiYo
2008-10-03 13:23 . 2008-10-03 13:23 <REP> d-------- C:\Documents and Settings\Mel\Application Data\HiYo
2008-10-03 13:23 . 2008-10-03 13:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HiYo
2008-09-27 11:27 . 2008-09-27 11:27 <REP> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-23 15:38 --------- d-----w C:\Documents and Settings\Mel\Application Data\DNA
2008-10-22 08:09 --------- d-----w C:\Documents and Settings\Mel\Application Data\BitTorrent
2008-10-06 15:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-06 15:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-10-05 19:52 100,343 ----a-w C:\WINDOWS\Fonts\vtks_revolt.zip
2008-09-23 09:00 --------- d-----w C:\Program Files\Picasa2
2008-09-21 19:53 --------- d-----w C:\Program Files\Google
2008-09-21 19:35 --------- d-----w C:\Documents and Settings\Mel\Application Data\AdobeUM
2008-09-16 15:02 --------- d-----w C:\Program Files\DNA
2008-09-16 15:02 --------- d-----w C:\Program Files\BitTorrent
2008-09-16 13:38 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-09-16 13:38 --------- d-----w C:\Program Files\Windows Live
2008-09-16 13:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-09-16 13:02 --------- d-----w C:\Program Files\iTunes
2008-09-16 13:02 --------- d-----w C:\Documents and Settings\Mel\Application Data\Apple Computer
2008-09-16 13:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-16 13:01 --------- d-----w C:\Program Files\QuickTime
2008-09-16 13:01 --------- d-----w C:\Program Files\iPod
2008-09-16 13:01 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-09-16 13:01 --------- d-----w C:\Program Files\Bonjour
2008-09-16 13:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-16 13:00 --------- d-----w C:\Program Files\Apple Software Update
2008-09-16 13:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-09-16 12:59 --------- d-----w C:\Documents and Settings\Mel\Application Data\vlc
2008-09-16 12:54 --------- d-----w C:\Program Files\VideoLAN
2008-09-16 11:45 --------- d-----w C:\Program Files\Microsoft.NET
2008-09-16 11:29 --------- d-----w C:\Program Files\Intel
2008-09-16 11:28 --------- d-----w C:\Program Files\CONEXANT
2008-09-16 11:24 --------- d-----w C:\Program Files\Realtek
2008-09-16 11:07 --------- d-----w C:\Program Files\Java
2008-09-16 11:06 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-09-16 11:05 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-16 11:04 --------- d-----w C:\Program Files\Photo Story 3 for Windows
2008-09-16 11:03 --------- d-----w C:\Program Files\WMV9_VCM
2008-09-16 11:03 --------- d-----w C:\Program Files\Windows Media Components
2008-09-16 11:02 --------- d-----w C:\Program Files\Windows Journal Viewer
2008-09-16 10:54 --------- d-----w C:\Program Files\UTILS
2008-09-16 10:54 --------- d-----w C:\Program Files\JEUX
2008-09-16 10:48 --------- d-----w C:\Program Files\microsoft frontpage
2008-09-16 10:47 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
.

------- Sigcheck -------

2006-06-20 22:05 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\system32\user32.dll

2006-06-20 22:22 2059008 5311776074b6c13f983dc75baeac9c0c C:\WINDOWS\system32\ntkrnlpa.exe

2006-06-20 22:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a C:\WINDOWS\system32\ntoskrnl.exe

2006-05-16 22:39 1036288 76b3d5a12e1008fd656921d3035783f1 C:\WINDOWS\explorer.exe

2006-06-20 22:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-09-18 289088]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-08-05 114688]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe" [2006-05-03 36975]
"HiYo"="C:\Program Files\HiYo\bin\HiYo.exe" [2008-09-24 300336]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-09-23 565248]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-10-23 1234712]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-10-22 97928]
R2 avg8emc;AVG Free8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-10-22 875288]
R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-10-22 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-10-22 76040]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-TDSSmhct.sys


.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Mel\Application Data\Mozilla\Firefox\Profiles\jp2nbsui.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.lo.st
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_07\bin\NPJava11.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_07\bin\NPJava12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_07\bin\NPJava13.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_07\bin\NPJava14.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_07\bin\NPJava32.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_07\bin\NPJPI150_07.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_07\bin\NPOJI610.dll
FF -: plugin - C:\Program Files\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-23 17:40:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Heure de fin: 2008-10-23 17:43:26 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-23 15:43:18

Avant-CF: 52 402 982 912 octets libres
Après-CF: 52,467,945,472 octets libres

230
0
Réponse 16 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 18:04
Bon ... une nouveauté !


si cela ne te pause pas de prb :

ne touche plus au PC pour le moment ! Laisse le alumé et je reviens très vite !


Tu as une nouvelle variante de l'infection et je souhaiterai que l'on fasse remonté " la bestiolle " chez des spécialistes
( auteurs des différent outils qu'on utilise ... ), cela ne prendra qu'un petit moment de ton temps et permettra de faire avancé les choses de notre côté ...

Tu n'es pas obligé , c'est toi qui décides .... dis moi ...
1
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 18:07
d'accord pas de probleme , je touche à rien je le laisse allumé
et Je t'attends

Merci merci pour tout le temps que tu accordes à mon probleme
0
Réponse 17 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 18:20
J'attends des nouvelles "des spécialistes" et te dis quoi faire ...
1
Réponse 18 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 19:24
Re,

j'attends toujours ^^ , je te dis quoi faire d'ici se soir de toute façon ....


merci pour ta patience ....
0
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 19:33
ok
de rien c'est moi qui te remerci pour m'aider

a tout
0
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 19:39
En tout cas depuis la manique avec combofix mon avg anti virus à reussi à se mettre à jour tous seul !
! Ca faisais trois jours que j'essayais c'est un super bon debut !
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008
23 oct. 2008 à 19:46
Oui mais ce n'est pas encore finit ... si tu redémarres ton PC maintenant , l'infection repartira ;)

Donc n'y touches plus , ne fais plus de mises à jours et autre , on verra cela par la suite ... ^^



0
Réponse 19 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 22:11
Voilà la suite des opérations :


1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\TDSSosvd.dat


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3
23 oct. 2008 à 22:55
petite question je le nomme CFScript mais je rajoute le .txt a la fin c'est bien ça ?
Je prefere eviter les degats ...
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008
23 oct. 2008 à 22:59
au moment de l'enregistrer sur le bureau, tu tapes simplement dans la lucarne de saisie : CFScript


( vu que tu es entrain de créer un doc texte , le " .txt " sera mis automatiquement ^^ )


0
melawi Messages postés 45 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 8 décembre 2008 3 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
23 oct. 2008 à 23:20
Voila les rapports , je te precise juste que la fenetre bleu que tu m'as decrites ou il fallait taper 1 ou 2 n'est pas apparu .


Combofix :

ComboFix 08-10-22.05 - Mel 2008-10-23 23:11:34.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.216 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Mel\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Mel\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\tmp.reg
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-23 au 2008-10-23 ))))))))))))))))))))))))))))))))))))
.

2008-10-23 01:48 . 2008-10-23 11:24 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-23 01:48 . 2008-10-23 01:48 <REP> d-------- C:\Documents and Settings\Mel\Application Data\Malwarebytes
2008-10-23 01:48 . 2008-10-23 01:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-23 01:48 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-23 01:48 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-23 01:05 . 2008-10-23 01:05 252,721 --a------ C:\upload_moi_MELANIE.tar.gz
2008-10-23 00:15 . 2008-10-23 00:15 <REP> d-------- C:\Program Files\CCleaner
2008-10-22 23:03 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-10-22 23:03 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-10-22 23:03 . 2008-09-08 23:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-22 23:03 . 2008-10-01 15:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe
2008-10-22 23:03 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe
2008-10-22 23:03 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-10-22 23:03 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-10-22 23:03 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-10-22 23:03 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-22 23:03 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-10-22 23:03 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-10-22 21:36 . 2008-10-22 21:36 <REP> d-------- C:\Program Files\Trend Micro
2008-10-22 15:13 . 2008-10-22 15:13 <REP> d--h----- C:\$AVG8.VAULT$
2008-10-22 13:39 . 2008-10-23 15:46 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-10-22 13:39 . 2008-10-22 13:39 <REP> d-------- C:\Program Files\AVG
2008-10-22 13:39 . 2008-10-22 14:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-10-22 13:39 . 2008-10-22 13:39 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-10-22 13:39 . 2008-10-22 13:39 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-10-22 13:39 . 2008-10-22 13:39 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-10-22 11:30 . 2008-10-22 11:30 <REP> d-------- C:\Program Files\EoRezo
2008-10-22 11:30 . 2008-10-23 23:06 <REP> d-------- C:\Documents and Settings\Mel\Application Data\EoRezo
2008-10-21 17:35 . 2008-10-21 17:35 <REP> d-------- C:\Documents and Settings\Mel\Application Data\dvdcss
2008-10-20 17:37 . 2008-10-20 17:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-10-19 15:34 . 2008-10-19 15:34 <REP> d-------- C:\Documents and Settings\Mel\Application Data\Exstora
2008-10-19 15:33 . 2008-10-19 15:33 <REP> d-------- C:\Program Files\Exstora Pro
2008-10-06 17:52 . 2008-10-06 17:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-10-06 17:49 . 2008-10-06 17:49 <REP> d-------- C:\Documents and Settings\Mel\Application Data\InstallShield
2008-10-06 17:48 . 2008-10-06 17:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
2008-10-06 17:48 . 2006-12-08 04:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCAE.DLL
2008-10-06 17:48 . 2006-04-19 04:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCAE.DLL
2008-10-06 17:48 . 2004-09-10 22:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-10-06 17:45 . 2008-10-06 17:51 <REP> d-------- C:\Program Files\epson
2008-10-06 17:45 . 2006-12-28 00:00 208,896 --a------ C:\WINDOWS\system32\esint7e.dll
2008-10-06 17:45 . 2006-12-28 00:00 66,560 --a------ C:\WINDOWS\system32\eswia7e.dll
2008-10-06 17:45 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-10-06 17:45 . 2006-03-10 00:00 3,584 --a------ C:\WINDOWS\system32\eswiaml.dll
2008-10-06 17:45 . 2008-10-06 17:45 27 --a------ C:\WINDOWS\CDE DX4400DEFGIPS.ini
2008-10-06 17:42 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-10-05 21:56 . 2008-10-05 21:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-10-05 21:52 . 2008-10-05 21:52 6,144 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-10-03 13:23 . 2008-10-03 13:23 <REP> d-------- C:\Program Files\HiYo
2008-10-03 13:23 . 2008-10-03 13:23 <REP> d-------- C:\Documents and Settings\Mel\Application Data\HiYo
2008-10-03 13:23 . 2008-10-03 13:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HiYo
2008-09-27 11:27 . 2008-09-27 11:27 <REP> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-23 21:11 --------- d-----w C:\Documents and Settings\Mel\Application Data\DNA
2008-10-22 08:09 --------- d-----w C:\Documents and Settings\Mel\Application Data\BitTorrent
2008-10-06 15:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-06 15:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-10-05 19:52 100,343 ----a-w C:\WINDOWS\Fonts\vtks_revolt.zip
2008-09-23 09:00 --------- d-----w C:\Program Files\Picasa2
2008-09-21 19:53 --------- d-----w C:\Program Files\Google
2008-09-21 19:35 --------- d-----w C:\Documents and Settings\Mel\Application Data\AdobeUM
2008-09-16 15:02 --------- d-----w C:\Program Files\DNA
2008-09-16 15:02 --------- d-----w C:\Program Files\BitTorrent
2008-09-16 13:38 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-09-16 13:38 --------- d-----w C:\Program Files\Windows Live
2008-09-16 13:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-09-16 13:02 --------- d-----w C:\Program Files\iTunes
2008-09-16 13:02 --------- d-----w C:\Documents and Settings\Mel\Application Data\Apple Computer
2008-09-16 13:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-16 13:01 --------- d-----w C:\Program Files\QuickTime
2008-09-16 13:01 --------- d-----w C:\Program Files\iPod
2008-09-16 13:01 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-09-16 13:01 --------- d-----w C:\Program Files\Bonjour
2008-09-16 13:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-16 13:00 --------- d-----w C:\Program Files\Apple Software Update
2008-09-16 13:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-09-16 12:59 --------- d-----w C:\Documents and Settings\Mel\Application Data\vlc
2008-09-16 12:54 --------- d-----w C:\Program Files\VideoLAN
2008-09-16 11:45 --------- d-----w C:\Program Files\Microsoft.NET
2008-09-16 11:29 --------- d-----w C:\Program Files\Intel
2008-09-16 11:28 --------- d-----w C:\Program Files\CONEXANT
2008-09-16 11:24 --------- d-----w C:\Program Files\Realtek
2008-09-16 11:07 --------- d-----w C:\Program Files\Java
2008-09-16 11:06 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-09-16 11:05 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-16 11:04 --------- d-----w C:\Program Files\Photo Story 3 for Windows
2008-09-16 11:03 --------- d-----w C:\Program Files\WMV9_VCM
2008-09-16 11:03 --------- d-----w C:\Program Files\Windows Media Components
2008-09-16 11:02 --------- d-----w C:\Program Files\Windows Journal Viewer
2008-09-16 10:54 --------- d-----w C:\Program Files\UTILS
2008-09-16 10:54 --------- d-----w C:\Program Files\JEUX
2008-09-16 10:48 --------- d-----w C:\Program Files\microsoft frontpage
2008-09-16 10:47 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
.

------- Sigcheck -------

2006-06-20 22:05 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\system32\user32.dll

2006-06-20 22:22 2059008 5311776074b6c13f983dc75baeac9c0c C:\WINDOWS\system32\ntkrnlpa.exe

2006-06-20 22:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a C:\WINDOWS\system32\ntoskrnl.exe

2006-05-16 22:39 1036288 76b3d5a12e1008fd656921d3035783f1 C:\WINDOWS\explorer.exe

2006-06-20 22:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-09-18 289088]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-08-05 114688]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe" [2006-05-03 36975]
"HiYo"="C:\Program Files\HiYo\bin\HiYo.exe" [2008-09-24 300336]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-09-23 565248]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-10-23 1234712]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-10-22 97928]
R2 avg8emc;AVG Free8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-10-22 875288]
R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-10-22 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-10-22 76040]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

*Newly Created Service* - CATCHME
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-23 23:13:31
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-23 23:14:41
ComboFix-quarantined-files.txt 2008-10-23 21:14:37
ComboFix2.txt 2008-10-23 15:43:30

Avant-CF: 52 430 802 944 octets libres
Après-CF: 52,422,979,584 octets libres

205

Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:21, on 23/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\E_SA7.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\msagent" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
0
Réponse 20 / 32
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 oct. 2008 à 23:50
re,

je suis en train de voir si cela vaux le coup de faire remonter l'info ^^ ...

je te donne la suite très vite ... ;)
0

Discussions similaires

Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Comment supprimer le virus evo-gen
matmat -
matmat -

0 réponse