Sujet Précédent Sujet Suivant

Virus, ordi bloqué

Résolu/Fermé
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 - 5 oct. 2008 à 11:11
 genie-rita - 17 janv. 2009 à 15:09
Bonjour à tous,


Mon ordi est donc infecté par un virus mais je ne sais pas lequel. Voici l'historique, ce matin je démarre mon ordi et je me retrouve avec un tas de fenêres ouvertes sans que j'ai rien demandé : des icones se trouvent également sur mon bureau sans que je les ai installées. Un logiciel s'ouvre régulièrement : smart antivirus 2009.
De plus, je ne puis plus accéder à mon disque dur, je ne peux pas non plus accéder à mon panneau de configuration ou au reste.

J'ai un antivirus Avast qui a fait un scan puis qui m'a recommandé de faire un scan au démarrage, ce que j'ai fait. Résultat : 105 fichiers infectés, mais même après le scan, les fenêtres s'ouvrent encore. Avast continue de me trouver des virus comme ceux-ci : win32: pure Morph, Win32 : trojan-gen,virus qu'il est censé avoir déjà viré lors du scan au démarrage.

J'ai toutefois accès au net.

J'ai fait capture d'écran afin de vous montrer ce qui se passe :

https://imageshack.com/

https://imageshack.com/

J'espère vous avoir fournit les informations nécessaires.
Merci pour votre aide.

Cécile
A voir également:

92 réponses

Précédent
Réponse 41 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 12:58
bon j'ai cherché le premier dossier manuellement, en fait il s'arrête à :

c:\documents and settings\all users\Application data\rsnqrwdm

Le dossier rsnqrwdm est vide....

Sinon voici pour les 5 autres :



C:\WINNT\system32\kaqkkgk.exe


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.06 -
AntiVir 7.8.1.34 2008.10.06 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.05 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.06 -
CAT-QuickHeal 9.50 2008.10.06 -
ClamAV 0.93.1 2008.10.06 -
DrWeb 4.44.0.09170 2008.10.06 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6131 2008.10.06 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.06 -
Fortinet 3.113.0.0 2008.10.06 -
GData 19 2008.10.06 -
Ikarus T3.1.1.34.0 2008.10.06 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.06 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.06 Trojan:Win32/Skintrim.gen!D
NOD32 3496 2008.10.06 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.06 -
Rising 20.65.02.00 2008.10.06 -
SecureWeb-Gateway 6.7.6 2008.10.06 -
Sophos 4.34.0 2008.10.06 -
Sunbelt 3.1.1704.1 2008.10.05 -
Symantec 10 2008.10.06 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.06 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.6.1408 2008.10.06 -
VirusBuster 4.5.11.0 2008.10.05 -
Information additionnelle
File size: 275968 bytes
MD5...: 26e5df53a5db4ac47a9a9b7551e00145
SHA1..: 16b4f5363bbbaa839a58dbbb9f492cadf89cf0d2
SHA256: 7bc2b0e45bd0995aa879db1aae89deaba049da791744c7b5d908880a483a4760
SHA512: 843a57f6cd0971a04f6fe04116bfba84563a329a771fc531b6165963c951f2b6
d19d7b1e9f8686f635a523b5a1d10891d14d9c8ccc1a5a299aa4dc648792273a
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4014c0
timedatestamp.....: 0x477806e0 (Sun Dec 30 21:00:16 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x830 0xa00 5.77 fdc5395b93a21f059e8a1ad0ac35ad5d
.rdata 0x2000 0xf3e 0x1000 5.12 5abc8f877085f65077f18f1c54601476
.data 0x3000 0x417c9 0x41800 7.35 f1243fd7a0d6fd0be0c2941e545ff130

( 10 imports )
> KERNEL32.dll: DebugBreak, LCMapStringA, GetBinaryTypeW, GetDriveTypeW, LocalReAlloc, CancelIo, GetFileType, GetCommandLineA, VirtualAlloc, ExitProcess
> USER32.dll: IsChild, SendMessageA, CheckRadioButton, GrayStringA, TrackPopupMenu, RemoveMenu, CreateMenu, GetDCEx, SetWindowContextHelpId, SetSysColors, GetMessageExtraInfo, GetMenuItemInfoW, UpdateWindow, CheckMenuRadioItem, ExcludeUpdateRgn, CreateCursor, IsZoomed, HiliteMenuItem, TranslateAcceleratorA, SetParent, EnumDisplayDevicesA, PostMessageW, IsCharUpperW, DialogBoxParamW, ReleaseCapture, MenuItemFromPoint, UnhookWindowsHook, LoadIconA, SetClipboardData, GetScrollInfo, GetClipboardOwner, ValidateRgn, ToUnicode, SetDlgItemTextA, GetWindowWord, SendDlgItemMessageA, GetKeyboardLayoutNameW, ReplyMessage, IsDlgButtonChecked, SetForegroundWindow, GetTitleBarInfo, GetUserObjectInformationW, FrameRect, ShowWindowAsync, UnregisterClassA, GetKeyboardState, CreateAcceleratorTableA, CreateDialogParamW
> GDI32.dll: ExtTextOutW, CreateICA, CreateFontIndirectW, RestoreDC, GetTextCharacterExtra, CreateFontIndirectA, GetCharacterPlacementA, CreateDIBPatternBrushPt, EndPath, StartDocW, PathToRegion, SetPixelFormat, GetMetaFileBitsEx, SetWindowExtEx, SetTextCharacterExtra, PlayEnhMetaFileRecord, SelectObject, LPtoDP
> comdlg32.dll: ChooseFontA, CommDlgExtendedError, ChooseColorW, GetFileTitleW
> ADVAPI32.dll: SetNamedSecurityInfoA, GetSidSubAuthority, OpenProcessToken, IsTextUnicode, LookupAccountNameA, RegSaveKeyW, ChangeServiceConfigW, CopySid, RegDeleteValueA, GetSidIdentifierAuthority, SetServiceObjectSecurity, NotifyChangeEventLog, CryptDestroyKey, GetSidLengthRequired, UnlockServiceDatabase, GetServiceDisplayNameA, CryptVerifySignatureW, CryptImportKey, SetSecurityDescriptorSacl
> SHELL32.dll: SHGetDesktopFolder, DragAcceptFiles, SHAddToRecentDocs
> ole32.dll: OleRegGetMiscStatus, OleFlushClipboard, CoLockObjectExternal, OleRegGetUserType, OleCreateLink, CoRegisterClassObject, WriteClassStg, OleLockRunning
> OLEAUT32.dll: -, -, -
> COMCTL32.dll: ImageList_Remove
> SHLWAPI.dll: StrChrW, StrRChrW, PathFindExtensionW, SHQueryValueExW, PathIsPrefixW, PathFindExtensionA, StrCmpNIW, PathCommonPrefixW, wnsprintfW, UrlIsW, StrStrIW, PathIsDirectoryW, PathRemoveFileSpecA, wnsprintfA, StrToIntW, StrFormatByteSizeA, PathRemoveBackslashA, SHRegGetUSValueW, StrCatBuffW, SHDeleteKeyA

( 0 exports )


******************************************************

C:\WINNT\system32\uaiqq.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.06 -
AntiVir 7.8.1.34 2008.10.06 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.05 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.06 -
CAT-QuickHeal 9.50 2008.10.06 -
ClamAV 0.93.1 2008.10.06 -
DrWeb 4.44.0.09170 2008.10.06 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6131 2008.10.06 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.06 -
Fortinet 3.113.0.0 2008.10.06 -
GData 19 2008.10.06 -
Ikarus T3.1.1.34.0 2008.10.06 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.06 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.06 Trojan:Win32/Skintrim.gen!D
NOD32 3496 2008.10.06 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.06 -
Rising 20.65.02.00 2008.10.06 -
SecureWeb-Gateway 6.7.6 2008.10.06 -
Sophos 4.34.0 2008.10.06 -
Sunbelt 3.1.1704.1 2008.10.05 -
Symantec 10 2008.10.06 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.06 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.6.1408 2008.10.06 -
VirusBuster 4.5.11.0 2008.10.05 -
Information additionnelle
File size: 319488 bytes
MD5...: 51bf98c47e73b33ae1e330b6a135ef2e
SHA1..: ccc3f85dd4b75ade28a4f55b3a2ed0b22d78172b
SHA256: 4b43438d5e24dd7d6dfa3d571f59147896584afc4963d07bb3e03ccc7fb075fd
SHA512: 5108b898e057a54b37108dcd2b5c214aef4bdf70696d2055e3b7fe20ebde8086
282035083e8b26f1662d3b5328691315d1be42eb526d8cc3a8902fcb6151e4d8
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4015b0
timedatestamp.....: 0x41b0f761 (Fri Dec 03 23:31:45 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a0 0x1000 4.24 5f12d42953b63a28f411cf15aa51bcb2
.rdata 0x2000 0xbf8 0x1000 4.27 cb9f1c728e04a254b487af7751d25522
.data 0x3000 0x4abff 0x4b000 7.31 bb137cb1d32faaaf550341c557393c19

( 9 imports )
> KERNEL32.dll: GetCommConfig, FindResourceExA, GetCPInfo, SetupComm, UnmapViewOfFile, GetDiskFreeSpaceW, VirtualQuery, GetBinaryTypeA, SetNamedPipeHandleState, AreFileApisANSI, GetFileType, _hread, WriteFile, LocalSize, GetComputerNameW, FindFirstFileA, CreateWaitableTimerA, GetModuleHandleA, FileTimeToLocalFileTime, SetLastError, OutputDebugStringW, EnumCalendarInfoA, GetCommandLineA, lstrlenA, VirtualAlloc, CompareStringA, ExitProcess
> USER32.dll: GetWindowTextW, GetTabbedTextExtentA, LoadBitmapW, mouse_event, SetWindowRgn, CharLowerBuffA, SetClassLongA, GetClassInfoA, MapVirtualKeyA, LoadAcceleratorsA, DrawEdge, RegisterClipboardFormatW, ValidateRect, OemToCharBuffA, ShowScrollBar, GetWindowInfo
> GDI32.dll: DPtoLP, SetTextJustification, GetCurrentObject, GetOutlineTextMetricsA, CreateDIBSection
> comdlg32.dll: ChooseFontA, PageSetupDlgW, ChooseColorA, PrintDlgA
> ADVAPI32.dll: RegisterEventSourceA, CryptDeriveKey, CryptSetKeyParam, CryptExportKey, ImpersonateLoggedOnUser, CryptSignHashW, ChangeServiceConfigA, RegCreateKeyA, RegDeleteValueA, LookupAccountSidA, GetTokenInformation, CryptDestroyHash, RegQueryInfoKeyW, IsValidSid, SetSecurityDescriptorSacl, CryptCreateHash, RevertToSelf, RegQueryValueExA, CryptDecrypt, GetServiceKeyNameW, GetSecurityDescriptorDacl, GetSidLengthRequired, RegConnectRegistryW
> SHELL32.dll: SHAddToRecentDocs, DragQueryPoint
> ole32.dll: StgOpenStorage, CoCreateInstance, OleQueryLinkFromData, RevokeDragDrop, CoGetTreatAsClass, CoGetObject, OleBuildVersion, CoLockObjectExternal
> OLEAUT32.dll: -, -, -, -, -, -
> SHLWAPI.dll: PathQuoteSpacesA, PathStripPathW, StrCmpNIW, StrStrA, SHGetValueW, PathGetArgsW, PathIsURLW, PathUnquoteSpacesW, PathIsNetworkPathW, SHRegGetBoolUSValueA, StrChrW, PathCommonPrefixW, SHGetValueA, SHRegGetBoolUSValueW, PathRemoveFileSpecA

( 0 exports )

**************************************************

C:\WINNT\Enjoy 6e Uninstaller.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.06 -
AntiVir 7.8.1.34 2008.10.06 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.05 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.06 -
CAT-QuickHeal 9.50 2008.10.06 -
ClamAV 0.93.1 2008.10.06 -
DrWeb 4.44.0.09170 2008.10.06 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6131 2008.10.06 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.06 -
Fortinet 3.113.0.0 2008.10.06 -
GData 19 2008.10.06 -
Ikarus T3.1.1.34.0 2008.10.06 -
K7AntiVirus 7.10.484 2008.10.04 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.10.06 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.06 -
NOD32 3496 2008.10.06 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.06 -
Rising 20.65.02.00 2008.10.06 -
SecureWeb-Gateway 6.7.6 2008.10.06 -
Sophos 4.34.0 2008.10.06 -
Sunbelt 3.1.1704.1 2008.10.05 -
Symantec 10 2008.10.06 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.06 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.6.1408 2008.10.06 -
VirusBuster 4.5.11.0 2008.10.05 -
Information additionnelle
File size: 414051 bytes
MD5...: e97c4a6513403daed0c8eb92102f5faf
SHA1..: 0dd189686129dd669a3a5d41ac27952a9c7a33c2
SHA256: 364c2fc44e4b8448abd369751e56254d92548843d6b93714a48128844d5518d6
SHA512: 210e5466fae5cfe53b9e7a970aedd2b7d0984808e7754b78f02e726798679382
f418774187495cb20474e44764095173efdc8327d2e2e5d83b507fc12805ee7c
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x407977
timedatestamp.....: 0x4315bd41 (Wed Aug 31 14:22:57 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9aa0 0x9c00 6.53 0e3a81c26b20fad3f71d743d584050d4
.rdata 0xb000 0x1576 0x1600 5.36 2260a3cbf9b32a53b135b9f4b1131020
.data 0xd000 0x109c 0xa00 3.91 29f3e8d0b2e20e7707949d959cded5c8
.rsrc 0xf000 0xc58 0xe00 3.78 233d81992659b058b459311c634cb8d5

( 9 imports )
> KERNEL32.dll: RemoveDirectoryA, MoveFileA, GetTempFileNameA, CopyFileA, CompareFileTime, GetFileTime, SetFileAttributesA, GetLastError, CreateMutexA, GetFileSize, GetModuleFileNameA, GetCommandLineA, GetVersionExA, GetCurrentProcess, LCMapStringA, GetOEMCP, GetACP, GetCPInfo, GetStringTypeW, GetStringTypeA, MoveFileExA, VirtualAlloc, RtlUnwind, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapFree, HeapSize, TerminateProcess, HeapAlloc, HeapReAlloc, ExitProcess, GetVersion, GetStartupInfoA, GetWindowsDirectoryA, GetShortPathNameA, GetCurrentDirectoryA, SetCurrentDirectoryA, SetErrorMode, GetProcAddress, FreeLibrary, CreateProcessA, Sleep, GetExitCodeProcess, WideCharToMultiByte, MultiByteToWideChar, GetTempPathA, GetTickCount, GetFileAttributesA, LCMapStringW, WriteFile, CreateFileA, SetFilePointer, CloseHandle, ReadFile, GlobalReAlloc, GlobalUnlock, GlobalFree, GlobalAlloc, GlobalLock, DeleteFileA, lstrcpyA, lstrlenA, lstrcatA, LoadLibraryA, GetModuleHandleA, MulDiv
> USER32.dll: SendDlgItemMessageA, GetParent, GetDlgItemTextW, SetDlgItemTextW, GetDlgItemTextA, SetDlgItemTextA, EndDialog, DialogBoxParamA, EnableWindow, IsDialogMessageA, MsgWaitForMultipleObjects, PostQuitMessage, DispatchMessageA, PeekMessageA, GetWindowTextW, MessageBoxW, MessageBoxA, GetDlgItem, SetWindowTextW, SetWindowTextA, GetSystemMetrics, RegisterClassExW, CreateWindowExW, TranslateMessage, DialogBoxParamW, ReleaseDC, GetDC, GetDesktopWindow, LoadCursorA, ExitWindowsEx, GetMessageA, GetWindowRect, SystemParametersInfoA, ShowWindow, RegisterClassExA, SetTimer, DefWindowProcW, DefWindowProcA, InvalidateRect, IsWindowVisible, PtInRect, SetCursor, GetCursorPos, LoadIconA, LoadImageA, GetSysColor, GetFocus, GetWindowLongA, GetWindowTextA, DrawTextA, DrawFocusRect, CreateWindowExA, SetWindowLongA, SendMessageA, SetFocus, WaitMessage
> GDI32.dll: CreateFontA, CreateDIBitmap, CreatePalette, CreateCompatibleDC, CreateCompatibleBitmap, StretchDIBits, GetStockObject, CreateSolidBrush, BitBlt, SetBkMode, SetTextColor, GetTextExtentPoint32A, SetTextAlign, DeleteObject, GetDeviceCaps, SetBkColor, SelectObject, DeleteDC
> ADVAPI32.dll: RegQueryValueExA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegSetValueExA, RegDeleteKeyA, RegDeleteValueA, RegEnumValueA, RegEnumKeyExA, RegOpenKeyExA, RegCloseKey
> SHELL32.dll: ShellExecuteA
> ole32.dll: CoUninitialize, OleInitialize, OleUninitialize, CoInitialize
> OLEAUT32.dll: -, -
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> COMCTL32.dll: -

( 0 exports )

****************************************************

C:\WINNT\system32\wiisaqc.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.06 -
AntiVir 7.8.1.34 2008.10.06 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.05 Win32:ScarMorph
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.06 Adware.NaviPromo.Gen.1
CAT-QuickHeal 9.50 2008.10.06 -
ClamAV 0.93.1 2008.10.06 -
DrWeb 4.44.0.09170 2008.10.06 Trojan.Packed.562
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6131 2008.10.06 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.06 -
Fortinet 3.113.0.0 2008.10.06 W32/Skintrim!tr
GData 19 2008.10.06 Adware.NaviPromo.Gen.1
Ikarus T3.1.1.34.0 2008.10.06 Trojan.Win32.Skintrim.B
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.06 -
McAfee 5398 2008.10.04 Skintrim.gen
Microsoft 1.4005 2008.10.06 Trojan:Win32/Skintrim.B
NOD32 3496 2008.10.06 a variant of Win32/Kryptik.K
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.06 Malicious Software
Rising 20.65.02.00 2008.10.06 -
SecureWeb-Gateway 6.7.6 2008.10.06 Trojan.LooksLike.Dropper
Sophos 4.34.0 2008.10.06 -
Sunbelt 3.1.1704.1 2008.10.05 -
Symantec 10 2008.10.06 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.06 -
VBA32 3.12.8.6 2008.10.05 Trojan.Packed.562
ViRobot 2008.10.6.1408 2008.10.06 -
VirusBuster 4.5.11.0 2008.10.05 -
Information additionnelle
File size: 389120 bytes
MD5...: 2c50a927eb4e4e48131727f66f448031
SHA1..: 99193116b72c0ade3b389dbbbb750cf97ec8506b
SHA256: 9ecbf18b8fa24c3c3a1b31469f3bab24237234bf9402344784abe0d9c3000566
SHA512: 9ce8e8936a640d640986d8d7f9e36fc27f51ff50c52a1c8b11e3618e06fb7d09
87006b191680c3029a3e771b6b055806a6883db8bda28a0fe4588d8e27fb6c16
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x40055bda (Wed Jan 14 15:10:18 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x52672 0x53000 6.95 dc403eef47c517a41ff69efa6bb6e574
.rdata 0x54000 0x128e 0x2000 3.78 37e9d37e25375ad033ad728d2ffc7acb
.data 0x56000 0x837c 0x9000 3.99 56a017d317b1e9d41403d35bf81fa9f4

( 7 imports )
> KERNEL32.dll: GetCommModemStatus, EnumSystemCodePagesA, SetEnvironmentVariableW, OpenFile, PulseEvent, FindNextChangeNotification, GetSystemTimeAdjustment, EnumDateFormatsW, VirtualLock, ReadConsoleA, GetCompressedFileSizeW, LCMapStringA, OutputDebugStringA, PrepareTape, CreatePipe, GetPrivateProfileStringA, CreateMutexW, _lclose, SetFileTime, GetACP, GetTapeStatus, GetEnvironmentStringsW, CreateDirectoryExA, RemoveDirectoryA, LocalReAlloc, CreateDirectoryW, GetSystemTime, SizeofResource, ReadDirectoryChangesW, SetSystemTime, EnumCalendarInfoW, DeleteCriticalSection, MultiByteToWideChar, VirtualFree, SetHandleCount, FindFirstFileA, SetConsoleActiveScreenBuffer, GetDriveTypeA, GlobalFindAtomA, IsProcessorFeaturePresent, FlushConsoleInputBuffer, EnumResourceNamesW, GlobalAddAtomA, GetTimeZoneInformation, PeekNamedPipe, CancelIo, GetProfileStringA, GetBinaryTypeA, EnumResourceLanguagesW, GetSystemDirectoryW, GlobalAddAtomW, SetConsoleTitleA, CreateFileW, GetDateFormatA, CreateDirectoryA, FormatMessageA, AreFileApisANSI, GetOverlappedResult, FindFirstFileW, GetFullPathNameA, GetOEMCP, lstrcmpiW, GetVolumeInformationW, SetMailslotInfo, VirtualProtect, AllocConsole, OutputDebugStringW, SetLastError, GetLargestConsoleWindowSize, FreeLibraryAndExitThread, GetStartupInfoA, DeleteFiber, GetConsoleMode, CompareStringA, CreateEventA, VirtualUnlock, FormatMessageW, IsBadWritePtr, CreateProcessA, GetWindowsDirectoryA, IsBadReadPtr, WriteProcessMemory, GetCommandLineA, GetCurrentDirectoryW, EnumResourceNamesA, SuspendThread, GetProfileIntA, SetCommMask, GlobalFlags, CreateIoCompletionPort, GetSystemDefaultLangID, SetThreadLocale, FillConsoleOutputCharacterA, LocalAlloc, GetDiskFreeSpaceW, RemoveDirectoryW, GetVersionExA, lstrlenA, LoadLibraryExW, ExitProcess
> USER32.dll: MessageBoxA, MapVirtualKeyW, SetWindowPos, CheckRadioButton, GetShellWindow, PostThreadMessageW, CopyImage, SetScrollInfo, RegisterDeviceNotificationA, GetMessageTime, SetUserObjectInformationW, DestroyAcceleratorTable, CharLowerA, EnumDisplaySettingsW, DrawStateW, keybd_event, IsIconic, RegisterClipboardFormatW, GetActiveWindow, DispatchMessageW, LoadKeyboardLayoutW, EnumWindowStationsW, ModifyMenuW, SetDlgItemTextA, EnumDisplayDevicesW, DialogBoxIndirectParamW, TileWindows, CharPrevW, GetTopWindow, DestroyWindow, SetActiveWindow, IsCharAlphaNumericA, EndDialog, IsRectEmpty, InvalidateRgn, GetKeyboardLayout, GetMenuItemRect
> GDI32.dll: GetTextMetricsW, SetBitmapDimensionEx, EndPage, Polygon, OffsetViewportOrgEx, GetTextAlign, CreatePalette
> ADVAPI32.dll: CreateProcessAsUserA, CreateProcessAsUserW, RegDeleteKeyA, ObjectCloseAuditAlarmW
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_DragLeave, ImageList_GetIcon, ImageList_Duplicate
> SHLWAPI.dll: SHDeleteKeyA, PathFindExtensionW, StrCatW, StrFormatByteSizeA, StrDupW, UrlCreateFromPathW, StrStrIA, PathAppendA, PathIsUNCA, StrCatBuffA, StrStrA, PathGetCharTypeA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=030514AF000D4BD7F0ED05CFC95BFE0031981BCC

*********************************************

C:\Program Files\folder.htt

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.06 -
AntiVir 7.8.1.34 2008.10.06 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.05 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.06 -
CAT-QuickHeal 9.50 2008.10.06 -
ClamAV 0.93.1 2008.10.06 -
DrWeb 4.44.0.09170 2008.10.06 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6131 2008.10.06 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.06 -
Fortinet 3.113.0.0 2008.10.06 -
GData 19 2008.10.06 -
Ikarus T3.1.1.34.0 2008.10.06 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.06 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.06 -
NOD32 3496 2008.10.06 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.06 -
Rising 20.65.02.00 2008.10.06 -
SecureWeb-Gateway 6.7.6 2008.10.06 -
Sophos 4.34.0 2008.10.06 -
Sunbelt 3.1.1704.1 2008.10.05 -
Symantec 10 2008.10.06 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.06 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.6.1408 2008.10.06 -
VirusBuster 4.5.11.0 2008.10.05 -
Information additionnelle
File size: 22115 bytes
MD5...: cbc32087cfe260f7be4cee08acaec5b6
SHA1..: c6cdd5d4f897b00887a48956b0dfcfe4c54dfbcf
SHA256: b08d0250b2fc33824782155204f22db82e207711aaf13f3957760665b0daa8ff
SHA512: d59b2c655f74e5300d3e01d4804385df6bc7d46202aa7ee39acc785c36865fc7
53e260464cf44ead1e18a61b326da144d78a2277440d0c842b58b961324bd362
PEiD..: -
TrID..: File type identification
HyperText Markup Language (100.0%)
PEInfo: -
0
Réponse 42 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 13:40
Bien ...


on va réutiliser Navilog1 :

1- Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte en gras ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

awckg
cyqqa
soumwkg
uouie
wiisaqc
uaiqq
kaqkkgk


Puis cliques sur l'onglet "fichier" et choisis "enregistrer sous ..." :
-->Appelles-le exactement ainsi : Navscript.txt
-->Enregistre-le dans ce dossier -> C:\program files\Navilog1 ( C'est impératif ! )


2-!! Déconnectes toi , désactives tes défenses ( Anti-virus ,anti-spyware ,...) et fermes toutes applications en cours le temps de la manipe !!


Double-cliques sur le raccourci Navilog1 présent sur ton bureau.
Laisses toi guider et patientes.
Le Fix va automatiquement démarrer sans passer par le menu principal.

Le fix va t'informer qu'il va alors redémarrer ton PC .
Appuies sur une touche comme demandé.

(Important : si ton Pc ne redémarre pas automatiquement, fais-le toi-même)

Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patientes jusqu'au message :

*** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.
--> Sauvegardes le rapport de manière à le retrouver !
Ton bureau va réapparaitre.

Postes ce rapport pour analyse ...
0
Réponse 43 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 14:06
voici le rapport :

Clean Navipromo version 3.6.6 commencé le 2008-10-06 à 13:58:15.01

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS


Mode suppression de fichiers Navipromo par Script

awckg
cyqqa
soumwkg
uouie
wiisaqc
uaiqq
kaqkkgk

Nettoyage exécuté au redémarrage de l'ordinateur

*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINNT\system32" *


awckg.exe trouvé !
Copie awckg.exe réalisée avec succès !
awckg.exe supprimé !

cyqqa.exe trouvé !
Copie cyqqa.exe réalisée avec succès !
cyqqa.exe supprimé !

soumwkg.exe trouvé !
Copie soumwkg.exe réalisée avec succès !
soumwkg.exe supprimé !

uouie.exe trouvé !
Copie uouie.exe réalisée avec succès !
uouie.exe supprimé !

wiisaqc.exe trouvé !
Copie wiisaqc.exe réalisée avec succès !
wiisaqc.exe supprimé !

uaiqq.exe trouvé !
Copie uaiqq.exe réalisée avec succès !
uaiqq.exe supprimé !

kaqkkgk.exe trouvé !
Copie kaqkkgk.exe réalisée avec succès !
kaqkkgk.exe supprimé !

* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\GX2601\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINNT" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\FABIAN~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\GX2601\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINNT\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINNT\system32" *


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


* Dans "C:\DOCUME~1\FABIAN~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\GX2601\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 2008-10-06 à 14:02:05.32 ***
0
Réponse 44 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 14:31
Impec ...

on continue :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Driver::
Windows Tune service
WINDOWS_TUNE_SERVICE

File::
C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe
C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINNT\jestertb.dll
C:\WINNT\system32\fipeluwm.ini
C:\WINNT\system32\Microsoft\backup.ftp
C:\WINNT\system32\Microsoft\backup.tftp
C:\WINNT\system32\MSINET.oca
C:\WINNT\system32\ulmegydr.ini
C:\WINNT\Web\default.htt
C:\WINNT\Enjoy 6e Uninstaller.exe
C:\WINNT\tune.exe

Folder::
C:\Program Files\ngksggc
C:\Documents and Settings\All Users\Application Data\rsnqrwdm


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 15:01
Je me demandais si le fait que certains programmes redémarrent automatiquement quand l'ordi redémarre ne gêne pas Combo ? Parceque dans ma barre des taches j'ai des trucs qui démarrent tous seuls.

Voici les rapports :

Combo :

ComboFix 08-10-05.05 - Administrateur 2008-10-06 14:38:34.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.727 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe
C:\WINNT\Enjoy 6e Uninstaller.exe
C:\WINNT\jestertb.dll
C:\WINNT\system32\fipeluwm.ini
C:\WINNT\system32\Microsoft\backup.ftp
C:\WINNT\system32\Microsoft\backup.tftp
C:\WINNT\system32\MSINET.oca
C:\WINNT\system32\ulmegydr.ini
C:\WINNT\tune.exe
C:\WINNT\Web\default.htt
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\rsnqrwdm
C:\Program Files\ngksggc
C:\WINNT\Enjoy 6e Uninstaller.exe
.
---- Previous Run -------
.
C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINNT\jestertb.dll
C:\WINNT\system32\fipeluwm.ini
C:\WINNT\system32\Microsoft\backup.ftp
C:\WINNT\system32\Microsoft\backup.tftp
C:\WINNT\system32\MSINET.oca
C:\WINNT\system32\ulmegydr.ini
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDOWS_TUNE_SERVICE
-------\Service_IAS
-------\Service_Windows Tune service


((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-10-05 21:53 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd
2008-10-05 21:13 . 2008-10-05 21:42 <REP> d-------- C:\ToolBar SD
2008-10-05 20:15 . 2008-10-06 14:02 <REP> d-------- C:\Program Files\Navilog1
2008-10-05 19:27 . 2008-10-05 20:06 <REP> d-------- C:\Lop SD
2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32\tmp.reg
2008-10-05 11:19 . 2008-10-05 11:19 <REP> d-------- C:\Program Files\Trend Micro
2008-09-27 08:11 . 2008-09-27 08:11 <REP> d-------- C:\Program Files\IZArc
2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll
2008-09-16 20:25 . 2008-09-17 10:13 <REP> d-------- C:\Program Files\eMule
2008-09-11 09:57 . 2008-09-11 09:57 <REP> d-------- C:\Program Files\uTorrent
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Fichiers communs\Thraex Software
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Enjoy 6e

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner
2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE
2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES
2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete
2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire
2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-08-27 20:05 --------- d-----w C:\Program Files\Opera
2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip
2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini
2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt
2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys
.



Hitjack :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58, on 2008-10-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
0
Réponse 46 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 15:11
Re,

cela n'a pas marcher entièrement ... -_-

dis moi , tu désactives bien Avast et le Pare-feu de Windows avant de lancer Combofix ? ...
0
Réponse 47 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 15:14
oui oui j'avais tout désactivé... je veux bien réessayer...

Pour avast je suis obligé de le lancer puis de mettre la protection résidente sur désactivé. Je n'ai plus l'icône d'avast dans ma barre de taches.

Quand à mon pare-feu depuis l'autre jour il est toujours désactivé.

Ce qu'il y a c'est que quand l'ordi redémarre ces applications redémarrent automatiquement...
0
Réponse 48 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 15:22
Pour l'icone d'avast , on coorigera cela après ...

on va passer Combofix en mode sans échec :

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ensuite :
double-cliques sur l'icône "Combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Si le PC n'as pas redémarrer de lui-même, fais le manuellement ( = retour mode normal )

Postes le nouveau rapport Combofix pour analyse ...
0
Réponse 49 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 15:24
j'vais tenté mais hier le mode sans échec ne marchait pas, enfin ça plantait dès que je touchait le clavier...
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 15:26
essayes car il y a eu du ménage de fais depuis la dernière fois ( avec MBAM ;) )

0
Réponse 50 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 15:51
Alors j'ai pas eu besoin d'utiliser le clavier, il a démarré son scan tout seul.
Par contre le fichier c'est le même... Est ce qu'il écrit par dessus les "anciens" rapports ? Parcequ'aucune fenêtre avec un nouveau rapport ne s'est ouvert.

Pendant le scan, enfin vers la fin y'avait ça d'écrit :

Compte rendu en cours de préparation
ne lancez aucun programme...
[ /color ] ùtait inattendu.

Et puis j'ai un fichier sur mon bureau, enfin pas un fichier un truc qui se nomme : thumbs.db

Voilà. Je te copie colle le rapport :

ComboFix 08-10-05.05 - Administrateur 2008-10-06 15:29:07.6 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.818 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\Administrateur\Application Data\Adobe\crc.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\All Users\Application Data\rsnqrwdm
C:\Program Files\ngksggc
C:\WINNT\Enjoy 6e Uninstaller.exe
C:\WINNT\jestertb.dll
C:\WINNT\system32\fipeluwm.ini
C:\WINNT\system32\Microsoft\backup.ftp
C:\WINNT\system32\Microsoft\backup.tftp
C:\WINNT\system32\MSINET.oca
C:\WINNT\system32\ulmegydr.ini
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDOWS_TUNE_SERVICE
-------\Service_IAS
-------\Service_Windows Tune service


((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-10-05 22:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 22:36 . 2008-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-10-05 22:36 . 2008-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-10-05 21:53 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 21:15 . 2008-10-05 21:40 2,212 --a------ C:\Documents and Settings\Orph.egd
2008-10-05 21:13 . 2008-10-05 21:42 <REP> d-------- C:\ToolBar SD
2008-10-05 20:15 . 2008-10-06 14:02 <REP> d-------- C:\Program Files\Navilog1
2008-10-05 19:27 . 2008-10-05 20:06 <REP> d-------- C:\Lop SD
2008-10-05 11:56 . 2008-10-05 18:00 2,204 --a------ C:\WINNT\system32\tmp.reg
2008-10-05 11:19 . 2008-10-05 11:19 <REP> d-------- C:\Program Files\Trend Micro
2008-09-27 08:11 . 2008-09-27 08:11 <REP> d-------- C:\Program Files\IZArc
2008-09-18 14:22 . 2008-09-18 14:22 203,776 --a------ C:\WINNT\system32\clrviddc.dll
2008-09-16 20:25 . 2008-09-17 10:13 <REP> d-------- C:\Program Files\eMule
2008-09-11 09:57 . 2008-09-11 09:57 <REP> d-------- C:\Program Files\uTorrent
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Fichiers communs\Thraex Software
2008-09-10 17:31 . 2008-09-10 17:31 <REP> d-------- C:\Program Files\Enjoy 6e

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 17:18 --------- d-----w C:\Program Files\CCleaner
2008-10-03 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-02 16:44 --------- d-----w C:\Program Files\SimPE
2008-09-27 06:11 --------- d-----w C:\Program Files\EA GAMES
2008-09-11 07:49 --------- d-----w C:\Program Files\Incomplete
2008-09-11 07:48 --------- d-----w C:\Program Files\LimeWire
2008-09-02 19:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-08-27 20:05 --------- d-----w C:\Program Files\Opera
2008-08-03 14:11 21,473,624 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2008_08_03_06_06_09_full.dmp.zip
2004-07-20 09:54 271 --sh--w C:\Program Files\desktop.ini
2004-07-20 09:54 22,115 -c-h--w C:\Program Files\folder.htt
2007-11-17 06:46 848 --sha-w C:\WINNT\system32\KGyGaAvL.sys
.
0
Réponse 51 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 16:27
Bon ... je pense que c'est l'infection Rustock qui fout sa me**de ...


1- refais ceci dans un premier temps :

! Déconnetes toi et fermes toutes tes applications en cours !

Relances Lop S&D ,

--->choisis l'option 1 (rechecrhe) et valides ...

->ne touche à rien pendant le scan .

Une fois terminé, le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse ...


une fois ce rapport posté , enchaine avec la suite:


2- Pour palier au rapport inciomplet de combifix :

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et fermes toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 3 months

* cliques ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)


-> laisses faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )




0
Réponse 52 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 16:59
voici le premier rapport :

--------------------\\ Lop S&D 4.2.4-5 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.00GHz )
BIOS : Default System BIOS
USER : Administrateur ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1229 [VPS 081005-0] 4.8.1229 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 38 Go Free : 9 Go
D:\ (CD or DVD)
E:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go

"C:\Lop SD" ( MAJ : 02-10-2008|23:42 )
Option : [1] ( 2008-10-06|16:51 )

--------------------\\ Listing des dossiers dans APPLIC~1

[2008-10-06|07:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe
[2007-11-28|20:22] C:\DOCUME~1\ADMINI~1\APPLIC~1\AdobeUM
[2007-06-19|12:53] C:\DOCUME~1\ADMINI~1\APPLIC~1\Apple Computer
[2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Azureus
[2008-09-02|21:18] C:\DOCUME~1\ADMINI~1\APPLIC~1\dvdcss
[2007-09-12|14:03] C:\DOCUME~1\ADMINI~1\APPLIC~1\Groove Games
[2008-03-27|20:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\gtk-2.0
[2007-02-02|16:42] C:\DOCUME~1\ADMINI~1\APPLIC~1\Help
[2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[2007-06-19|09:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\LG Electronics
[2008-06-16|20:32] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
[2008-10-05|22:36] C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes
[2008-06-18|14:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microgaming
[2008-06-15|14:48] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[2008-08-27|12:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla
[2007-07-06|18:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\Notepad++
[2007-02-05|21:12] C:\DOCUME~1\ADMINI~1\APPLIC~1\Nvu
[2007-02-13|17:24] C:\DOCUME~1\ADMINI~1\APPLIC~1\Odyssee_Sib
[2007-02-06|09:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\OpenOffice.org2
[2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Opera
[2008-07-07|21:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\PacificPoker4
[2008-03-11|21:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Real
[2007-02-23|23:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\SecondLife
[2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun
[2007-06-11|14:20] C:\DOCUME~1\ADMINI~1\APPLIC~1\TaoUSign
[2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\TuneUp Software
[2008-10-04|00:45] C:\DOCUME~1\ADMINI~1\APPLIC~1\uTorrent
[2007-01-28|11:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\Visicom Media
[2007-07-31|23:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\vlc
[2007-06-03|20:00] C:\DOCUME~1\ADMINI~1\APPLIC~1\X-Chat 2

[2006-11-17|10:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[2007-05-02|22:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL Downloads
[2008-05-13|15:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[2007-06-15|17:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[2007-07-11|09:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
[2008-07-11|20:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
[2008-10-05|22:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[2007-11-19|20:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[2007-02-06|11:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSScanAppDataDir
[2007-02-02|19:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[2008-05-15|17:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sandlot Games
[2008-05-16|00:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[2007-01-30|10:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TuneUp Software
[2008-01-31|12:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[2007-07-06|12:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller
[2007-11-19|20:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[2007-07-06|12:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[2007-01-28|11:14] C:\DOCUME~1\FABIAN~1\APPLIC~1\Microsoft


[2004-07-20|11:59] C:\DOCUME~1\GX2601\APPLIC~1\Identities
[2007-01-27|14:28] C:\DOCUME~1\GX2601\APPLIC~1\Macromedia
[2007-01-27|14:50] C:\DOCUME~1\GX2601\APPLIC~1\Microsoft
[2007-01-27|14:27] C:\DOCUME~1\GX2601\APPLIC~1\Mozilla
[2007-01-27|14:47] C:\DOCUME~1\GX2601\APPLIC~1\OpenOffice.org2
[2007-01-27|11:58] C:\DOCUME~1\GX2601\APPLIC~1\TuneUp Software

[2007-06-11|10:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[2007-11-20|10:39] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINNT\tasks

[2008-10-02 10:51][--a------] C:\WINNT\tasks\AppleSoftwareUpdate.job
[2008-10-03 17:15][--a------] C:\WINNT\tasks\Maintenance en 1 clic.job
[2008-10-06 15:45][--ah-----] C:\WINNT\tasks\SA.DAT
[2002-08-21 22:47][-r-h-c---] C:\WINNT\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[2004-07-20|11:52] C:\Program Files\Accessoires
[2007-09-12|14:07] C:\Program Files\Activision
[2006-11-17|10:49] C:\Program Files\Adobe
[2007-01-24|18:27] C:\Program Files\Alwil Software
[2004-07-20|15:57] C:\Program Files\Analog Devices
[2008-05-14|09:39] C:\Program Files\Apple Software Update
[2007-01-24|17:28] C:\Program Files\ATI Technologies
[2008-06-17|13:01] C:\Program Files\Betway
[2008-05-13|15:21] C:\Program Files\Bonjour
[2008-03-25|19:56] C:\Program Files\Bullfrog
[2008-10-05|19:18] C:\Program Files\CCleaner
[2008-06-03|09:13] C:\Program Files\Codemasters
[2004-07-20|16:19] C:\Program Files\Common Files
[2004-07-20|11:53] C:\Program Files\ComPlus Applications
[2007-11-17|08:45] C:\Program Files\Corel
[2007-09-21|07:21] C:\Program Files\CyberLink
[2008-03-26|02:14] C:\Program Files\DAEMON Tools
[2007-05-12|16:00] C:\Program Files\DaemonTools_WhenUSave_Installer
[2007-01-29|15:04] C:\Program Files\directx
[2008-09-27|08:11] C:\Program Files\EA GAMES
[2008-09-17|10:13] C:\Program Files\eMule
[2008-09-10|17:31] C:\Program Files\Enjoy 6e
[2008-06-19|14:54] C:\Program Files\Everest Poker
[2007-06-18|22:15] C:\Program Files\Everest Poker.net
[2008-10-06|15:31] C:\Program Files\Fichiers communs
[2008-05-21|12:54] C:\Program Files\Full Tilt Poker
[2007-09-08|09:08] C:\Program Files\FusionSoft DVD Player XP
[2008-05-16|11:34] C:\Program Files\Gamenext
[2007-05-12|21:11] C:\Program Files\Grisoft
[2007-09-09|15:29] C:\Program Files\Groove Games
[2007-02-15|12:40] C:\Program Files\Guitar Pro 5
[2004-10-27|16:18] C:\Program Files\Hewlett-Packard
[2008-01-19|08:59] C:\Program Files\Hijackthis Version Française
[2008-09-11|09:49] C:\Program Files\Incomplete
[2007-01-27|10:52] C:\Program Files\Infogrames
[2008-05-21|12:54] C:\Program Files\InstallShield Installation Information
[2004-07-20|16:00] C:\Program Files\Intel
[2008-04-16|07:51] C:\Program Files\Internet Explorer
[2008-07-31|11:31] C:\Program Files\iPod
[2008-07-31|11:31] C:\Program Files\iTunes
[2008-09-27|08:11] C:\Program Files\IZArc
[2007-01-24|22:48] C:\Program Files\Java
[2004-07-20|11:52] C:\Program Files\Lecteur Windows Media
[2007-09-02|17:14] C:\Program Files\LG Electronics
[2007-09-02|17:13] C:\Program Files\LG PC Suite
[2008-09-11|09:48] C:\Program Files\LimeWire
[2008-01-06|17:39] C:\Program Files\Macrogaming
[2007-05-12|19:15] C:\Program Files\MagicISO
[2008-10-05|22:36] C:\Program Files\Malwarebytes' Anti-Malware
[2007-07-06|12:24] C:\Program Files\Messenger
[2004-07-20|11:55] C:\Program Files\microsoft frontpage
[2007-12-09|17:48] C:\Program Files\Microsoft Games
[2007-02-06|10:32] C:\Program Files\Microsoft Office
[2007-11-19|20:59] C:\Program Files\Microsoft SQL Server Compact Edition
[2007-02-06|10:32] C:\Program Files\Microsoft Visual Studio
[2007-11-22|10:28] C:\Program Files\Microsoft Works
[2007-02-06|10:31] C:\Program Files\Microsoft.NET
[2008-01-19|19:50] C:\Program Files\ModTheSims2.com
[2007-07-06|12:24] C:\Program Files\Movie Maker
[2008-10-06|15:51] C:\Program Files\Mozilla Firefox
[2007-01-24|17:53] C:\Program Files\MSN
[2007-01-24|17:52] C:\Program Files\MSN Gaming Zone
[2008-10-06|14:02] C:\Program Files\Navilog1
[2007-07-06|12:20] C:\Program Files\NetMeeting
[2008-03-10|18:41] C:\Program Files\Nobilis
[2007-07-06|17:55] C:\Program Files\Notepad++
[2008-03-19|14:45] C:\Program Files\NRJ
[2008-04-16|08:11] C:\Program Files\NVIDIA Corporation
[2008-08-27|22:05] C:\Program Files\Opera
[2007-07-06|12:20] C:\Program Files\Outlook Express
[2007-10-30|16:02] C:\Program Files\PacificPoker
[2008-07-08|20:26] C:\Program Files\PacificPoker4
[2008-01-06|17:38] C:\Program Files\Philips ToUcam Camera
[2007-02-05|22:45] C:\Program Files\PhotoFiltre
[2008-07-31|11:27] C:\Program Files\QuickTime
[2008-03-11|21:30] C:\Program Files\Real
[2007-01-25|10:40] C:\Program Files\Realtek AC97
[2007-01-24|17:57] C:\Program Files\Services en ligne
[2007-02-06|11:15] C:\Program Files\Sierra On-Line
[2008-10-02|18:44] C:\Program Files\SimPE
[2008-04-11|20:36] C:\Program Files\Sims2Pack Clean Installer
[2007-01-25|17:25] C:\Program Files\Slitherine
[2007-01-30|15:46] C:\Program Files\Strategy First
[2007-05-04|17:32] C:\Program Files\TGTSoft
[2008-10-05|11:19] C:\Program Files\Trend Micro
[2007-07-18|11:39] C:\Program Files\Trymedia
[2007-09-08|13:38] C:\Program Files\Ubisoft
[2007-02-06|19:18] C:\Program Files\Ulead Systems
[2004-07-20|12:20] C:\Program Files\Uninstall Information
[2008-09-11|09:57] C:\Program Files\uTorrent
[2006-11-17|10:47] C:\Program Files\VideoLAN
[2007-01-24|23:07] C:\Program Files\Visicom Media
[2008-06-03|09:13] C:\Program Files\Windows Live
[2008-03-19|14:48] C:\Program Files\Windows Media Components
[2008-01-31|00:47] C:\Program Files\Windows Media Connect 2
[2008-01-31|00:47] C:\Program Files\Windows Media Player
[2007-07-06|12:20] C:\Program Files\Windows NT
[2007-11-19|20:11] C:\Program Files\WindowsUpdate
[2007-05-30|09:39] C:\Program Files\WinRAR
[2007-02-06|10:45] C:\Program Files\WinZip
[2007-01-24|18:00] C:\Program Files\xerox
[2007-06-18|20:45] C:\Program Files\Yahoo!

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[2007-02-06|19:17] C:\Program Files\Fichiers communs\Adaptec Shared
[2006-11-17|10:50] C:\Program Files\Fichiers communs\Adobe
[2008-05-13|15:16] C:\Program Files\Fichiers communs\Apple
[2007-01-27|20:47] C:\Program Files\Fichiers communs\Blizzard Entertainment
[2007-02-06|10:32] C:\Program Files\Fichiers communs\DESIGNER
[2008-05-01|13:39] C:\Program Files\Fichiers communs\DirectX
[2007-02-20|11:31] C:\Program Files\Fichiers communs\InstallShield
[2007-01-24|22:45] C:\Program Files\Fichiers communs\Java
[2007-11-22|10:26] C:\Program Files\Fichiers communs\Microsoft Shared
[2007-01-24|17:56] C:\Program Files\Fichiers communs\MSSoap
[2008-05-15|17:16] C:\Program Files\Fichiers communs\Oberon Media
[2004-07-20|12:43] C:\Program Files\Fichiers communs\ODBC
[2008-03-11|21:31] C:\Program Files\Fichiers communs\Real
[2005-06-14|14:36] C:\Program Files\Fichiers communs\Services
[2007-02-06|19:18] C:\Program Files\Fichiers communs\Smith Micro Shared
[2007-01-24|17:47] C:\Program Files\Fichiers communs\SpeechEngines
[2007-07-06|12:19] C:\Program Files\Fichiers communs\System
[2008-09-10|17:31] C:\Program Files\Fichiers communs\Thraex Software
[2007-11-19|20:37] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[2008-03-11|21:31] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 31 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-06 16:53:54
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API
scan completed successfully
hidden processes: 0
hidden files: 1

--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_PE386]
Rootkit Rustock ! .. [HKLM\..\CurrentControlSet\Enum\Root\Pe386]
Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_PE386]
Rootkit Rustock ! .. [HKLM\..\ControlSet001\Enum\Root\Pe386]
Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_PE386]
Rootkit Rustock ! .. [HKLM\..\ControlSet003\Enum\Root\Pe386]



[F:70][D:0]-> C:\DOCUME~1\ADMINI~1\Cookies
[F:4][D:1]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 05/10/2008|19:36 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 05/10/2008|20:06 - Option : [2]
3 - "C:\Lop SD\LopR_3.txt" - 2008-10-06|16:55 - Option : [1]

--------------------\\ Fin du rapport a 16:55:41


Je fais le reste
0
Réponse 53 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 17:07
Et bien je pensais pas que cette analyse serait si rapide.
Voici les rapports :

Log :

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrateur at 2008-10-06 17:04:17
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 10 GB (25%) free of 39 GB
Total RAM: 1022 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04, on 2008-10-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [qH4S9e3UFL] C:\Documents and Settings\All Users\Application Data\rsnqrwdm\zqnojsnm.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Program Files\Betway\Casino\casinogame.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - C:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
0
Réponse 54 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 17:24
bien ...

1- Ouvre le bloc-notes (menu démarrer/accessoire/bloc-note) et fais un copier coller de ce qui est en citation en gras ci-dessous ( copie tout d'un trait ) : 


REGEDIT4 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"qH4S9e3UFL"=-



Sauvegarder le document sur ton bureau :
Vas sur "fichier"/"enregistrer sous" :
--->Nom du fichier, tu tapes : fix.reg
Type de fichier, tu choisis : "tous les fichiers"
cliques sur "enregistrer"

-!!Déconnectes toi et fermes toute tes applications en cours !!

Doubles clique sur fix.reg qui est sur ton bureau => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"



2- Télécharges ce prg (par ejvindh):

http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegardes-le sur ton Bureau.

-!!Déconnectes toi et fermes toute tes applications en cours !!

Double cliques "rustbfix.exe" afin de lancer l'outil.
Si une infection Rustock.b est détectée, une fenêtre t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

-> sauvegardes les sur ton bureau .

Postes (Copie/Colle) le contenu de ces deux rapports pour analyse et attends la suite ...

0
Réponse 55 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 17:40
aussitôt dit aussitôt fait , voici le court rapport même moi j'ai compris :-D

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
2008-10-06 17:38:53.89

No Rustock.b-rootkits found

******************************* End of Logfile ********************************
0
Réponse 56 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 17:43
Mouais ... il ne reconnais pas la variente ...


fais ceci stp :

1- Désactives Avast le temps de la manipe .


2- Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher :
-->tapes ou fais un copier coller de : Pe386

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisses le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...
0
Réponse 57 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 17:54
c'est fait :

2008-10-06 ---- 17:49:47.43

----------------------------------
§§§§§§ [Pe386] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000]
"Service"="pe386"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000]
"Service"="pe386"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000]
"Service"="pe386"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000\LogConf]

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


Je suis désolée de te donner autant de boulot...
0
Réponse 58 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 18:03
Je suis désolée de te donner autant de boulot...
--> t'inquiètes ... aucun prb ... ^^

Bien ... maintenant dans l'ordre :

( on va repartir sur des outils "propres" )


1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( gardes CCleaner et Malwarebytes : très utiles ! )


2- supprimes Combofix ainsi :
-->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne :

ComboFix /u

( laisses l'espace entre Combofix et /u )

-->Valides .


3- Refais un coup de CCleaner ( registre compris ) .


4- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le momment )


5- On va réutiliser Combofix :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

A-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE­386]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE­386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE­386\0000]
"Service"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PE386\0000\LogConf]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000]
"Service"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PE386\0000\LogConf]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000]
"Service"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PE386\0000\LogConf]

Driver::
Pe386


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


B-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 59 / 92
Beloune Messages postés 192 Date d'inscription samedi 12 mai 2007 Statut Membre Dernière intervention 21 septembre 2015 18
6 oct. 2008 à 18:35
voici le premier rapport.

Sur mon bureau il reste :

- Safebootkeyrepair.exe,
- mbam-setup.exe,
- RSIT.exe,
- fix.reg
- ce que j'ai téléchargé pour faire la console de je ne sais plus quoi, combo je crois....

Rapport :

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\lopR.txt: trouvé !
C:\TB.txt: trouvé !
C:\SDFIX: trouvé !
C:\Combofix: trouvé !
C:\Lop SD: trouvé !
C:\Rustbfix: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\ComboFix\Combofix.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\LopSD.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rustbfix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\pelog.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\hijackthis.log: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\fixnavi.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\cleannavi.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\lopR.txt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\rapports\TB.txt: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Recent\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Hijackthis Version Française\hijackthis.log: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Rustbfix\avenger.exe: trouvé !
C:\Rustbfix\pelog.txt: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\LopSD.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rustbfix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ToolBarSD.exe: supprimé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Recent\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Rustbfix\avenger.exe: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\lopR.txt: supprimé !
C:\TB.txt: supprimé !
C:\ComboFix\Combofix.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\pelog.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\OAD.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\hijackthis.log: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\fixnavi.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\cleannavi.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\lopR.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\rapports\TB.txt: supprimé !
C:\Program Files\Hijackthis Version Française\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Rustbfix\pelog.txt: supprimé !
C:\SDFIX: supprimé !
C:\Combofix: supprimé !
C:\Lop SD: supprimé !
C:\Rustbfix: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !
0
Réponse 60 / 92
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 oct. 2008 à 18:37
Fais la suite dans l'ordre ...
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse