Sujet Précédent Sujet Suivant

Execution de ctv*.exe et de iexplore + fenetr

Résolu/Fermé
Dodge - 13 oct. 2009 à 21:54
 Dodge - 24 oct. 2009 à 10:47
Bonjour,
Suite à une manip hasardeuse de ma part (exe non vérifié), je me retrouve avec une saleté sur mon poste. Au démarrage j'ai iexplore qui se lance dans le gestionnaire ainsi qu'un processus ctv*.exe (* nombre aléatoire). Cet exe est créé dans" documents and settings\profil\local settings\temp"
Ma conf: Windows XP SP3 aves Mc Afee entreprise 7.1 (maintenant 8.0) + windows defender. Mc afee à droppé le virus mais depuis j'ai toujours la même chose. J'ai passé (mode sans echec) Anti malware bytes (qui a trouvé des choses) + spybot mais toujours le même comportement.
Au cas où, j'ai monté ie7 en ie8 sans succès.
J'ai un suspect présent dans le fichier suivant:

resultats RSIT:
info.txt logfile of random's system information tool 1.06 2009-10-13 21:37:41

======Uninstall list======

-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{028EC2AF-F501-4567-9CEA-140030DE8544}\setup.exe" -l0x40c -u
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2580F4DA-324F-4945-B16F-B2B867325085}\setup.exe" -l0x40c -u
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader 6.0 Sprint-->MsiExec.exe /I{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.5 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
adsl TV-->C:\Appss\adslTV\Uninstal.exe
Any Video Converter 2.6.3-->"C:\Program Files\Any Video Converter\unins000.exe"
Apple Software Update-->MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
ASUS Probe V2.25.02-->C:\WINDOWS\uninst.exe -f"C:\Program Files\ASUS\Asus Probe\DeIsL1.isu" -c"C:\Program Files\ASUS\Asus Probe\probunis.dll"
Athlon 64 Processor Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x40c
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Canon ScanGear Toolbox 3.0-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Canon\ScanGear Toolbox Ver3\Uninst.isu" -c"C:\Program Files\Canon\ScanGear Toolbox Ver3\uninst.dll"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CDex extraction audio-->"C:\Apps\CDex_150\uninstall.exe"
Coloriage 2-->C:\WINDOWS\GPInstall.exe "/UNINST=C:\Program Files\denouvel\coloriage2\UnInst.log" "/APPNAME=Coloriage 2"
Cool & Quiet-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1ADE1AA0-7F82-4BB1-B1BD-727DE438057B}\setup.exe" -l0x9
Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DVD Flick-->"C:\Program Files\DVD Flick\unins000.exe"
DVD Shrink 3.2-->"C:\Apps\DVD Shrink\unins000.exe"
Easy Video Joiner 5.21-->"C:\Apps\Easy Video Joiner\unins000.exe"
Epson Easy Photo Print 2-->C:\Program Files\InstallShield Installation Information\{87C2248A-C7DD-49ED-9BCD-B312A9D0819E}\SETUP.EXE -runfromtemp -l0x040c UNINST -removeonly
Epson Event Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{48F22622-1CC2-4A83-9C1E-644DD96F832D}\SETUP.EXE" -l0x40c -u
EPSON Scan-->C:\Program Files\epson\escndv\setup\setup.exe /r
Epson Stylus SX110_TX110 Manuel-->C:\Program Files\EPSON\TPMANUAL\ESSX110_TX110\FRA\USE_G\DOCUNINS.EXE
EPSON SX110 Series Printer Uninstall-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FINSFBE.EXE /R /APD /P:"EPSON SX110 Series"
EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x40c -anything
FastStone Image Viewer 3.2-->C:\Program Files\FastStone Image Viewer\uninst.exe
FinePixViewer Ver.3.2-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{24ED4D80-8294-11D5-96CD-0040266301AD} /l1036
FUJIFILM USB Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5490882C-6961-11D5-BAE5-00E0188E010B}\SETUP.EXE"
GOM Player-->"C:\Apps\GomPlayer\Uninstall.exe"
HandyShopper-->MsiExec.exe /I{1D176D44-370F-4230-AA69-7B2733081068}
Heredis 8-->C:\WINDOWS\unvise32.exe C:\Apps\Heredis 8\uninstal.log
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
J2SE Runtime Environment 5.0 Update 10-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
Jasc Paint Shop Pro 8-->MsiExec.exe /I{81A34902-9D0B-4920-A25C-4CDC5D14B328}
KC Softwares IDPhotoStudio-->"C:\Program Files\KC Softwares\IDPhotoStudio\unins000.exe"
Lapin Malin Maternelle 1-->C:\WINDOWS\IsUn040c.exe -fC:\Jeux\Tlcwin\Rrt\Uninst\DeIsL1.isu
LUMIX Simple Viewer-->C:\Program Files\InstallShield Installation Information\{2CDCCE7E-55D5-40CC-AEA0-ABA54713501F}\setup.exe -runfromtemp -l0x040c -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
McAfee VirusScan Enterprise-->MsiExec.exe /I{4DCA2739-9D16-4B55-808C-E72CD70A5BD3}
Metro-->C:\Program Files\Microsoft ActiveSync\Metro\Uninstall.exe Metro
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - FRA-->MsiExec.exe /I{3F7924B9-D148-3141-87B1-68F36043A940}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - FRA-->MsiExec.exe /I{511DF669-2930-30C0-8EB6-552887E29EC8}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack - fra-->MsiExec.exe /I{5B76AEA2-D4E5-3B55-B965-ACC36AE0EAFC}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft ActiveSync-->MsiExec.exe /I{99052DB7-9592-4522-A558-5417BBAD48EE}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Money-->C:\Program Files\Microsoft Money 2005\MNYCoreFiles\Setup\uninst.exe /s:120
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Module linguistique Microsoft .NET Framework 3.5 - fra-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - fra\setup.exe
Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 6 Ultra Edition-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NetDrive-->C:\WINDOWS\IsUn040c.exe -fC:\Apps\NetDrive\Uninst.isu -c"C:\Apps\NetDrive\uninstall.dll"
NVIDIA Drivers-->C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI
NVIDIA System Utility-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{7C7F30F4-94E7-4AA8-8941-90C4A80C68BF} /l1036
PCTV-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3C02ED4F-46B0-4E9E-87F7-47AEBA4031C8}\Setup.exe" -l0x40c -L0x40c UNINSTALL
PDAlight 1.0-->C:\Program Files\Microsoft ActiveSync\PDAlight 1.0\Uninstall.exe PDAlight 1.0
Peter's GameBox 2.5 for Windows CE-->C:\WINDOWS\UnGins.exe "C:\Program Files\Peter's GameBox for Windows CE\install.log"
PhotoCardMaker 1.0.1-->"C:\Program Files\PhotoCardMaker\unins000.exe"
PHOTOfunSTUDIO -viewer--->C:\Program Files\InstallShield Installation Information\{9A9DBEBC-C800-4776-A970-D76D6AA405B1}\Setup.exe -runfromtemp -l0x040cPackage -removeonly
Pinnacle VideoSpin-->MsiExec.exe /I{FEB15887-0932-4D2D-BB85-6AC03FBF1AA8}
PinnacleHollywood FX 5-->C:\WINDOWS\unvise32.exe C:\Program Files\Pinnacle\Hollywood FX 5\uninstal.log
PrintPratic-->MsiExec.exe /X{B95FDFCC-2476-4E74-B6A7-B0AE5784BF4B}
QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\Setup.exe" -l0x40c -removeonly
Ressources Windows Mobile-->C:\Program Files\Ressources Windows Mobile\Windows Mobile Device Handbook\Bin\DHUninstall.exe
Ript-->MsiExec.exe /I{3E50F28A-86D8-4DA5-8850-C55684574F86}
ScanToWeb-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\SETUP.EXE" ADDREMOVEDLG
Scrapbook Flair-->MsiExec.exe /I{21209AE8-1E93-4289-A88F-5EE0F22CF9F8}
SmartSound Quicktracks Plugin-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}
Sprite Backup HTC-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{52D3199D-2858-4216-AA1D-B2A9BB9FA31B}\setup.exe" -l0x40c
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Studio 9.4 Patch-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{16E217EA-C3E0-402D-8D4F-6189DB74497A}\setup.exe" -l0x40c UNINSTALL
Studio 9-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9E491AB7-4589-48CA-9CBB-874CB2788391}\Setup.exe" -l0x40c UNINSTALL
SyncToy-->MsiExec.exe /I{B5688129-7595-4E5B-9990-CEF981A31264}
TomTom HOME-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe
TreeSize Free V2.1-->"C:\Apps\TreeSize Free\unins000.exe"
Ultrasoft Money for Windows Mobile-->"C:\Program Files\InstallShield Installation Information\{28100A2A-A2F0-4BD0-A4DE-5DBF47CC15F7}\setup.exe" -runfromtemp -l0x0409 -removeonly
Ultrasoft Money for Windows Mobile-->MsiExec.exe /I{28100A2A-A2F0-4BD0-A4DE-5DBF47CC15F7}
Ultrasoft Money-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B8F5B5D0-9620-11D3-BA0E-0000861DA578}\Setup.exe" -l0x9
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC_MergeModuleToMSI-->MsiExec.exe /I{900A92BA-19EF-4A34-86CF-7B6C85BDD971}
VideoLAN VLC media player 0.8.5-freehd-->C:\Apps\adslTV\uninstall.exe
Winamp (remove only)-->"C:\Apps\Winamp\UninstWA.exe"
Windows Defender-->MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======System event log======

Computer Name: HADDOCK
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

Record Number: 17812
Source Name: Service Control Manager
Time Written: 20090910200943.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: HADDOCK
Event Code: 7036
Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

Record Number: 17811
Source Name: Service Control Manager
Time Written: 20090910200943.000000+120
Event Type: Informations
User:

Computer Name: HADDOCK
Event Code: 7036
Message: Le service Services Terminal Server est entré dans l'état : en cours d'exécution.

Record Number: 17810
Source Name: Service Control Manager
Time Written: 20090910200929.000000+120
Event Type: Informations
User:

Computer Name: HADDOCK
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Services Terminal Server.

Record Number: 17809
Source Name: Service Control Manager
Time Written: 20090910200928.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: HADDOCK
Event Code: 7036
Message: Le service Service de la passerelle de la couche Application est entré dans l'état : en cours d'exécution.

Record Number: 17808
Source Name: Service Control Manager
Time Written: 20090910200900.000000+120
Event Type: Informations
User:

=====Application event log=====

Computer Name: HADDOCK
Event Code: 1102
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe


Record Number: 1268
Source Name: .NET Runtime Optimization Service
Time Written: 20071118190714.000000+060
Event Type:
User:

Computer Name: HADDOCK
Event Code: 1100
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe


Record Number: 1267
Source Name: .NET Runtime Optimization Service
Time Written: 20071118190714.000000+060
Event Type: Informations
User:

Computer Name: HADDOCK
Event Code: 1102
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: AspNetMMCExt, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a


Record Number: 1266
Source Name: .NET Runtime Optimization Service
Time Written: 20071118190714.000000+060
Event Type:
User:

Computer Name: HADDOCK
Event Code: 1100
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: AspNetMMCExt, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a


Record Number: 1265
Source Name: .NET Runtime Optimization Service
Time Written: 20071118190713.000000+060
Event Type: Informations
User:

Computer Name: HADDOCK
Event Code: 1102
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: System.ServiceModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089


Record Number: 1264
Source Name: .NET Runtime Optimization Service
Time Written: 20071118190657.000000+060
Event Type:
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Pinnacle\Shared Files\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2c02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Program Files\Java\jre1.5.0_10\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.5.0_10\lib\ext\QTJava.zip

-----------------EOF-----------------

Logfile of random's system information tool 1.06 (written by random/random)
Run by Famille Galley at 2009-10-13 21:37:25
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 16 GB (52%) free of 30 GB
Total RAM: 1535 MB (42% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:37, on 13/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Apps\NetDrive\netdrive.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\Apps\NetDrive\wdService.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer .exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\shstat.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Sources programmes\telechargements\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Famille Galley.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Ript - {91D9091B-2046-42f7-903E-1215A29E21EA} - C:\Apps\Ript\mscoree.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WebDriveTray] C:\Apps\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\WINDOWS\TEMP\E_S84.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers Printkey2000.lnk = C:\Apps\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.bellapix.com/XUpload.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Apps\NetDrive\wdService.exe
A voir également:

66 réponses

Réponse 1 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 oct. 2009 à 21:58
Salut,


plusieurs infections ...


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



Anti malware bytes (qui a trouvé des choses)

> poste moi le rapport que tu as obtenu stp (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) .



Puis commence par ceci dans l'ordre :


1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .


=============================

2- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

0
Réponse 2 / 66
Dodge
13 oct. 2009 à 22:05
Merci d'avance:
Voici le rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2955
Windows 5.1.2600 Service Pack 3

13/10/2009 20:18:58
mbam-log-2009-10-13 (20-18-46).txt

Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 195809
Temps écoulé: 1 hour(s), 1 minute(s), 41 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tdisp.sys (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwimyu (Trojan.Backdoor) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Backdoor) -> Data: c:\documents and settings\famille galley\pfqorak.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Famille Galley\pfqorak.exe \s) Good: (Userinit.exe) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\system32\dwimyu.exe (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1026.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1952.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv2875.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv3802.exe (Trojan.Dropper) -> No action taken.
C:\Program Files\Adobe\acrotray.exe (Trojan.Agent) -> No action taken.
0
Réponse 3 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 oct. 2009 à 22:25
Bien ....


fais la suite stp ....


0
Réponse 4 / 66
Dodge
13 oct. 2009 à 22:44
Désolé pas vu la fin du message:

Voici le rapport:
SmitFraudFix v2.424

Rapport fait à 22:39:36,87, 13/10/2009
Executé à partir de C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Apps\NetDrive\netdrive.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\Apps\NetDrive\wdService.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\shstat.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv4751.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{395C64AD-8351-4B66-969D-EDE97E3F144F}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 oct. 2009 à 08:07
Salut;


fais ce qui suit dans l'ordre :


1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Famille Galley\pfqorak.exe"=-

:Files
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


=======================


2- Tu vas ré-utiliser Malwarebytes ainsi :

mets le à jour ( onglet "mise à jour" ) .


! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

=================


3- refais un scan RSIT , poste le nouveau "log.txt" obtenu pour analyse et attends la suite ....

0
Réponse 6 / 66
Dodge
14 oct. 2009 à 08:43
Salut,

Je fais tout ça ce soir et te le poste. Juste pour ce qui est des taches programmées, c'était une trace car quand je les ai vues, je les ai virées (avant de poster ici, maintenant promis je touche plus à rien ;=))
0
Réponse 7 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 oct. 2009 à 09:01
re,

car quand je les ai vues, je les ai virées

oki .... mais fait tout de même le manipe avec OTM et le reste .... à ce soir avec les rapports demandés ....

0
Réponse 8 / 66
Dodge
14 oct. 2009 à 19:36
Voici les rapports dans l'ordre:
OTM:
All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Documents and Settings\Famille Galley\pfqorak.exe deleted successfully.
========== FILES ==========
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Famille Galley
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, scheduled to be deleted on reboot.
->Temp folder emptied: 7986386 bytes
->Temporary Internet Files folder emptied: 4243085 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44961039 bytes

User: LocalService
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 3596610 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 1025900 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 1381944 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 1139202 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 125482046 bytes
RecycleBin emptied: 8448 bytes

Total Files Cleaned = 181,10 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10142009_185658

Files moved on Reboot...
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, not found!

Registry entries deleted on Reboot...

Malwarebytes n'a rien trouvé

Enfin RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Famille Galley at 2009-10-14 19:22:52
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 16 GB (52%) free of 30 GB
Total RAM: 1535 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:05, on 14/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\NetDrive\wdService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Apps\NetDrive\netdrive.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv1136.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Sources programmes\telechargements\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Famille Galley.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Ript - {91D9091B-2046-42f7-903E-1215A29E21EA} - C:\Apps\Ript\mscoree.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WebDriveTray] C:\Apps\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\WINDOWS\TEMP\E_S84.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers Printkey2000.lnk = C:\Apps\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.bellapix.com/XUpload.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Apps\NetDrive\wdService.exe
0
Réponse 9 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 oct. 2009 à 19:54
Salut,


effectivement , c'est revenu .... le prb est ailleurs ...



on va faire quelques vérifes avant de poursuivre :


1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\e5n5krupcn8o.dll

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\WINDOWS\EEventManager .INI
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\system32\nerocheck.exe59


Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...



0
Réponse 10 / 66
Dodge
14 oct. 2009 à 20:52
c:\windows\system32\e5n5krupcn8o.dll réinitialise la connexion avec le serveur(analyse impossible,ceic dit, il était associé à un exe que j'avais viré au début, j'aurais mieux fait de poster direct!).

eeventmanager (fichier vide, a priori lié à epson, mais il y en a 2 dont un avec un espace, mais dater a priori d'avant l'attaque):
0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\psdrvcheck .exe:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Small.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a473352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQoW+
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e

( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

C:\WINDOWS\system32\kr_done1.exe (je l'avais renommé pendant un moment et en fait, pas sur que c'était un exe, oups)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 -
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 -
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 -
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 -
Fortinet 3.120.0.0 2009.10.14 -
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 -
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 -
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 -
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 10 bytes
MD5...: 45760e93886c401f64e7be658b41650c
SHA1..: c325a28d7c2b251fa6cef60f097f3dba04b4385f
SHA256: b930b5edc993134e3b42bdc6ee0fbde0e23a29264b241ed3d8199e7b8997f1a6
ssdeep: 3:OQ4:OQ4
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

C:\WINDOWS\system32\nerocheck.exe59

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Small.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a473352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQoW+
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e

( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 11 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 oct. 2009 à 22:03
Re,


la suite dans l'ordre :


1- Ré-utilise OTM :

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\e5n5krupcn8o.dll
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


========================

2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...


0
Réponse 12 / 66
Dodge
14 oct. 2009 à 22:37
Problème, OTM plante sur le move de e5n5rupcn80.dll. Plus de son plus d'image. J'ai été obligé de l'arrêté.
0
Réponse 13 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 oct. 2009 à 23:07
recommence OTM mais avec ce script :


:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job

:Commands
[purity]
[emptytemp]
[Reboot]



poste le rapport obtenu et fais la suite ( ComboFix ) ....


0
Réponse 14 / 66
Dodge
14 oct. 2009 à 23:22
Voici déjà le log d'OTM:

All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\system32\nerocheck.exe59 not found.
C:\WINDOWS\system32\psdrvcheck.exe -checkreg moved successfully.
C:\WINDOWS\system32\psdrvcheck .exe moved successfully.
C:\WINDOWS\system32\kr_done1.exe moved successfully.
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Famille Galley
->Temp folder emptied: 616010 bytes
->Temporary Internet Files folder emptied: 26557917 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47582990 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 904 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be deleted on reboot.
Windows Temp folder emptied: 51287315 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 120,33 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10142009_231015

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...
0
Réponse 15 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 oct. 2009 à 23:25
vu ....


la suite.... ;)

0
Réponse 16 / 66
Dodge
14 oct. 2009 à 23:42
Voici le rapport Combo fix:

ComboFix 09-10-14.01 - Famille Galley 14/10/2009 23:29.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1007 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille Galley\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille Galley\soundman .exe
c:\documents and settings\Famille Galley\soundman.exe
c:\windows\EEventManager .INI
c:\windows\Installer\145019.msi
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\EntDrv51.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\nerocheck .exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_EntDrv51


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-14 au 2009-10-14 ))))))))))))))))))))))))))))))))))))
.

2009-10-14 21:34 . 2009-10-14 21:34 30720 ----a-w- c:\documents and settings\Famille Galley\soundman.exe
2009-10-14 16:56 . 2009-10-14 20:57 -------- d-----w- C:\_OTM
2009-10-13 19:37 . 2009-10-13 19:37 -------- d-----w- C:\rsit
2009-10-13 19:26 . 2009-10-13 19:26 -------- d-----w- c:\program files\Trend Micro
2009-10-13 19:25 . 2009-10-13 19:25 -------- d-----w- c:\documents and settings\All Users\Application Data\PrevxCSI
2009-10-13 19:19 . 2009-10-13 19:19 -------- d-----w- c:\program files\Fichiers communs\Cisco Systems
2009-10-13 19:19 . 2004-09-22 18:00 58048 ----a-w- c:\windows\system32\drivers\mvstdi5x.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-13 17:02 . 2009-10-13 18:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 17:53 . 2009-10-13 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-11 17:53 . 2009-10-13 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 17:46 . 2009-10-11 17:46 -------- d-----w- c:\program files\CCleaner
2009-10-11 16:50 . 2009-10-11 16:50 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\gtopala
2009-10-11 16:06 . 2009-10-11 16:06 -------- d-sh--w- c:\documents and settings\Famille Galley\PrivacIE
2009-10-11 16:05 . 2009-10-11 16:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\Famille Galley\IETldCache
2009-10-11 16:02 . 2009-10-11 16:02 -------- d-----w- c:\windows\ie8updates
2009-10-11 16:01 . 2009-10-11 16:01 -------- dc-h--w- c:\windows\ie8
2009-10-11 15:59 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-11 15:58 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-11 15:58 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-11 10:59 . 2009-10-11 17:22 307200 ----a-w- c:\windows\system32\e5n5krupcn8o.dll
2009-10-11 10:24 . 2009-10-11 10:24 -------- d-----w- C:\Downloads
2009-10-11 10:15 . 2009-10-11 10:15 -------- d-----w- C:\Organized Music
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound3.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound2.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound1.dll
2009-10-11 10:12 . 2000-05-01 22:02 110592 ----a-w- c:\windows\system32\ccrpbds6.dll
2009-10-02 17:56 . 2009-10-03 10:24 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Epson
2009-10-02 17:53 . 2008-08-08 02:09 86528 ----a-w- c:\windows\system32\E_FLBFBE.DLL
2009-10-02 17:53 . 2007-12-07 02:01 78848 ----a-w- c:\windows\system32\E_FD4BFBE.DLL
2009-10-02 17:53 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-10-02 17:53 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-10-02 17:52 . 2009-10-02 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-10-02 17:49 . 2009-10-02 17:51 -------- d-----w- c:\program files\Epson Software
2009-10-02 17:48 . 2009-10-02 17:49 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:45 . 2009-10-02 17:45 -------- dc----w- c:\windows\system32\DRVSTORE
2009-10-02 17:45 . 2009-10-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-10-02 17:45 . 2006-08-25 00:00 9216 ----a-w- c:\windows\system32\escdev.dll
2009-10-02 17:45 . 2008-11-16 22:00 342016 ----a-w- c:\windows\system32\eswiaud.dll
2009-10-02 17:14 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-14 21:20 . 2007-01-14 10:01 30720 ----a-w- c:\windows\system32\nerocheck.exe
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\program files\Fichiers communs\Network Associates
2009-10-11 14:06 . 2007-01-13 15:38 81256 ----a-w- c:\documents and settings\Famille Galley\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 07:47 . 2003-04-24 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 07:47 . 2003-04-24 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-02 17:51 . 2007-01-13 15:42 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-02 17:50 . 2007-01-13 17:14 -------- d-----w- c:\program files\EPSON
2009-10-02 17:50 . 2007-01-13 15:40 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-30 18:26 . 2007-01-13 17:13 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Canon
2009-09-26 07:17 . 2007-12-23 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-22 18:35 . 2007-01-13 17:15 -------- d-----w- c:\program files\Fichiers communs\EPSON
2009-09-19 13:07 . 2007-01-14 09:03 -------- d-----w- c:\program files\CyberLink
2009-09-19 13:06 . 2007-01-14 18:14 -------- d-----w- c:\program files\palmOne
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2009-09-07 11:41 . 2007-01-27 17:00 -------- d-----w- c:\program files\Pinnacle
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-08-05 09:00 . 2003-04-24 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Asus Probe\AsusProb.exe" [2009-10-14 30720]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2009-10-14 30720]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"WebDriveTray"="c:\apps\NetDrive\netdrive.exe" [2003-06-04 294912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-10-14 30720]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-14 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Famille Galley\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers Printkey2000.lnk - c:\apps\PrintKey2000\Printkey2000.exe [2007-4-9 869376]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Appss\\adslTV\\adslTV.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\eeventmanager .exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [13/10/2009 21:19 58048]
R2 WebDriveFSD;WebDrive File System Driver;c:\apps\NetDrive\rffsd.sys [12/06/2007 09:18 67032]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
S4 RFNP32;WebDrive Provider; [x]
.
Contenu du dossier 'Tâches planifiées'

2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-10-14 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.my.yahoo.com/
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-VLC media player - c:\apps\adslTV\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-14 23:34
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll

- - - - - - - > 'explorer.exe'(1420)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\program files\WinRAR\rarext.dll
c:\windows\system32\rfshext.dll
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
c:\windows\system32\rfshres.dll
c:\program files\Network Associates\VirusScan\shext.dll
c:\program files\Network Associates\VirusScan\RES0c\ShExtRes.dll
c:\program files\Malwarebytes' Anti-Malware\mbamext.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Epson Software\Easy Photo Print\EPTBL.dll
c:\program files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
c:\windows\system32\RFNP32.DLL
c:\program files\Microsoft Office\OFFICE11\msohev.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\Mcshield.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Epson Software\Event Manager\eeventmanager .exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-10-14 23:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-14 21:38

Avant-CF: 16 444 936 192 octets libres
Après-CF: 16 278 892 544 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptOut

239 --- E O F --- 2009-10-13 17:10
0
Réponse 17 / 66
Dodge
14 oct. 2009 à 23:54
Petite précision, ctv.exe ne tourne plus et plus d'iexplore qui se lance. En revanche, les taches schedulées sont revenues (elles lancent acrotray et sont indiquées comme crées par NetscheduleJodAdd) et bien sure5n5krupcn8o.dll est toujours là!
0
Réponse 18 / 66
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
15 oct. 2009 à 00:07
bien ...



fais ceci :


1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :



File::
c:\windows\system32\e5n5krupcn8o.dll

Driver::
RFNP32

DirLook::
c:\windows\Tasks



Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


0
Réponse 19 / 66
Dodge
15 oct. 2009 à 09:04
OK, je lance ça ce soir (si j'ai le temps car départ en week-end prolongé). Merci encore.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
15 oct. 2009 à 09:30
re,


OK, je lance ça ce soir

oui c'est mieux .... au moins le PC serait "quasi clean" au niveau infection si cela fonctionne ... ^^


0
Réponse 20 / 66
Dodge
15 oct. 2009 à 18:46
Et voici le rapport (dll disparue):

ComboFix 09-10-14.01 - Famille Galley 15/10/2009 18:35.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1058 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille Galley\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille Galley\Bureau\CFScript

FILE ::
"c:\windows\system32\e5n5krupcn8o.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille Galley\soundman .exe
c:\documents and settings\Famille Galley\soundman.exe
c:\windows\EEventManager .INI
c:\windows\system32\e5n5krupcn8o.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RFNP32
-------\Service_RFNP32


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-15 au 2009-10-15 ))))))))))))))))))))))))))))))))))))
.

2009-10-15 16:31 . 2009-10-15 16:31 -------- d-----w- c:\windows\LastGood.Tmp
2009-10-14 16:56 . 2009-10-14 20:57 -------- d-----w- C:\_OTM
2009-10-13 19:37 . 2009-10-13 19:37 -------- d-----w- C:\rsit
2009-10-13 19:26 . 2009-10-13 19:26 -------- d-----w- c:\program files\Trend Micro
2009-10-13 19:25 . 2009-10-13 19:25 -------- d-----w- c:\documents and settings\All Users\Application Data\PrevxCSI
2009-10-13 19:19 . 2009-10-13 19:19 -------- d-----w- c:\program files\Fichiers communs\Cisco Systems
2009-10-13 19:19 . 2004-09-22 18:00 58048 ----a-w- c:\windows\system32\drivers\mvstdi5x.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-13 17:02 . 2009-10-13 18:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 17:53 . 2009-10-13 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-11 17:53 . 2009-10-13 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 17:46 . 2009-10-11 17:46 -------- d-----w- c:\program files\CCleaner
2009-10-11 16:50 . 2009-10-11 16:50 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\gtopala
2009-10-11 16:06 . 2009-10-11 16:06 -------- d-sh--w- c:\documents and settings\Famille Galley\PrivacIE
2009-10-11 16:05 . 2009-10-11 16:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\Famille Galley\IETldCache
2009-10-11 16:02 . 2009-10-11 16:02 -------- d-----w- c:\windows\ie8updates
2009-10-11 16:01 . 2009-10-11 16:01 -------- dc-h--w- c:\windows\ie8
2009-10-11 15:59 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-11 15:58 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-11 15:58 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-11 10:24 . 2009-10-11 10:24 -------- d-----w- C:\Downloads
2009-10-11 10:15 . 2009-10-11 10:15 -------- d-----w- C:\Organized Music
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound3.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound2.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound1.dll
2009-10-11 10:12 . 2000-05-01 22:02 110592 ----a-w- c:\windows\system32\ccrpbds6.dll
2009-10-02 17:56 . 2009-10-03 10:24 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Epson
2009-10-02 17:53 . 2008-08-08 02:09 86528 ----a-w- c:\windows\system32\E_FLBFBE.DLL
2009-10-02 17:53 . 2007-12-07 02:01 78848 ----a-w- c:\windows\system32\E_FD4BFBE.DLL
2009-10-02 17:53 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-10-02 17:53 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-10-02 17:52 . 2009-10-02 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-10-02 17:49 . 2009-10-02 17:51 -------- d-----w- c:\program files\Epson Software
2009-10-02 17:48 . 2009-10-02 17:49 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:45 . 2009-10-02 17:45 -------- dc----w- c:\windows\system32\DRVSTORE
2009-10-02 17:45 . 2009-10-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-10-02 17:45 . 2006-08-25 00:00 9216 ----a-w- c:\windows\system32\escdev.dll
2009-10-02 17:45 . 2008-11-16 22:00 342016 ----a-w- c:\windows\system32\eswiaud.dll
2009-10-02 17:14 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-15 16:40 . 2009-10-15 16:40 30720 ----a-w- c:\documents and settings\Famille Galley\soundman.exe
2009-10-14 21:20 . 2007-01-14 10:01 30720 ----a-w- c:\windows\system32\nerocheck.exe
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\program files\Fichiers communs\Network Associates
2009-10-11 14:06 . 2007-01-13 15:38 81256 ----a-w- c:\documents and settings\Famille Galley\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 07:47 . 2003-04-24 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 07:47 . 2003-04-24 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-02 17:51 . 2007-01-13 15:42 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-02 17:50 . 2007-01-13 17:14 -------- d-----w- c:\program files\EPSON
2009-10-02 17:50 . 2007-01-13 15:40 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-30 18:26 . 2007-01-13 17:13 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Canon
2009-09-26 07:17 . 2007-12-23 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-22 18:35 . 2007-01-13 17:15 -------- d-----w- c:\program files\Fichiers communs\EPSON
2009-09-19 13:07 . 2007-01-14 09:03 -------- d-----w- c:\program files\CyberLink
2009-09-19 13:06 . 2007-01-14 18:14 -------- d-----w- c:\program files\palmOne
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2009-09-07 11:41 . 2007-01-27 17:00 -------- d-----w- c:\program files\Pinnacle
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-08-05 09:00 . 2003-04-24 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\windows\Tasks ----

2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At24.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At22.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At23.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At20.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At21.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At17.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At18.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At19.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At14.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At15.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At16.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At11.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At12.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At13.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At10.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At9.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At7.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At8.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At5.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At6.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At2.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At3.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At4.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At1.job
2008-01-27 12:38 . 2009-05-29 05:52 284 ----a-w- c:\windows\Tasks\AppleSoftwareUpdate.job
2007-01-14 18:20 . 2009-10-15 16:33 330 ---ha-w- c:\windows\Tasks\MP Scheduled Scan.job
2007-01-13 15:15 . 2009-10-15 16:34 6 ---ha-w- c:\windows\Tasks\SA.DAT
2007-01-13 15:13 . 2003-04-24 12:00 65 ---h--r- c:\windows\Tasks\desktop.ini


((((((((((((((((((((((((((((( SnapShot@2009-10-14_21.34.30 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-01-14 10:01 . 2009-10-14 21:20 30720 c:\windows\system32\nerocheck .exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Asus Probe\AsusProb.exe" [2009-10-15 30720]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2009-10-15 30720]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"WebDriveTray"="c:\apps\NetDrive\netdrive.exe" [2003-06-04 294912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-10-15 30720]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-14 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Famille Galley\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers Printkey2000.lnk - c:\apps\PrintKey2000\Printkey2000.exe [2007-4-9 869376]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Appss\\adslTV\\adslTV.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\eeventmanager .exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [13/10/2009 21:19 58048]
R2 WebDriveFSD;WebDrive File System Driver;c:\apps\NetDrive\rffsd.sys [12/06/2007 09:18 67032]
S3 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
.
Contenu du dossier 'Tâches planifiées'

2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-10-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.my.yahoo.com/
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-15 18:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\windows\system32\nerocheck .exe 30720 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3700)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Epson Software\Event Manager\eeventmanager .exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-10-15 18:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-15 16:42
ComboFix2.txt 2009-10-14 21:38

Avant-CF: 16 256 950 272 octets libres
Après-CF: 16 221 597 696 octets libres

232 --- E O F --- 2009-10-13 17:10
0

Discussions similaires

VBA erreur 1004
séverine -
Floroan -

9 réponses
comment convertir un logiciel .exe en .dmg
omnisportdieng -
Utilisateur anonyme -

3 réponses
Erreur d'exécution 13 Incompatibilité de type
grace -
pijaku -

5 réponses
Un administrateur vous a refusé l’exécution de cette application
AnasAlami -
Malekal_morte- -

2 réponses
MACRO : Problème " Erreur d'exécution '1004' "
Awazagaga -
Awazagaga -

6 réponses