Trojan.Win32.Patche.m
Fermé
serduchko
Messages postés
19
Date d'inscription
mardi 27 mars 2007
Statut
Membre
Dernière intervention
28 avril 2007
-
24 avril 2007 à 11:45
watzop - 25 août 2009 à 14:00
watzop - 25 août 2009 à 14:00
A voir également:
- Trojan.Win32.Patche.m
- Trojan.win32.hosts2.gen - Forum Virus
- Mem trojan.win32.sepeh.gen - Forum Virus
- Trojan.win32.bazon.a - Forum Virus
- Trojan.win32.generic ✓ - Forum Virus
- Trojan.Win32.Generic ✓ - Forum Virus
25 réponses
Salut Serduchko
Après avoir redemarré ton pc et depuis son remplacement, est-ce que tu as eu des alertes concernant winlogon.exe ?
Tu te souviens du nom du fichier détecté comme rootkit par ton AV ?
Ou mieux, est-ce que tu as conservé le rapport de ton antivirus ?
Il y a un fichier qui n'a pas pu être analysé par kaspersky, et à vu de nez on dirait bien un virus dont l'extention a été renommé pour le rendre inactif:
C:\Documents and Settings\Nadia\LKUTGEXZ.0XE
Fais le analyser ici pour voir et poste le rapport.
http://www.virustotal.com/en/virustotalx.html
Poste aussi un rapport Catch me, en effet j'avais oublié de t'en parler ainsi qu'un rapport Deckart's system scanner.
A plus tard !!
Après avoir redemarré ton pc et depuis son remplacement, est-ce que tu as eu des alertes concernant winlogon.exe ?
Tu te souviens du nom du fichier détecté comme rootkit par ton AV ?
Ou mieux, est-ce que tu as conservé le rapport de ton antivirus ?
Il y a un fichier qui n'a pas pu être analysé par kaspersky, et à vu de nez on dirait bien un virus dont l'extention a été renommé pour le rendre inactif:
C:\Documents and Settings\Nadia\LKUTGEXZ.0XE
Fais le analyser ici pour voir et poste le rapport.
http://www.virustotal.com/en/virustotalx.html
Poste aussi un rapport Catch me, en effet j'avais oublié de t'en parler ainsi qu'un rapport Deckart's system scanner.
A plus tard !!
serduchko
Messages postés
19
Date d'inscription
mardi 27 mars 2007
Statut
Membre
Dernière intervention
28 avril 2007
27 avril 2007 à 16:20
27 avril 2007 à 16:20
Bonjour mOe,
le virus ne s'est plus manifesté depuis les manips d'hier soir, je crois qu'on l'a éliminé:-)
Concernant le rootkit qui avait été détecté je ne me rappelle plus de son nom et je n'ai pas sauvegardé le rapport de l'antivirus, désolé...j'espère qu'il n'est pas caché je ne sais où. En tout cas je n'ai rien trouvé que ce soit avec mon antivirus ou encore Panda antirootkit.
J'ai analysé le fichier que tu trouvais louche et il semble ok puisque la réponse du site est "0 bytes size received / Se ha recibido un archivo vacio". Dois-je le supprimer???
Voici maintenant le rapport Catcme.exe:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Et maintenant l'analyse DSS:
Deckard's System Scanner v20070423.42
Run by Nadia on 2007-04-27 at 16:23:05
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- HijackThis (run as Nadia.exe) -----------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:23, on 07-04-27
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nadia\Bureau\logiciels de sécurité\DSS\dss.exe
C:\DOCUME~1\Nadia\Bureau\LOGICI~1\HIJACK~1\Nadia.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
-- Files created between 2007-03-27 and 2007-04-27 -----------------------------
2007-04-26 14:50:51 0 d-------- C:\WINDOWS\System32\Kaspersky Lab
2007-04-24 10:37:20 0 d-------- C:\Documents and Settings\Nadia\Pavark
2007-04-22 18:17:43 0 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-04-22 17:30:13 0 d-------- C:\VundoFix Backups
2007-04-22 16:47:40 0 d--h----- C:\WINDOWS\PIF
2007-04-03 10:40:58 0 d-------- C:\Program Files\Spyware Terminator
2007-03-28 11:39:33 0 d-------- C:\Documents and Settings\LocalService\Application Data\Spyware Terminator
2007-03-27 15:55:38 6656 --a------ C:\WINDOWS\System32\drivers\RKPavProc.sys <Not Verified; Panda Software International; RKPavProc Driver; 1, 0, 0, 4; 1, 0, 0, 4>
-- Find3M Report ---------------------------------------------------------------
2007-04-24 10:20:34 447222 --a------ C:\WINDOWS\System32\perfh00C.dat
2007-04-24 10:20:34 64922 --a------ C:\WINDOWS\System32\perfc00C.dat
2007-03-15 22:38:47 6114 --a------ C:\WINDOWS\System32\EPPICResdb0000
2007-03-15 22:38:47 117 --a------ C:\WINDOWS\System32\EPPICResdb
-- Registry Dump ---------------------------------------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Program Files\\Ahead\\InCD\\InCD.exe"
"iTunesHelper"="C:\\Program Files\\iTunes\\iTunesHelper.exe"
"EPSON Stylus DX3800 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 \"EPSON Stylus DX3800 Series\" /O6 \"USB002\" /M \"Stylus DX3800\""
"F-Secure Manager"="\"C:\\Program Files\\Securitoo\\Av_Fw\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\Program Files\\Securitoo\\Av_Fw\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"F-Secure Startup Wizard"="\"C:\\Program Files\\Securitoo\\Av_Fw\\FSGUI\\FSSW.EXE\" /reboot"
"News Service"="\"C:\\Program Files\\Securitoo\\Av_Fw\\FSGUI\\ispnews.exe\""
"FSASWREG"="\"C:\\Program Files\\Securitoo\\Av_Fw\\Anti-Spyware\\fsaswreg.exe\""
"QuickTime Task"="\"C:\\WINDOWS\\System32\\qttask.exe\" -atboottime"
"SpywareTerminator"="\"C:\\PROGRA~1\\SPYWAR~1\\SpywareTerminatorShield.exe\""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0
-- End of Deckard's System Scanner: finished at 2007-04-27 at 16:24:20 ---------
Voilà je pense que c'est tout...enfin je pense, le problème est résolu je pense:-)
je voulais savoir s'il fallait que je supprime le fichier serduchko (editeur de registre)???
encore merci pour tout et à plus tard;-)
le virus ne s'est plus manifesté depuis les manips d'hier soir, je crois qu'on l'a éliminé:-)
Concernant le rootkit qui avait été détecté je ne me rappelle plus de son nom et je n'ai pas sauvegardé le rapport de l'antivirus, désolé...j'espère qu'il n'est pas caché je ne sais où. En tout cas je n'ai rien trouvé que ce soit avec mon antivirus ou encore Panda antirootkit.
J'ai analysé le fichier que tu trouvais louche et il semble ok puisque la réponse du site est "0 bytes size received / Se ha recibido un archivo vacio". Dois-je le supprimer???
Voici maintenant le rapport Catcme.exe:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Et maintenant l'analyse DSS:
Deckard's System Scanner v20070423.42
Run by Nadia on 2007-04-27 at 16:23:05
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- HijackThis (run as Nadia.exe) -----------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:23, on 07-04-27
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nadia\Bureau\logiciels de sécurité\DSS\dss.exe
C:\DOCUME~1\Nadia\Bureau\LOGICI~1\HIJACK~1\Nadia.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
-- Files created between 2007-03-27 and 2007-04-27 -----------------------------
2007-04-26 14:50:51 0 d-------- C:\WINDOWS\System32\Kaspersky Lab
2007-04-24 10:37:20 0 d-------- C:\Documents and Settings\Nadia\Pavark
2007-04-22 18:17:43 0 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-04-22 17:30:13 0 d-------- C:\VundoFix Backups
2007-04-22 16:47:40 0 d--h----- C:\WINDOWS\PIF
2007-04-03 10:40:58 0 d-------- C:\Program Files\Spyware Terminator
2007-03-28 11:39:33 0 d-------- C:\Documents and Settings\LocalService\Application Data\Spyware Terminator
2007-03-27 15:55:38 6656 --a------ C:\WINDOWS\System32\drivers\RKPavProc.sys <Not Verified; Panda Software International; RKPavProc Driver; 1, 0, 0, 4; 1, 0, 0, 4>
-- Find3M Report ---------------------------------------------------------------
2007-04-24 10:20:34 447222 --a------ C:\WINDOWS\System32\perfh00C.dat
2007-04-24 10:20:34 64922 --a------ C:\WINDOWS\System32\perfc00C.dat
2007-03-15 22:38:47 6114 --a------ C:\WINDOWS\System32\EPPICResdb0000
2007-03-15 22:38:47 117 --a------ C:\WINDOWS\System32\EPPICResdb
-- Registry Dump ---------------------------------------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Program Files\\Ahead\\InCD\\InCD.exe"
"iTunesHelper"="C:\\Program Files\\iTunes\\iTunesHelper.exe"
"EPSON Stylus DX3800 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 \"EPSON Stylus DX3800 Series\" /O6 \"USB002\" /M \"Stylus DX3800\""
"F-Secure Manager"="\"C:\\Program Files\\Securitoo\\Av_Fw\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\Program Files\\Securitoo\\Av_Fw\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"F-Secure Startup Wizard"="\"C:\\Program Files\\Securitoo\\Av_Fw\\FSGUI\\FSSW.EXE\" /reboot"
"News Service"="\"C:\\Program Files\\Securitoo\\Av_Fw\\FSGUI\\ispnews.exe\""
"FSASWREG"="\"C:\\Program Files\\Securitoo\\Av_Fw\\Anti-Spyware\\fsaswreg.exe\""
"QuickTime Task"="\"C:\\WINDOWS\\System32\\qttask.exe\" -atboottime"
"SpywareTerminator"="\"C:\\PROGRA~1\\SPYWAR~1\\SpywareTerminatorShield.exe\""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0
-- End of Deckard's System Scanner: finished at 2007-04-27 at 16:24:20 ---------
Voilà je pense que c'est tout...enfin je pense, le problème est résolu je pense:-)
je voulais savoir s'il fallait que je supprime le fichier serduchko (editeur de registre)???
encore merci pour tout et à plus tard;-)
Bonjour serduchko,
Très bonne nouvelle en effet !
Tant pis pour le rapport AV, mais je ne crois pas que le root se cache encore dans ton pc, sinon winlogon aurait problement été réinfecté.
En tout cas tous les rapports que tu m'as fournis sont clean, et pour ma part je pense que ton problème est résolu.
Pour le fichier C:\Documents and Settings\Nadia\LKUTGEXZ.0XE, perso je le supprimerais car un fichier qui a été vidé de son contenu (0 bytes) puis renommé (0XE par un av ou antispyware) est très surement un résidus d'infection.
Oui, tu peux supprimer tous les utilitaires que je t'ai fait télécharger bien sur, y compris le fichier serduchko.reg.
Supprime aussi les dossiers crées par ces utilitaires:
C:\Deckard
C:\SDFix
Ah oui, j'allais oublier... Kaspersky mentionnait des points de restauration système infectés.
Il faut pour les supprimer que tu désactives puis réactives la restauration système, ce serait dommage si un jour tu as besoin de restaurer le système, de réinfecter à nouveau le pc :-)
Clic droit sur poste de travail > propriétés > onglet restauration système
puis coche "désactiver la restauration système".
Ensuite réactives-là en décochant la case "désactiver la restauration système".
Le fait de désactiver et réactiver la restauration système détruit tous les points de restauration existant, mais ensuite tu peux créer toi même un nouveau point de restauration:
Demarrer >> executer tape msconfig
Valide.
Clic sur "Exécuter la restauration systeme"
Puis clic sur "créer un point de restauration".
et laisse toi guider.
Je te demanderais juste une dernière chose à faire :
Demarrer >> executer tape cmd
Dans la fenêtre noire qui va s'ouvrir copie et colle ceci:
Puis valides avec la touche Entrée.
Referme la fenêtre noire et copie et colle le contenu du fichier C:\nad.txt
A plus tard !
PS:
Tu avais désinstallé Spyware Terminator ou tu as décidé de le garder ?
Très bonne nouvelle en effet !
Tant pis pour le rapport AV, mais je ne crois pas que le root se cache encore dans ton pc, sinon winlogon aurait problement été réinfecté.
En tout cas tous les rapports que tu m'as fournis sont clean, et pour ma part je pense que ton problème est résolu.
Pour le fichier C:\Documents and Settings\Nadia\LKUTGEXZ.0XE, perso je le supprimerais car un fichier qui a été vidé de son contenu (0 bytes) puis renommé (0XE par un av ou antispyware) est très surement un résidus d'infection.
Oui, tu peux supprimer tous les utilitaires que je t'ai fait télécharger bien sur, y compris le fichier serduchko.reg.
Supprime aussi les dossiers crées par ces utilitaires:
C:\Deckard
C:\SDFix
Ah oui, j'allais oublier... Kaspersky mentionnait des points de restauration système infectés.
Il faut pour les supprimer que tu désactives puis réactives la restauration système, ce serait dommage si un jour tu as besoin de restaurer le système, de réinfecter à nouveau le pc :-)
Clic droit sur poste de travail > propriétés > onglet restauration système
puis coche "désactiver la restauration système".
Ensuite réactives-là en décochant la case "désactiver la restauration système".
Le fait de désactiver et réactiver la restauration système détruit tous les points de restauration existant, mais ensuite tu peux créer toi même un nouveau point de restauration:
Demarrer >> executer tape msconfig
Valide.
Clic sur "Exécuter la restauration systeme"
Puis clic sur "créer un point de restauration".
et laisse toi guider.
Je te demanderais juste une dernière chose à faire :
Demarrer >> executer tape cmd
Dans la fenêtre noire qui va s'ouvrir copie et colle ceci:
dir /a /s \winlogon.exe>>nad.txt
Puis valides avec la touche Entrée.
Referme la fenêtre noire et copie et colle le contenu du fichier C:\nad.txt
A plus tard !
PS:
Tu avais désinstallé Spyware Terminator ou tu as décidé de le garder ?
serduchko
Messages postés
19
Date d'inscription
mardi 27 mars 2007
Statut
Membre
Dernière intervention
28 avril 2007
28 avril 2007 à 11:15
28 avril 2007 à 11:15
Bonjour mOe,
j'ai fait la dernière chose que tu m'a demandé (Demarrer >> executer tape cmd) et voici le rapport:
Le volume dans le lecteur C s'appelle POUET
Le num‚ro de s‚rie du volume est 6CE9-1AFC
R‚pertoire de C:\WINDOWS\system32
02-08-30 14:00 520,704 winlogon.exe
1 fichier(s) 520,704 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
02-08-30 14:00 520,704 winlogon.exe
1 fichier(s) 520,704 octets
Total des fichiers list‚sÿ:
2 fichier(s) 1,041,408 octets
0 R‚p(s) 4,622,770,176 octets libres
je ne sais pas si c'est complet, car je l'ai fait en deux fois et la première fois le rapport ne comportait que les deux premières lignes.
Concernant spyware terminator je vais peut être le réinstallé car il semblait assez efficace à moins vraiment que tu me le déconseille.
Je vais donc marquer le problème comme résolu en espérant qu'ils servent à d'autres personnes.
Je te remercie vivement de toute ton aide :-) et peut-être à bientôt sur le forum!!!
bye
j'ai fait la dernière chose que tu m'a demandé (Demarrer >> executer tape cmd) et voici le rapport:
Le volume dans le lecteur C s'appelle POUET
Le num‚ro de s‚rie du volume est 6CE9-1AFC
R‚pertoire de C:\WINDOWS\system32
02-08-30 14:00 520,704 winlogon.exe
1 fichier(s) 520,704 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
02-08-30 14:00 520,704 winlogon.exe
1 fichier(s) 520,704 octets
Total des fichiers list‚sÿ:
2 fichier(s) 1,041,408 octets
0 R‚p(s) 4,622,770,176 octets libres
je ne sais pas si c'est complet, car je l'ai fait en deux fois et la première fois le rapport ne comportait que les deux premières lignes.
Concernant spyware terminator je vais peut être le réinstallé car il semblait assez efficace à moins vraiment que tu me le déconseille.
Je vais donc marquer le problème comme résolu en espérant qu'ils servent à d'autres personnes.
Je te remercie vivement de toute ton aide :-) et peut-être à bientôt sur le forum!!!
bye
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour serduchko,
C'est parfait :-)
Je voulais juste vérifier grace à cette commande que le fichier winlogon.exe situé dans C:\WINDOWS\system32 correspondait bien en taille et en date de modification à celui dont tu t'es servi dans C:\WINDOWS\system32\dllcache et c'est bien le cas.
Depuis le remplacement le fichier n'a pas été modifié et je crois bien aussi que ton problème est résolu !
Non, non tu peux garder Spyware Terminator, je te l'avais fait désinstaller car il pouvait géner pour le remplacement de winlogon, mais si ce prog t'interesse réinstalles-le.
De rien c'était avec plaisir.
Bon surf :-)
Olivier
C'est parfait :-)
Je voulais juste vérifier grace à cette commande que le fichier winlogon.exe situé dans C:\WINDOWS\system32 correspondait bien en taille et en date de modification à celui dont tu t'es servi dans C:\WINDOWS\system32\dllcache et c'est bien le cas.
Depuis le remplacement le fichier n'a pas été modifié et je crois bien aussi que ton problème est résolu !
Non, non tu peux garder Spyware Terminator, je te l'avais fait désinstaller car il pouvait géner pour le remplacement de winlogon, mais si ce prog t'interesse réinstalles-le.
De rien c'était avec plaisir.
Bon surf :-)
Olivier
