Sujet Précédent Sujet Suivant

Virus win32 horst gz+fenetre intemp yahoomail

Résolu/Fermé
mathieu - 16 avril 2007 à 23:22
 mathieu 31 - 14 mai 2007 à 10:55
bonjour
pourriez vous m'aider svp ; g 2 petits problemes à resoudre:
cheval de troie virus win32 horst gz+fenetre intempestive yahoomail ou gmail

voici mon rapport kaspersky
Monday, April 16, 2007 11:10:25 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/04/2007
Enregistrements dans la base antivirus Kaspersky : 280853
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
C:\
D:\
E:\
Statistiques de l'analyse
Total d'objets analysés 66375
Nombre de virus trouvés 3
Nombre d'objets infectés 9 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:59:20

Nom de l'objet infecté Nom du virus Dernière action
C:\APPS\Softex\OmniPass\btype0.dat L'objet est verrouillé ignoré
C:\APPS\Softex\OmniPass\btype256.dat L'objet est verrouillé ignoré
C:\APPS\Softex\OmniPass\btype259.dat L'objet est verrouillé ignoré
C:\APPS\Softex\OmniPass\btype3.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbc2e.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbdam L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbdao L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbeam L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbeao L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbm L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbu2d.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbvm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\dbvmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\fii.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\fiih.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\hp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\hpt2i.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\rpm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\rpm1m.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\rpm1mh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\e395bbda0625\rpmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\0F961D32.dll Infecté : Trojan-Downloader.Win32.Zlob.bqe ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\56905D48.dll Infecté : Trojan-Downloader.Win32.Zlob.bqe ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\69AA11D2.dll Infecté : Trojan-Downloader.Win32.Zlob.bqe ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\69B839C3.dll Infecté : Trojan-Downloader.Win32.Zlob.bqe ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6A1D4F54.dll Infecté : Trojan-Downloader.Win32.Zlob.bqe ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6A207950.dll Infecté : Trojan-Downloader.Win32.Zlob.bqe ignoré
C:\Documents and Settings\All Users\Documents\setup.exe Infecté : Trojan-Proxy.Win32.Horst.xs ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_3506132655_1507328_53349 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_3506132655_7864320_53402 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE1.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE2.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{5A96FB29-03F7-4352-9DE6-CF69B928A8C8}.TmpSBE L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{D7CB80BA-B218-435A-90B2-B52F35C062E4}.TmpSBE L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\DRM\drmstore.hds L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Historique\History.IE5\MSHist012007041620070417\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temp\fla1520.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temp\setup.exe Infecté : Trojan-Proxy.Win32.Horst.xs ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temp\~DF561C.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temp\~DF6595.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temporary Internet Files\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP87\A0015728.exe Infecté : Trojan-Downloader.Win32.Agent.aii ignoré
C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP92\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{E3F1FA34-42C0-4B86-B1D9-580073BEC919}.crmlog L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_174.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_5f0.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\tmp00002494\tmp00000000 L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
Analyse terminée.
merci par avance
A voir également:

19 réponses

Réponse 1 / 19
alexsun Messages postés 13 Date d'inscription lundi 21 août 2006 Statut Membre Dernière intervention 4 février 2008
16 avril 2007 à 23:27
répare les fichiers endommagés ou suppprime puis demande les à microsoft qui te les enverra
0
Réponse 2 / 19
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
16 avril 2007 à 23:34
salut mathieu

efface les virus en quarantaine qui sont dans norton

telecharge clean up 40
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

Fais le marcher

desactive ta restauration system puis redemarre ton pc et remet la restauration system

puis

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courrage
0
mathieu
17 avril 2007 à 20:32
merci pour les infos mok, g fais tout ce que tu m'as dit
et voila le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 20:28:41, on 17/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Packard Bell\SrvCDEject.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Realtek\Card Reader Software\DriveIcon\DriveIcon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Fingerprint Sensor\ATSwpNav.exe
C:\Apps\Softex\OmniPass\scureapp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\Philips\SPC500NC\Monitor.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\VPro500.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=SEARCH
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DriveIcons] "C:\Program Files\Realtek\Card Reader Software\DriveIcon\DriveIcon.exe"
O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATSwpNav] "C:\Program Files\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SPC500NC_Monitor] C:\WINDOWS\Philips\SPC500NC\Monitor.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: HPF.lnk = C:\Program Files\Hurricanesoft\Hurricanesoft Personal Firewall\HPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPro500.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2913b6bc791744a5a75f550560064db0
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2913b6bc791744a5a75f550560064db0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SrvCDEject - Unknown owner - C:\Program Files\Packard Bell\SrvCDEject.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89 > mathieu
17 avril 2007 à 20:56
salut mathieu

Pour tes fenetres intepestives on va voire avec ca :

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

@+ courrage
0
mathieu > moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007
23 avril 2007 à 21:24
salut mok's
merci encore pour ton aide, maintenant plus de problemes.
a+
0
Réponse 3 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
24 avril 2007 à 10:34
Bonjour mathieu,

Tu ne m'as pas l'air fort honnête, correct et respectueux envers les helpers de ce forum !

En effet, ici < infections multiples > , nous nous étions mis à deux pour résoudre les questions posées par ton topic .
Il en est résulté, non seulement une absence de suivi de ta part ( on répond évidemment aux innocents par le silence ), mais également un abandon du topic; que ce soit relativement à la procédure proposée par Reneal ou à celle proposée par Afideg .
En effet, alors qu'une procédure de désinfection t'avais été proposée au post # 15 le lundi 23 avril 2007 à 01:00:20, tu répondais ceci à mon ami moK´s@ lundi 23 avril 2007 à 21:24:45 sur un autre topic < virus win32 horst gz fenetre intemp yahoomail > que tu avais ouvert , mais également en l'abandonnant irrespectueusement et en ne poursuivant pas la procédure indiquée par moK´s@

Et afin que tous les helpers comprennent qui tu es et ce que tu vaux lorsque tu annonces naïvement "pourriez vous m'aider svp ; g 2 petits problemes à resoudre" , ou "... et je n'y connais pas grand chose...", ou "j'ai fait un hitjack au cas où quelqu'un de sympatique puisse m'apporter son aide", je me permets d'éditer ceci :

Résultats de la recherche pour « mathieu » dans le forum

Titre de la discussion Forum Auteur Réponses

-virus win32 horst gz+fenetre intemp yahoomail Virus/Sécurité 16 avr 07 mathieu 23 avr à 21:24 mathieu 5
-infections multiples Virus/Sécurité 20 avr 07 mathieu 23 avr à 01:00 afideg 15
-Da uma olhada nas fotos dessa festa... muito Virus/Sécurité 10 avr 07 mathieu 18 avr à 22:59 Regis59 61
-Mon PC ne s'exécute plus (VIRUS) Virus/Sécurité 13 avr 07 Mathieu 13 avr à 22:35 soundman 3
-choix d'antivirus Virus/Sécurité 29 déc 06 Mathieu 04 avr à 08:02 baby2109 2
-[virus] Ordinateur très lent Virus/Sécurité 26 mar 07 Mathieu 26 mar à 15:54 champciaux b... 3
-antivirus Virus/Sécurité 14 mar 07 Mathieu 18 mar à 00:13 boulepate62 5
-TR/Dldr.PurityScan.CO.10 virus Virus/Sécurité 13 mar 07 Mathieu 13 mar à 22:51 green day 8
-[Virus]? Envoi automatique de mail Virus/Sécurité 22 aoû 06 Mathieu 24 fév à 01:03 brahim 12
-Virus non identifié Virus/Sécurité 20 fév 07 Mathieu 21 fév à 14:02 Mat 9
-virus: Bloodhound.Packed Virus/Sécurité 09 fév 07 mathieu 09 fév à 16:39 mathieu 3
-anti virus Virus/Sécurité 23 jan 07 mathieu 23 jan à 08:42 ^^Marie^^ 1
-jai un virus w32.myzor.fk@yf Virus/Sécurité 29 nov 06 mathieu 13 jan à 14:51 Pazar 5
-(virus) infesté par sasser enfin je croi Virus/Sécurité 02 nov 06 mathieu 10 nov à 19:47 Regis59 36
-Sasser??? Virus/Sécurité 03 nov 06 mathieu 07 nov à 15:15 Torus 5
-zéro Spyware Virus/Sécurité 05 aoû 06 Mathieu 05 aoû à 11:55 Regis59 1
-Quel centre de sécurité choisir ? Virus/Sécurité 23 jui 06 Mathieu 23 jui à 21:58 Regis59 1
-Antivirus Virus/Sécurité 23 jui 06 Mathieu 23 jui à 19:29 ^^Marie^^ 1
-Différences entre 2 logiciels ? Virus/Sécurité 19 jui 06 Mathieu 19 jui à 16:07 Mathieu 0
-antivirus Virus/Sécurité 23 jun 06 Mathieu 24 jun à 21:05 incognito02 4
-The Ultimate Troubleshooter (virus ou pas ?) Virus/Sécurité 18 jun 06 Mathieu 18 jun à 16:56 ^^Marie^^ 1
-Avast Antivirus Virus/Sécurité 18 jun 06 Mathieu 18 jun à 16:37 ^^Marie^^ 2
-Antivirus Virus/Sécurité 18 jun 06 Mathieu 18 jun à 16:32 incognito02 2
-Microsoft Antispyware assez puissant ou pas ? Virus/Sécurité 18 jun 06 Mathieu 18 jun à 12:54 BmV 2
-Choix d'anti espions Virus/Sécurité 14 jun 06 Mathieu 14 jun à 19:02 green day 6
-Quel antivirus prendre ??? Virus/Sécurité 14 jun 06 Mathieu 14 jun à 15:59 plouf plouf 2
-[virus] virus W32/Alcan.worm!.p2p pc infec Virus/Sécurité 07 jun 06 Mathieu 09 jun à 03:20 aranjuez31 4

Liste non exhaustive.

On y voit nombreux topic "raccourcis", et peu de mercis .

Et quand tu oses d'adresser ici < antivirus > à mon ami Boulepate, avec autant de prétention : « Mais j'aimerais avoir plus d'avis que ça !!! Donnez tous votre avis ! »; et que non content de ton insulte, tu oses ajouter « écrire simplement le nom d'un antivirus, ça ne prend pas 2 heures ni 10 minutes !! », tu insultes tous les helpers bénévoles de ce forum.


J'espère que l'accès à cet atelier te sera dorénavant plus difficile; malgré tes airs de Sainte nitouche.

À bon entendeur, salut !
0
mathieu
24 avril 2007 à 20:47
bojour afideg
tu dois te tromper de mathieu car g juste demander de m'aider sur un virus + une fenetre intemp . seul alexsun et mok's m'ont repondu et g suivi leur consigne.une fois les problemes resolu je les ai remercier de leur aide et rien de plus.le reste est inconnu pour moi.tu doid faire un amalgame avec un autre mathieu
0
Réponse 4 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
24 avril 2007 à 22:13
Re,
Merci et désolé + excuses si j'ai mal ciblé.

Mais il est un fait que parmi tous ces "mathieu", il y a des parasites qui foutent le bordel.

Pour garder ta "réputation", je ne puis que te suggérer de modifier ton pseudo.


PS:

1°- Et pourquoi, par la même occasion, ne ferais-tu pas ce que moK´s@ t'a demandé au post # 4 ( Navifix/navilog1 ) ?

2°- Il n'avait pas terminé avec ton PC qui contient encore des infections, et notamment ces lignes HJT :
-O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
-O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
-O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w


3°- En attendant, essaie une fois ceci, SVP ( je suis curieux Lol ):
•- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )


4°- Avec ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >

Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.

Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >

•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse

•Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.



à+...
Al.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
mathieu 31
29 avril 2007 à 21:13
salut afideg, excuse moi de ne t'avoir pas repondu plus tot mais j'avais pas eu le temps d'allumer le pc. sinon g fait ce que tu m'as dit et :
voila jle rapport clean:
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 29/04/2007 a 20:40:34,01

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system\smss.exe

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Viewpoint\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


et ensuite celui de panda:

Incident Statut Analyse

Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\MATHIEU\Bureau\clean\pskill.exe
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\MATHIEU\Bureau\clean.zip[clean/pskill.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\MATHIEU\Bureau\nettoyeurs\SmitfraudFix\Process.exe
Virus:Trj/Shutdown.Z Désinfecté C:\Documents and Settings\MATHIEU\Bureau\nettoyeurs\SmitfraudFix\restart.exe
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@xiti[1].txt
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\MATHIEU\Local Settings\Temp\Rar$EX01.062\clean\pskill.exe

voila , merci encore de ton aide
a+
0
Réponse 6 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
29 avril 2007 à 23:04
Salut mathieu,

Ton PC a l'air propre.

1°- Mais avais-tu réalisé l'analyse avec Navifix/navilog1 ?
Si OUI, alors poste son rapport ( sauvegardé à la racine du disque "fixnavi.txt" ).
Si NON, alors fais-le SVP; et poste le rapport.

2°- Peux-tu contrôler ce(s) fichier(s) à l'aide de VirusTotal ?
C:\Documents and Settings\All Users\Documents\setup.exe

Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier,
•- c'est-à-dire :
C:\Documents and Settings\All Users\Documents\setup.exe
•- quand tu as trouvé le fichier setup.exe , tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patiente )
•- que tu postes sur le forum
Merci pour ta collaboration

3°- Télécharge DiagHelp.zip sur ton bureau < http://www.malekal.com/download/DiagHelp.zip >
1Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
2Un nouveau dossier chercher va être créé DiagHelp
3Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
4Une fenêtre va s'ouvrir, choisis l'option 1
5L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
6 Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
Relance-le ensuite, et fais l'option 3. ( + rapport posté )

TUTORIEL UTILISATEUR :< http://www.malekal.com/DiagHelp/DiagHelp.php >


Où en sont tes soucis ? , et poste un dernier log HJT .

Merci.
Bonne nuit
Al.
0
Réponse 7 / 19
mathieu 31
30 avril 2007 à 19:52
salut afideg
voici le rapport pour le 1°:
Search Navipromo version 1.1.5 commencé le 30/04/2007 à 19:34:34,01

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\MATHIEU\Bureau
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\MATHIEU\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/30/07 at 19:34:36.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .........................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/30/07 at 19:39:30 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 30/04/2007 à 19:40:09,31 ***

par contre pour le 2° il n'y a pas de fichier setup.exe sous C:\Documents and Settings\All Users\Documents\setup.exe .
ca s'arrete à all users .
donc je n'ai pas continuer la suite . merci
a+
0
Réponse 8 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
30 avril 2007 à 21:47
Re,

Bonne nouvelle avec NaviFix.

Pour l'analyse avec VirusTotal, ré-essaie après avoir fait ceci:

« Assure toi d'avoir accès aux dossiers/fichiers cachés :
- Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
- Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer [APPLIQUER à TOUS les Dossiers] > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

Merci
Al

0
Réponse 9 / 19
mathieu 31
1 mai 2007 à 10:52
salut afideg ,
g fait ce que tu m'as dit mais ca n change rien; je ne trouve pas le fichier setup.exe sous C:\Documents and Settings\All Users\Documents\setup.exe .
merci a+
0
Réponse 10 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
1 mai 2007 à 11:32
Bonjour mathieu,

1°- Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt : [Paste List of Files/Folders to be moved].
Citation :( liste chemin des fichiers/et ou dossiers à supprimer )

C:\Documents and Settings\All Users\Documents\setup.exe
C:\Documents and Settings\MATHIEU\Local Settings\Temp\setup.exe

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression.
Si c'est le cas accepte par "Yes" , mais redémarre en mode sans échec. ( < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > )


2°- Fais ensuite un ScanOnline chez Bitdefender :
http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)


* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
* Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm
MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >



3°- Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse


4°- Termine par l'analyse DiagHelp demandée au post # 10.


Bonne journée
Al
0
Réponse 11 / 19
mathieu 31
1 mai 2007 à 18:45
re afideg
apres avoir lancer ot move it , il ne veut pas me creer le fichier log.
voici le resultat:
File/Folder C:\Documents and Settings\All Users\Documents\setup.exe not found.
File/Folder C:\Documents and Settings\MATHIEU\Local Settings\Temp\setup.exe not found.

Created on 05/01/2007 18:40:28
est ce que je continue avec le 2°,3°..?
a+
0
Réponse 12 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
1 mai 2007 à 22:46
Re,

Oui, termine toute la procédure.

Al.
0
mathieu 31
4 mai 2007 à 16:24
salut afideg
alors voici les rapports
-bitdefender:
<HTML>
<HEAD>
<TITLE>BitDefender Online Scanner - Rapport d'analyse</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
</HEAD>
<BODY BGCOLOR=#FFFFFF leftmargin="10" marginwidth="0" topmargin="20" marginheight="0" >


<table align="center" border="0" cellpadding="0" cellspacing="0" width="90%">
<tr>
<td width="458">
<p><font face="Arial" color=red><span style="font-size:14pt;"><b>BitDefender Online Scanner</b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan="3" width="912">
<p><font face="Arial"><span style="font-size:11pt;"><B>Rapport d'analyse généré à: Thu, May 03, 2007 - 21:18:53</b></span></font></p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B>Voie d'analyse: </b></span><span style="font-size:10pt;">C:\;D:\;E:\;</span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Statistiques</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Temps</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">01:06:16</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">347723</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Directoires</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6782</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Secteurs de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">3</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">8004</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">26077</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>



<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Résultats</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Virus identifiés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers infectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers suspects</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Désinfectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers effacés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Info sur les moteurs</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Définition virus</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">503847</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Version des moteurs</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">14</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archive des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">38</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Unpack des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">E-mail plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Système plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Paramètres d'analyse</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Première action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Désinfecté</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Seconde Action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Heuristique</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Acceptez les avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Extensions analysées</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">*;</font></p>
</td>
</tr>

<tr>
<td width="57%">
<p><font face="Arial" size="2">Excludez les extensions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2"> </font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse d'emails</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyser paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td colspan=2>
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="252" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Fichier analysé</b></font></p>
</td>
<td width="195" bgcolor="#CCCCCC" align="right">
<p align="left"><b><font size="2" face="Arial"> Statut</font></b></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP17\A0003024.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: DeepScan:Generic.Horst.F982F080</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP17\A0003024.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP17\A0003024.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
</table>
</td>

<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

</table>
<p> </p>

</body>
</html>


ensuite activescan:

Incident Statut Analyse

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\MATHIEU\Bureau\nettoyeurs\SmitfraudFix\Process.exe
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@bluestreak[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@doubleclick[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

et enfin DiagHelp:
C:\WINDOWS\System32/drivers\SYMEVENT.SYS -->04/05/2007 15:10:01
C:\WINDOWS\System32/drivers\SYMEVENT.INF -->04/05/2007 15:10:01
C:\WINDOWS\System32/drivers\SYMEVENT.CAT -->04/05/2007 15:10:01
C:\WINDOWS\System32/drivers\symlcbrd.sys -->04/05/2007 14:57:05
C:\WINDOWS\System32/drivers\fwdrv.err -->19/04/2007 20:59:56
C:\WINDOWS\System32/drivers\symtdi.sys -->28/03/2007 18:51:48
C:\WINDOWS\System32/drivers\symredrv.sys -->28/03/2007 18:51:42

C:\WINDOWS\System32\wpa.dbl -->04/05/2007 16:02:11
C:\WINDOWS\System32\nvapps.xml -->04/05/2007 16:01:58
C:\WINDOWS\System32\S32EVNT1.DLL -->04/05/2007 15:10:01
C:\WINDOWS\System32\Uninstall.ico -->03/05/2007 21:35:54
C:\WINDOWS\System32\pavas.ico -->03/05/2007 21:35:54
C:\WINDOWS\System32\Help.ico -->03/05/2007 21:35:54
C:\WINDOWS\System32\asfiles.txt -->29/04/2007 20:53:53
C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->24/04/2007 20:30:52
C:\WINDOWS\System32\iklog.log -->20/04/2007 20:16:58
C:\WINDOWS\System32\LuResult.txt -->19/04/2007 21:24:12
C:\WINDOWS\System32\CONFIG.NT -->19/04/2007 20:56:35
C:\WINDOWS\System32\tmp.txt -->14/04/2007 16:07:35
C:\WINDOWS\System32\tmp.reg -->14/04/2007 16:07:34
C:\WINDOWS\System32\x_dtrace_log -->14/04/2007 15:59:30
C:\WINDOWS\System32\getfile.dat -->14/04/2007 15:59:28
C:\WINDOWS\System32\CmdLineExt.dll -->11/04/2007 19:40:38
C:\WINDOWS\System32\FNTCACHE.DAT -->04/04/2007 03:08:11
C:\WINDOWS\System32\MRT.exe -->03/04/2007 22:48:52
C:\WINDOWS\System32\hhctrl.ocx -->02/04/2007 07:59:26
C:\WINDOWS\System32\SymNeti.dll -->28/03/2007 18:51:54
C:\WINDOWS\System32\SymRedir.dll -->28/03/2007 18:51:52
C:\WINDOWS\System32\PerfStringBackup.INI -->25/03/2007 10:30:43
C:\WINDOWS\System32\perfh00C.dat -->25/03/2007 10:30:43
C:\WINDOWS\System32\perfh009.dat -->25/03/2007 10:30:43
C:\WINDOWS\System32\perfc00C.dat -->25/03/2007 10:30:43

C:\WINDOWS\WindowsUpdate.log -->04/05/2007 16:01:54
C:\WINDOWS\0.log -->04/05/2007 16:01:54
C:\WINDOWS\wiadebug.log -->04/05/2007 16:01:53
C:\WINDOWS\wiaservc.log -->04/05/2007 16:01:52
C:\WINDOWS\bootstat.dat -->04/05/2007 16:01:28
C:\WINDOWS\SchedLgU.Txt -->04/05/2007 16:00:37
C:\WINDOWS\LUINSTALL.LOG -->04/05/2007 14:58:05
C:\WINDOWS\setupapi.log -->04/05/2007 14:32:37
C:\WINDOWS\wmsetup.log -->01/05/2007 18:48:29
C:\WINDOWS\win.ini -->29/04/2007 20:53:41
C:\WINDOWS\setupact.log -->29/04/2007 20:40:44
C:\WINDOWS\ntbtlog.txt -->29/04/2007 20:38:55
C:\WINDOWS\DirectX.log -->24/04/2007 22:50:52
C:\WINDOWS\SpywareDoctor5Uninstall.log -->20/04/2007 20:17:08
C:\WINDOWS\tsoc.log -->19/04/2007 23:05:29

C:\WINDOWS\Alcmtr.exe |25/01/2007 16:53:36
C:\WINDOWS\alcwzrd.exe |25/01/2007 16:53:36
C:\WINDOWS\bdoscandel.exe |25/05/2006 01:22:06
C:\WINDOWS\IsUninst.exe |25/01/2007 17:14:42
C:\WINDOWS\KHALMNPR.Exe |06/03/2007 19:18:47
C:\WINDOWS\mHotkey.exe |25/01/2007 16:54:29
C:\WINDOWS\MicCal.exe |25/01/2007 16:53:36
C:\WINDOWS\RTHDCPL.exe |25/01/2007 16:53:36
C:\WINDOWS\RTLCPL.exe |25/01/2007 16:53:37
C:\WINDOWS\RtlUpd.exe |25/01/2007 16:53:37
C:\WINDOWS\SkyTel.exe |25/01/2007 16:53:37
C:\WINDOWS\SoundMan.exe |25/01/2007 16:53:37
C:\WINDOWS\twunk_16.exe |23/09/2004 19:11:42
C:\WINDOWS\twunk_32.exe |23/09/2004 19:11:42
C:\WINDOWS\uinst001.exe |15/02/2007 21:39:16
C:\WINDOWS\unvise32qt.exe |25/01/2007 17:14:19
C:\WINDOWS\Unwise.exe |25/01/2007 16:56:49
C:\WINDOWS\VPro500.exe |21/02/2007 20:43:48
C:\WINDOWS\eSellerateEngine.dll |08/10/2004 05:48:48
C:\WINDOWS\HIDMNT.dll |25/01/2007 16:54:29
C:\WINDOWS\PCDLIB32.DLL |21/02/2007 20:44:14
C:\WINDOWS\PIC.dll |25/01/2007 16:54:29
C:\WINDOWS\RtlExUpd.dll |25/01/2007 16:53:36
C:\WINDOWS\twain.dll |23/09/2004 19:11:42
C:\WINDOWS\twain_32.dll |23/09/2004 19:11:42
C:\WINDOWS\system32\append.exe |23/09/2004 19:09:52
C:\WINDOWS\system32\asuninst.exe |29/04/2007 20:51:06
C:\WINDOWS\system32\ChCfg.exe |25/01/2007 16:54:18
C:\WINDOWS\system32\debug.exe |23/09/2004 19:10:02
C:\WINDOWS\system32\dosx.exe |23/09/2004 19:10:08
C:\WINDOWS\system32\dumphive.exe |14/04/2007 16:06:59
C:\WINDOWS\system32\dvdplay.exe |23/08/2001 18:47:34
C:\WINDOWS\system32\edlin.exe |23/09/2004 19:10:24
C:\WINDOWS\system32\exe2bin.exe |23/09/2004 19:10:25
C:\WINDOWS\system32\fastopen.exe |23/09/2004 19:10:27
C:\WINDOWS\system32\HdAShCut.exe |07/01/2005 18:07:16
C:\WINDOWS\system32\java.exe |24/04/2007 20:30:52
C:\WINDOWS\system32\javaw.exe |24/04/2007 20:30:53
C:\WINDOWS\system32\javaws.exe |24/04/2007 20:30:53
C:\WINDOWS\system32\keystone.exe |25/01/2007 16:53:11
C:\WINDOWS\system32\mem.exe |23/09/2004 19:10:45
C:\WINDOWS\system32\mscdexnt.exe |23/09/2004 19:10:50
C:\WINDOWS\system32\nlsfunc.exe |23/09/2004 19:11:07
C:\WINDOWS\system32\nvappbar.exe |25/01/2007 16:53:12
C:\WINDOWS\system32\nvcolor.exe |25/01/2007 16:53:12
C:\WINDOWS\system32\nvdspsch.exe |25/01/2007 16:53:16
C:\WINDOWS\system32\nvsvc32.exe |25/01/2007 16:53:19
C:\WINDOWS\system32\nvudisp.exe |25/01/2007 16:54:34
C:\WINDOWS\system32\NVUNINST.EXE |25/01/2007 16:54:31
C:\WINDOWS\system32\nw16.exe |23/09/2004 19:11:11
C:\WINDOWS\system32\nwiz.exe |25/01/2007 16:53:09
C:\WINDOWS\system32\Process.exe |14/04/2007 16:06:59
C:\WINDOWS\system32\pxhpinst.exe |17/02/2007 14:55:09
C:\WINDOWS\system32\redir.exe |23/09/2004 19:11:22
C:\WINDOWS\system32\setver.exe |23/09/2004 19:11:27
C:\WINDOWS\system32\sfxfe32.exe |05/02/2000 11:07:32
C:\WINDOWS\system32\sfxfe321.exe |05/02/2000 10:54:36
C:\WINDOWS\system32\share.exe |23/09/2004 19:11:28
C:\WINDOWS\system32\SrchSTS.exe |14/04/2007 16:06:59
C:\WINDOWS\system32\swreg.exe |14/04/2007 16:06:59
C:\WINDOWS\system32\swsc.exe |14/04/2007 16:06:59
C:\WINDOWS\system32\swxcacls.exe |14/04/2007 16:06:59
C:\WINDOWS\system32\usrmlnka.exe |23/08/2001 18:47:48
C:\WINDOWS\system32\usrprbda.exe |23/08/2001 18:47:48
C:\WINDOWS\system32\usrshuta.exe |23/08/2001 18:47:48
C:\WINDOWS\system32\vwipxspx.exe |23/09/2004 19:11:46
C:\WINDOWS\system32\34CoInstaller.dll |25/01/2007 16:54:54
C:\WINDOWS\system32\3DViewer.dll |23/09/2004 19:57:35
C:\WINDOWS\system32\acpdfcrdb.dll |15/02/2007 21:41:25
C:\WINDOWS\system32\acpdfcrext.dll |15/02/2007 21:41:25
C:\WINDOWS\system32\adactx.dll |05/02/2000 11:27:18
C:\WINDOWS\system32\adfactry.dll |12/09/2001 09:30:34
C:\WINDOWS\system32\amstream.dll |23/09/2004 19:09:52
C:\WINDOWS\system32\AOLDial.dll |25/01/2007 17:13:42
C:\WINDOWS\system32\atmfd.dll |23/09/2004 19:09:53
C:\WINDOWS\system32\atmlib.dll |23/09/2004 19:09:53
C:\WINDOWS\system32\CmdLineExt.dll |11/04/2007 19:40:38
C:\WINDOWS\system32\CoInst_070119.dll |20/11/2006 10:04:24
C:\WINDOWS\system32\compatUI.dll |23/09/2004 19:10:01
C:\WINDOWS\system32\CRun500.dll |14/12/2005 11:56:36
C:\WINDOWS\system32\dgrpsetu.dll |23/09/2004 19:51:30
C:\WINDOWS\system32\dgsetup.dll |23/09/2004 19:51:30
C:\WINDOWS\system32\dunzip32.dll |08/06/2000 17:00:00
C:\WINDOWS\system32\duzactx.dll |08/05/2002 12:15:44
C:\WINDOWS\system32\dzactx.dll |07/05/2002 23:45:48
C:\WINDOWS\system32\dzip32.dll |08/06/2000 17:00:00
C:\WINDOWS\system32\ElbyCDIO.dll |21/07/2004 23:42:55
C:\WINDOWS\system32\ElbyVCD.dll |20/08/2004 11:36:52
C:\WINDOWS\system32\encdec.dll |23/09/2004 19:10:25
C:\WINDOWS\system32\EqnClass.Dll |23/09/2004 19:51:30
C:\WINDOWS\system32\HdAProp.dll |07/01/2005 18:07:16
C:\WINDOWS\system32\HdAudRes.dll |07/01/2005 18:07:04
C:\WINDOWS\system32\hticons.dll |23/09/2004 19:59:41
C:\WINDOWS\system32\hypertrm.dll |23/09/2004 19:59:16
C:\WINDOWS\system32\iccvid.dll |23/09/2004 19:10:35
C:\WINDOWS\system32\ieencode.dll |23/09/2004 19:10:35
C:\WINDOWS\system32\Inetwh32.dll |25/01/2007 17:13:54
C:\WINDOWS\system32\ir32_32.dll |23/09/2004 19:10:41
C:\WINDOWS\system32\ir41_qc.dll |23/09/2004 19:12:40
C:\WINDOWS\system32\ir41_qcx.dll |23/09/2004 19:12:40
C:\WINDOWS\system32\ir50_32.dll |23/09/2004 19:12:40
C:\WINDOWS\system32\ir50_qc.dll |23/09/2004 19:12:40
C:\WINDOWS\system32\ir50_qcx.dll |23/09/2004 19:12:40
C:\WINDOWS\system32\isrdbg32.dll |23/09/2004 20:07:25
C:\WINDOWS\system32\jgaw400.dll |23/09/2004 19:10:41
C:\WINDOWS\system32\jgdw400.dll |23/09/2004 19:10:41
C:\WINDOWS\system32\jgmd400.dll |23/09/2004 19:10:41
C:\WINDOWS\system32\jgpl400.dll |23/09/2004 19:10:41
C:\WINDOWS\system32\jgsd400.dll |23/09/2004 19:10:41
C:\WINDOWS\system32\jgsh400.dll |23/09/2004 19:10:41
C:\WINDOWS\system32\kemutb.dll |21/03/2007 19:54:12
C:\WINDOWS\system32\KemUtil.dll |21/03/2007 19:54:12
C:\WINDOWS\system32\KemWnd.dll |21/03/2007 19:54:12
C:\WINDOWS\system32\KemXML.dll |21/03/2007 19:54:12
C:\WINDOWS\system32\mdwmdmsp.dll |23/08/2001 18:47:06
C:\WINDOWS\system32\msdmo.dll |23/09/2004 19:10:52
C:\WINDOWS\system32\msdxmlc.dll |23/09/2004 19:12:57
C:\WINDOWS\system32\msencode.dll |23/09/2004 19:10:52
C:\WINDOWS\system32\nv4_disp.dll |25/01/2007 16:53:11
C:\WINDOWS\system32\nvapi.dll |25/01/2007 16:53:11
C:\WINDOWS\system32\nvcod.dll |25/01/2007 16:53:12
C:\WINDOWS\system32\nvcodins.dll |25/01/2007 16:53:12
C:\WINDOWS\system32\nvcpl.dll |25/01/2007 16:53:13
C:\WINDOWS\system32\nvhwvid.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nview.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nvmccs.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nvmccsrs.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nvmctray.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nvnt4cpl.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nvoglnt.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nvrsar.dll |25/01/2007 16:53:16
C:\WINDOWS\system32\nvrscs.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsda.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsde.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsel.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrseng.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrses.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsesm.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsfi.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsfr.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrshe.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrshu.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsit.dll |25/01/2007 16:53:17
C:\WINDOWS\system32\nvrsja.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrsko.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrsnl.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrsno.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrspl.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrspt.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrsptb.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrsru.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrssk.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrssl.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrssv.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrstr.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrszhc.dll |25/01/2007 16:53:18
C:\WINDOWS\system32\nvrszht.dll |25/01/2007 16:53:19
C:\WINDOWS\system32\nvshell.dll |25/01/2007 16:53:19
C:\WINDOWS\system32\nvwddi.dll |25/01/2007 16:53:21
C:\WINDOWS\system32\nvwdmcpl.dll |25/01/2007 16:53:21
C:\WINDOWS\system32\nvwimg.dll |25/01/2007 16:53:21
C:\WINDOWS\system32\nvwrsar.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrscs.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrsda.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrsde.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrsel.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrseng.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrses.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrsesm.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrsfi.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrsfr.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrshe.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrshu.dll |25/01/2007 16:53:22
C:\WINDOWS\system32\nvwrsit.dll |25/01/2007 16:53:23
C:\WINDOWS\system32\nvwrsja.dll |25/01/2007 16:53:23
C:\WINDOWS\system32\nvwrsko.dll |25/01/2007 16:53:23
C:\WINDOWS\system32\nvwrsnl.dll |25/01/2007 16:53:23
C:\WINDOWS\system32\nvwrsno.dll |25/01/2007 16:53:23
C:\WINDOWS\system32\nvwrspl.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrspt.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrsptb.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrsru.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrssk.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrssl.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrssv.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrstr.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrszhc.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\nvwrszht.dll |25/01/2007 16:53:09
C:\WINDOWS\system32\OoneZipPopup.dll |09/10/2003 16:16:46
C:\WINDOWS\system32\OoPdfManagerPopup.dll |15/02/2007 21:37:30
C:\WINDOWS\system32\paqsp.dll |23/08/2001 18:47:16
C:\WINDOWS\system32\PCDLIB32.DLL |09/12/1998 03:53:58
C:\WINDOWS\system32\pdfcreactivex.dll |15/02/2007 21:41:25
C:\WINDOWS\system32\pncrt.dll |25/01/2007 17:14:05
C:\WINDOWS\system32\pndx5016.dll |25/01/2007 17:14:06
C:\WINDOWS\system32\pndx5032.dll |25/01/2007 17:14:06
C:\WINDOWS\system32\psisdecd.dll |05/08/2005 16:38:54
C:\WINDOWS\system32\Px.dll |11/11/2005 11:28:36
C:\WINDOWS\system32\pxdrv.dll |19/10/2005 02:01:00
C:\WINDOWS\system32\PxMas.dll |11/11/2005 11:27:28
C:\WINDOWS\system32\PxSFS.DLL |30/03/2005 14:58:32
C:\WINDOWS\system32\PxWave.dll |11/11/2005 11:26:52
C:\WINDOWS\system32\pxwma.dll |11/11/2005 11:29:40
C:\WINDOWS\system32\qd3d.dll |23/09/2004 19:57:35
C:\WINDOWS\system32\qedwipes.dll |23/09/2004 19:11:21
C:\WINDOWS\system32\qtintf.dll |13/06/2001 06:00:00
C:\WINDOWS\system32\RasX.dll |29/08/2001 01:40:42
C:\WINDOWS\system32\rave.dll |23/09/2004 19:57:35
C:\WINDOWS\system32\rmoc3260.dll |25/01/2007 17:14:06
C:\WINDOWS\system32\roboex32.dll |25/01/2007 17:13:54
C:\WINDOWS\system32\RtlCPAPI.dll |25/01/2007 16:54:18
C:\WINDOWS\system32\S32EVNT1.DLL |04/05/2007 14:55:30
C:\WINDOWS\system32\sbe.dll |23/09/2004 19:11:26
C:\WINDOWS\system32\scriptpw.dll |23/09/2004 19:11:26
C:\WINDOWS\system32\sfxbe321.dll |05/02/2000 14:56:28
C:\WINDOWS\system32\sfxbe322.dll |05/02/2000 11:08:22
C:\WINDOWS\system32\sfxbe323.dll |05/02/2000 14:55:34
C:\WINDOWS\system32\sfxbe324.dll |05/02/2000 11:02:24
C:\WINDOWS\system32\slbcsp.dll |23/09/2004 19:11:30
C:\WINDOWS\system32\slbiop.dll |23/09/2004 19:11:30
C:\WINDOWS\system32\slbrccsp.dll |23/09/2004 19:11:30
C:\WINDOWS\system32\SPC610NC.dll |21/02/2007 20:43:34
C:\WINDOWS\system32\spnike.dll |23/08/2001 18:47:18
C:\WINDOWS\system32\sprio600.dll |23/08/2001 18:47:18
C:\WINDOWS\system32\sprio800.dll |23/08/2001 18:47:18
C:\WINDOWS\system32\spxcoins.dll |23/09/2004 19:51:30
C:\WINDOWS\system32\SymNeti.dll |28/03/2007 18:51:54
C:\WINDOWS\system32\SymRedir.dll |28/03/2007 18:51:52
C:\WINDOWS\system32\tsd32.dll |23/09/2004 19:11:42
C:\WINDOWS\system32\TvRate.dll |25/01/2007 16:54:54
C:\WINDOWS\system32\UMLoader.dll |16/09/2004 02:00:00
C:\WINDOWS\system32\unzip32.dll |25/01/2007 17:13:18
C:\WINDOWS\system32\usrcntra.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrcoina.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrdpa.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrdtea.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrfaxa.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrlbva.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrrtosa.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrsdpia.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrsvpia.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrv42a.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrv80a.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrvoica.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\usrvpa.dll |23/08/2001 18:47:20
C:\WINDOWS\system32\VisualSoftCrypt.dll |08/05/2002 13:13:42
C:\WINDOWS\system32\vuins32.dll |17/06/2005 06:41:14
C:\WINDOWS\system32\VXBLOCK.dll |12/08/2005 02:00:00
C:\WINDOWS\system32\Vxdif.dll |25/09/2006 22:17:00
C:\WINDOWS\system32\win87em.dll |23/09/2004 19:11:50
C:\WINDOWS\system32\ZPORT4AS.dll |03/05/2007 21:36:21

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est D0FB-56AF

Répertoire de C:\WINDOWS\system32

10/08/2004 15:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 221 600 165 888 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est D0FB-56AF

Répertoire de C:\WINDOWS\Downloaded Program Files

03/05/2007 22:07 <REP> .
03/05/2007 22:07 <REP> ..
24/08/2006 08:28 141 424 asinst.dll
22/08/2006 09:06 537 asinst.inf
07/12/2004 17:07 32 bdcore.dll
25/05/2006 01:21 118 784 bdupd.dll
23/09/2004 20:09 65 desktop.ini
25/07/2002 18:13 24 576 dwusplay.dll
25/07/2002 18:13 196 608 dwusplay.exe
25/05/2006 01:21 53 248 ipsupd.dll
25/07/2002 18:05 172 032 isusweb.dll
16/03/2005 12:34 7 407 lang.ini
07/12/2004 17:07 32 libfn.dll
14/03/2005 14:38 126 live.ini
01/06/2006 02:57 1 331 oscan8.inf
01/06/2006 02:54 471 040 oscan8.ocx
31/05/2006 04:15 10 oscan81.ocx_x
14/03/2005 14:58 7 073 scanoptions.tsi
09/11/2006 15:36 5 019 swflash.inf
17 fichier(s) 1 199 344 octets

Total des fichiers listés :
17 fichier(s) 1 199 344 octets
2 Rép(s) 221 600 161 792 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

REGEDIT4

[Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultUserName"="MATHIEU"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,6f,67,6f,6e,75,69,2e,65,78,65,00
"LogonType"=dword:00000001
"Background"="0 0 0"
"DefaultPassword"=""
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000000
"AltDefaultUserName"="MATHIEU"
"AltDefaultDomainName"="MATCEC"
"DefaultDomainName"="MATCEC"

[Winlogon\GPExtensions]

[Winlogon\GPExtensions\{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}]
@="Sans fil"
"ProcessGroupPolicy"="ProcessWIRELESSPolicy"
"DllName"=hex(2):67,70,74,65,78,74,2e,64,6c,6c,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[Winlogon\GPExtensions\{25537BA6-77A8-11D2-9B6C-0000F8080861}]
@="Folder Redirection"
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"DllName"=hex(2):66,64,65,70,6c,6f,79,2e,64,6c,6c,00
"NoMachinePolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"NoGPOListChanges"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"GenerateGroupPolicy"="GenerateGroupPolicy"
"EventSources"=hex(7):28,46,6f,6c,64,65,72,20,52,65,64,69,72,65,63,74,69,6f,6e,\
2c,41,70,70,6c,69,63,61,74,69,6f,6e,29,00,00

[Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@="Quota du disque Microsoft"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=hex(2):64,73,6b,71,75,6f,74,61,2e,64,6c,6c,00
"ProcessGroupPolicy"="ProcessGroupPolicy"

[Winlogon\GPExtensions\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}]
@="Planificateur de paquets QoS"
"ProcessGroupPolicy"="ProcessPSCHEDPolicy"
"DllName"=hex(2):67,70,74,65,78,74,2e,64,6c,6c,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}]
@="Scripts"
"ProcessGroupPolicy"="ProcessScriptsGroupPolicy"
"ProcessGroupPolicyEx"="ProcessScriptsGroupPolicyEx"
"GenerateGroupPolicy"="GenerateScriptsGroupPolicy"
"DllName"=hex(2):67,70,74,65,78,74,2e,64,6c,6c,00
"NoSlowLink"=dword:00000001
"NoGPOListChanges"=dword:00000001
"NotifyLinkTransition"=dword:00000001

[Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
@="Mappage de zones Internet Explorer"
"DllName"=hex(2):69,65,64,6b,63,73,33,32,2e,64,6c,6c,00
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001

[Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=hex(2):73,63,65,63,6c,69,2e,64,6c,6c,00
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:00000001

[Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"=hex(2):69,65,64,6b,63,73,33,32,2e,64,6c,6c,00
@="Personnalisation de Internet Explorer"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001

[Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=hex(2):73,63,65,63,6c,69,2e,64,6c,6c,00
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001

[Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@="Microsoft Offline Files"
"DllName"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,63,73,63,75,69,2e,64,6c,6c,00
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001

[Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@="Installation de logiciel"
"DllName"=hex(2):61,70,70,6d,67,6d,74,73,2e,64,6c,6c,00
"ProcessGroupPolicyEx"="ProcessGroupPolicyObjectsEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"NoBackgroundPolicy"=dword:00000000
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"EventSources"=hex(7):28,41,70,70,6c,69,63,61,74,69,6f,6e,20,4d,61,6e,61,67,65,\
6d,65,6e,74,2c,41,70,70,6c,69,63,61,74,69,6f,6e,29,00,28,4d,73,69,49,6e,73,\
74,61,6c,6c,65,72,2c,41,70,70,6c,69,63,61,74,69,6f,6e,29,00,00

[Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}]
@="Sécurité IP"
"ProcessGroupPolicy"="ProcessIPSECPolicy"
"DllName"=hex(2):67,70,74,65,78,74,2e,64,6c,6c,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000000

[Winlogon\Notify]

[Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[Winlogon\Notify\WgaLogon]
"Logon"="WLEventLogon"
"Logoff"="WLEventLogoff"
"Startup"="WLEventStartup"
"Shutdown"="WLEventShutdown"
"StartScreenSaver"="WLEventStartScreenSaver"
"StopScreenSaver"="WLEventStopScreenSaver"
"Lock"="WLEventLock"
"Unlock"="WLEventUnlock"
"StartShell"="WLEventStartShell"
"PostShell"="WLEventPostShell"
"Disconnect"="WLEventDisconnect"
"Reconnect"="WLEventReconnect"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000000
"SafeMode"=dword:00000001
"MaxWait"=dword:ffffffff
"DllName"=hex(2):57,67,61,4c,6f,67,6f,6e,2e,64,6c,6c,00
"Event"=dword:00000000
"EulaAccepted"=dword:00000001

[Winlogon\Notify\WgaLogon\Settings]
"Data"=hex:01,00,00,00,d0,8c,9d,df,01,15,d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,\
00,00,ed,e0,6c,f8,04,13,60,4b,9e,8a,a5,d7,78,a6,59,b9,04,00,00,00,04,00,00,\
00,53,00,00,00,03,66,00,00,a8,00,00,00,10,00,00,00,28,06,94,fd,d8,2e,7b,e6,\
b6,40,62,98,ef,61,54,97,00,00,00,00,04,80,00,00,a0,00,00,00,10,00,00,00,80,\
1e,78,b7,ff,e1,15,c6,21,bf,1b,8d,2a,af,43,b8,b0,01,00,00,32,bb,53,26,28,ce,\
dc,0c,ea,93,c1,4b,07,2d,e3,45,e6,94,da,4b,da,dc,6d,8b,d9,2e,05,39,09,2f,ba,\
92,18,c9,ef,2b,5b,71,54,a2,f1,9b,eb,0f,cc,f7,9f,b9,12,9d,93,83,20,ae,41,03,\
50,1e,56,91,99,90,66,ef,e2,80,ec,97,9d,6e,8c,16,06,23,63,8e,c8,52,86,e7,6c,\
87,13,71,ec,1c,cb,b2,16,39,ae,cd,25,ce,1c,cb,68,de,38,3b,97,33,4a,39,ac,36,\
b4,9e,57,fa,9c,ad,2c,6a,d6,1f,1a,63,99,8e,5e,3f,5f,ba,f3,90,67,4f,c2,8e,cc,\
e9,8c,d1,8b,6a,fc,e3,5c,29,cc,f0,42,68,94,00,6f,f8,67,b6,bb,70,a6,47,86,42,\
7c,a7,33,c4,c0,99,f2,e0,b7,13,4b,ee,74,f6,0e,ea,ff,94,ac,5d,51,82,a4,9b,ca,\
f5,36,cb,48,be,2c,d3,32,8f,5c,ed,07,81,76,6f,7d,ab,d4,cb,1a,70,86,8e,79,49,\
c2,78,16,01,71,f3,18,ae,75,90,61,6f,65,6e,78,05,9f,74,07,f5,03,59,71,a9,37,\
5d,69,05,2f,a6,49,19,10,2c,5a,f2,2b,4c,e0,4b,fe,6e,fb,15,52,ae,dc,28,d1,4e,\
75,82,fb,df,f1,50,b8,09,b5,6e,3f,56,46,aa,b3,34,3d,eb,2a,f3,53,ef,b8,5f,e4,\
82,20,b2,5e,ae,ce,38,26,e5,1d,99,57,1d,53,4d,ad,01,1a,0a,cc,ea,d0,43,59,42,\
4d,8d,bf,85,7d,4b,23,87,a6,d6,e8,87,ba,e4,7f,a6,f5,08,46,5b,9a,f4,55,d3,73,\
4e,32,ea,6e,8e,bc,72,41,7e,20,36,4c,b3,cb,a0,44,4d,ac,08,31,b7,aa,10,87,8d,\
fe,18,c0,b7,21,db,5e,e4,8a,e8,7a,72,d9,86,b1,33,1c,82,0c,e6,ca,54,43,a8,aa,\
7a,ed,9a,12,e1,fe,20,cb,38,48,3a,e8,5f,a8,aa,38,24,48,a1,da,ef,b9,4a,b1,72,\
6e,d7,3b,62,5b,ef,91,6a,23,90,f4,31,c4,bf,7c,a5,db,08,4c,d7,76,b9,ba,dd,f7,\
41,14,00,00,00,e3,63,34,89,2d,d3,6b,b6,fd,da,75,9d,e9,3f,9c,53,e2,7d,c2,c0

[Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[Winlogon\SpecialAccounts]

[Winlogon\SpecialAccounts\UserList]
"HelpAssistant"=dword:00000000
"TsInternetUser"=dword:00000000
"SQLAgentCmdExec"=dword:00000000
"NetShowServices"=dword:00000000
"IWAM_"=dword:00010000
"IUSR_"=dword:00010000
"VUSR_"=dword:00010000
"ASPNET"=dword:00000000



catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-04 16:12:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Microsoft\Messenger\matetcec@hotmail.fr\SharingMetadata\aureliem313@hotmail.fr\DFSR\Staging\CS{50AD43F4-DF7E-166A-F74A-925D998980B2}\01\116-{50AD43F4-DF7E-166A-F74A-925D998980B2}-v1-{A9B7518A-873B-49F4-AE75-F6002AF991FE}-v116
0
Réponse 13 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
4 mai 2007 à 22:03
Bonsoir mathieu,

1°- Pour ceci "DeepScan:Generic.Horst.F982F080", désactive, puis réactive la restauration système, comme ceci :

Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

Arrêter puis redémarrer le PC

Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]



2°- Pour ceci: "Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe"

•- Peux-tu me dire ce que tu as fait sur ton PC le 14 avril 2007 ?

•- Ensuite, supprime ces outils de désinfection inutiles :
-Navifix/navilog1.zip et ses composants
-clean.zip et ses composants
-OTMoveIt
-SmitfraudFix et ses composants

•- Ensuite, relance une analyse par PANDA comme spécifié au post # 8 § 4°. Merci.



3°- Termine enfin par un scan en ligne avec< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr > COMME INDIQUÉ CI-DESSOUS.
( Le scan ne marche que sous Internet Explorer ).

Sous < https://www.informatruc.com >, on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner : « Exécuter l'analyse en ligne » .
Le scan ne marche que sous Internet Explorer.

Le scan va commencer.
Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >
Clic sur « J'accepte » ( ou I agree )
On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )
Tu attends que la mise à jour se termine ( patiente ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur Poste de travail pour faire un scan complet

Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le


AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3

NOTES :
- En cas de problème vérifier ces quelques points < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809 >
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 >

Ça peut durer plus d’1 heure.
Patiente

Merci et à demain.
Al.
0
Réponse 14 / 19
mathieu 31
6 mai 2007 à 16:43
salut afideg,
je ne sais plus ce que g fait le 14 avril ca remonte à loin!
voici les rapports:
-active scan
Incident Statut Analyse

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@atdmt[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@doubleclick[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@tradedoubler[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\MATHIEU\Cookies\mathieu@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-3826858900-955991110-2166487658-1005\Dc1\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, May 06, 2007 4:33:09 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 6/05/2007
Enregistrements dans la base antivirus Kaspersky : 313828
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 57437
Nombre de virus trouvés: 1
Nombre d'objets infectés: 1 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:01:46

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\HPPAppActivity.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\HPPHomePageActivity.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2007-05-06_Log.ALUSchedulerSvc.LiveUpdate L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_3506132655_983498752_14995 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_3506132655_986841088_14922 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE1.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE2.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{AD6CBF18-EB80-41BD-85E9-56E6E3F4FFD8}.TmpSBE L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{FE791ABF-8EA0-44D0-BE8B-DD9A02AB54F4}.TmpSBE L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\DRM\drmstore.hds L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Application Data\Symantec\PendingAlertsQueue.log L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Identities\{43A12959-B81D-4924-93B9-84F5FBD412F4}\Microsoft\Outlook Express\Boîte d'envoi.dbx L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Identities\{43A12959-B81D-4924-93B9-84F5FBD412F4}\Microsoft\Outlook Express\Boîte de réception.dbx L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Identities\{43A12959-B81D-4924-93B9-84F5FBD412F4}\Microsoft\Outlook Express\Folders.dbx L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Identities\{43A12959-B81D-4924-93B9-84F5FBD412F4}\Microsoft\Outlook Express\Offline.dbx L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\Local Settings\Temporary Internet Files\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\MATHIEU\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EPERSIST.DAT L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDALRT.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDCON.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDDBG.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDFW.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDIDS.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDSYS.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBConfig.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBDebug.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBDetect.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBNotify.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBRefr.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetCfg.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetDev.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetLoc.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetUsr.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSMNot.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSMReg.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSMRSt.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBStHash.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBStMSI.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBValid.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\SPPolicy.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\SPStart.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\SPStop.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVApp.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVError.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVVirus.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\Savrt\0146NAV~.TMP L'objet est verrouillé ignoré
C:\RECYCLER\S-1-5-21-3826858900-955991110-2166487658-1005\Dc1\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP1\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{36921074-A0B1-4974-8350-B1E440115A3B}.crmlog L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{FA358749-3B48-491C-8BBB-2669CB21E09B}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_874.dat L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

merci de ton aide
a+
0
Réponse 15 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
6 mai 2007 à 18:08
Bonjour mathieu,

1°- Pour ceci:
-C:\RECYCLER\S-1-5-21-3826858900-955991110-2166487658-1005\Dc1\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
-Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-3826858900-955991110-2166487658-1005\Dc1\Process.exe

RECYCLER est ta poubelle de Windows qui se trouve en C:\ ; vide-la !



2°- Si tu a bien supprimé SmitfraudFix et ses composants, comme je le demandais, alors ceci est anormal :

-Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Il faut donc vérifier ce fichier Process.exe avec VirusTotal !

Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html >

Procédure à suivre:

•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du ( ou des ) fichier(s)
( que Virustotal va analyser , à ta demande;
•- suivre le chemin, c'est-à-dire : en passant par "Poste de Travail" > C:\WINDOWS\system32\Process.exe
•- quand tu as trouvé le fichier Process.exe ( mis en gras, ici volontairement pour l'exemple ) ,
tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patient )
( il faut parfois attendre son tour - si tu reçois un message contenant "queued" )
•- que tu postes sur le forum, SVP


Merci
Al.
0
Réponse 16 / 19
mathiru 31
8 mai 2007 à 07:45
salut afideg,
voila le rapport:
Complete scanning result of "Process.exe", received in VirusTotal at 05.06.2007, 19:18:59 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.04.2007 Win-AppCare/PrcViewer.53248
AntiVir 7.4.0.15 05.06.2007 no virus found
Authentium 4.93.8 05.04.2007 no virus found
Avast 4.7.997.0 05.05.2007 no virus found
AVG 7.5.0.467 05.06.2007 no virus found
BitDefender 7.2 05.06.2007 no virus found
CAT-QuickHeal 9.00 05.05.2007 no virus found
ClamAV devel-20070416 05.06.2007 no virus found
DrWeb 4.33 05.06.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3615 05.05.2007 no virus found
Ewido 4.0 05.06.2007 no virus found
FileAdvisor 1 05.06.2007 No threat detected
Fortinet 2.85.0.0 05.06.2007 Misc/PrcViewer
F-Prot 4.3.2.48 05.04.2007 no virus found
F-Secure 6.70.13030.0 05.06.2007 no virus found
Ikarus T3.1.1.7 05.06.2007 no virus found
Kaspersky 4.0.2.24 05.06.2007 no virus found
McAfee 5024 05.04.2007 potentially unwanted program PrcViewer
Microsoft 1.2503 05.06.2007 no virus found
NOD32v2 2245 05.06.2007 Win32/PrcView
Norman 5.80.02 05.04.2007 no virus found
Panda 9.0.0.4 05.06.2007 Application/Processor
Prevx1 V2 05.06.2007 no virus found
Sophos 4.17.0 05.05.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.06.2007 no virus found
TheHacker 6.1.6.104 04.15.2007 Aplicacion/Processor.20
VBA32 3.11.4 05.04.2007 no virus found
VirusBuster 4.3.7:9 05.06.2007 no virus found
Webwasher-Gateway 6.0.1 05.06.2007 no virus found

Aditional Information
File size: 53248 bytes
MD5: 7397f6ee4a9601a123b645c0cd428017
SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=7397f6ee4a9601a123b645c0cd428017
0
Réponse 17 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mai 2007 à 08:37
Bonjour mathieu,

Ton PC a l'air désinfecté.
Un ultime contrôle, SVP :

Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >

Si tu as besoin d'aide AVG-antispyware regarde ces tutoriels:
--> < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >
-- > < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >

Tu enregistres le fichier dans Bureau.
A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau.

Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours.

Tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.0.47.exe".

Une page s’ouvre ; tu clic sur « Exécuter »
Tu suis les instructions.
Tu notes au passage que l’installation va se faire en :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
Tu peux choisir le raccourci dans le menu « Démarrage »

Si on te demande de redémarrer ton ordinateur, tu le fais. (C'est toujours mieux, lors de toute installation).

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.

Sur la page "état", tu choisis inactif pour le bouclier résident ( clic sur « Modifier l’état » ).
Sur la page "mise à jour", tu coches les cases au § « mise à jour automatique »
et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »).
Tu redémarres l'ordinateur si nécessaire.

-Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
--  clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
-< http://bp3.blogger.com/... >
-Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".

Tu choisis ensuite l'onglet analyser, "analyse complète du système".

A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous".
Tu suis les instructions dans la fenêtre qui s'ouvre.

Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

Tu PEUX le garder, il est gratuit après sa période d'essai; mais il garde toutes ses fonctionnalités, SAUF la mise à jour ( que tu feras manuellement à chaque utilisation = 1 fois par mois ) et le bouclier résident ( qui lance le programme au démarrage, mais donc ralenti le PC ).


Bonne journée
Al.
0
mathieu 31
10 mai 2007 à 23:03
Salut afideg,
voila le rapport:
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:00:48 10/05/2007

+ Résultat de l'analyse:



C:\RECYCLER\S-1-5-21-3826858900-955991110-2166487658-1005\Dc7.exe -> Dropper.Small : Nettoyé.
C:\Documents and Settings\MATHIEU\Cookies\mathieu@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\MATHIEU\Cookies\mathieu@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\MATHIEU\Cookies\mathieu@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\MATHIEU\Local Settings\Temp\udp.exe -> Trojan.Userinfo : Nettoyé.


Fin du rapport

merci
tchao
0
Réponse 18 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
11 mai 2007 à 00:16
Re,

OK
Bon vent.
Al.
0
Réponse 19 / 19
mathieu 31
14 mai 2007 à 10:55
merci pour ton aide encore
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses