Winrun.dll + anna i liebe you

ikik -  
 Zorrocom -
Bonjour,

je pense que j'ai infecté plusieurs ordinateur avec winrunn.dll et anna i liebe you (c'est pas que je ne l'aime pas cette anna mais enfin, .. bon)

voici mon rapport hijackthis.
si qqun peut l'analyser

merci
cordialement

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FAPIEXE.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\FunTV Installation\T7Ir9x.exe
C:\Program Files\Larousse\Petit Larousse 2009\bin\Hyperappel.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\slrundll.exe
C:\Documents and Settings\jb\Mes documents\desinfection\hijackthis\sihtkcajih.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.olidata.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = // ;) anna I Liebe YOU ==> MILK@3|_!!!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Documents and Settings\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Documents and Settings\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CallControl 4.5] C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ScanSoft OmniPage 16-reminder] "C:\Program Files\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXDBCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDBtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [officescan] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs
O4 - HKLM\..\Run: [winrun.dll] C:\WINDOWS\winrun.dll.vbs
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [OpAgent] "OpAgent.exe" /agent
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: TomTom HOME.lnk = C:\Program Files\TomTom HOME\TomTomHOME.exe
O4 - Global Startup: FunTV Remote Control.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Hyperappel du Petit Larousse 2009.lnk = C:\Program Files\Larousse\Petit Larousse 2009\bin\Hyperappel.exe
O4 - Global Startup: officescan.vbs
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB54C4CD-C531-48F8-AC47-7C1795FF4E8D}: NameServer = 80.10.246.134 80.10.246.7
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: lxdb_device - - C:\WINDOWS\system32\lxdbcoms.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Documents and Settings\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Documents and Settings\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Documents and Settings\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
Configuration: Windows XP
Internet Explorer 6.0

14 réponses

  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    il manque le début du rapport. Merci.
    1
  2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ensuite faire ceci :

    Regarde bien le tuto.
    1
  3. T'Chiki Messages postés 61 Statut Membre 6
     
    de rien , dommage pour anna -,)

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs

    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    "officescan"=-

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    1
  4. T'Chiki Messages postés 61 Statut Membre 6
     
    Salut,

    Telecharge UsbFix sur ton bureau

    --> Lance l installation avec les parametres par default

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci UsbFix sur ton bureau

    -->choisi l option 1 (nettoyage)

    --> Le pc va redémarer

    -->Apres redémarrage post le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ikik
     
    rebonjour,

    voici le resultat de usbfix :

    -------------- UsbFix V2.413.8 ---------------

    * User : jb - ORDINATEUR
    * Outils mis a jours le 27/12/2008 par Chiquitine29 et Chimay8
    * Recherche effectuée à 17:37:34 le 31/12/2008
    * Windows Xp - Internet Explorer 6.0.2900.2180

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\userinit.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

    --------------- [ Informations lecteurs ] ----------------

    C: - Lecteur fixe

    D: - Lecteur de CD-ROM

    I: - Lecteur amovible

    +- Contenu de l'autorun : C:\autorun.inf

    [autorun]
    shellexecute=Wscript.exe winrun.vbs

    +- Contenu de l'autorun : D:\autorun.inf

    [autorun]
    OPEN=setup.exe
    ICON=autorun.ICO

    +- Contenu de l'autorun : I:\autorun.inf

    [autorun]
    shellexecute=Wscript.exe winrun.vbs

    --------------- [ Lecteur C ] ----------------

    C: - Lecteur fixe

    +- Listing des fichiers présents :

    [24/09/2006 09:01][--a------] C:\AUTOEXEC.BAT
    [05/08/2004 14:00][-rahs----] C:\NTDETECT.COM
    [31/12/2008 17:33][-rahs----] C:\winrun.vbs
    [08/01/2008 09:00][--ahs----] C:\BOOT.INI
    [31/12/2008 17:33][-rahs----] C:\autorun.inf
    [26/04/2005 17:15][--ah-----] C:\BOOTLOG.TXT
    [26/04/2005 17:15][--ah-----] C:\cleannavi.txt
    [26/04/2005 17:15][--ah-----] C:\fixnavi.txt
    [26/04/2005 17:15][--ah-----] C:\tmp3.txt
    [26/04/2005 17:15][--ah-----] C:\ComboFix2.txt
    [26/04/2005 17:15][--ah-----] C:\ComboFix.txt
    [26/04/2005 17:15][--ah-----] C:\UsbFix.txt
    [][] C:\pagefile.sys
    [][] C:\hiberfil.sys
    [][] C:\MSDOS.SYS
    [][] C:\IO.SYS

    --------------- [ Lecteur D ] ----------------

    D: - Lecteur de CD-ROM

    +- Listing des fichiers présents :

    [17/05/2007 06:46][-r-------] D:\Setup.exe
    [17/05/2007 06:46][-r-------] D:\Setup.ini
    [17/05/2007 06:45][-r-------] D:\AUTORUN.INF

    --------------- [ Lecteur I ] ----------------

    I: - Lecteur amovible

    +- Listing des fichiers présents :

    [31/12/2008 17:33][-rahs----] I:\winrun.vbs
    [19/12/1997 14:29][--a------] I:\CHRONOP.EXE
    [19/12/1997 14:29][--a------] I:\install.exe
    [19/12/1997 14:29][--a------] I:\installMPCTS.exe
    [31/12/2008 17:33][-rahs----] I:\autorun.inf
    [07/12/2008 12:25][--a------] I:\noel.txt

    --------------- [ Registre / Startup ] ----------------

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Search Page"="https://www.google.com/?gws_rd=ssl"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Power2GoExpress="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    OpAgent="OpAgent.exe" /agent

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Watch=C:\PROGRA~1\MINITEL\Watch.exe
    SoundMan=SOUNDMAN.EXE
    RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    PCMService="C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
    lxcrmon.exe="C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
    hppwrsav=C:\SCANJET\PrecisionScanLT\hppwrsav.exe
    FaxCenterServer="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    EzPrint="C:\Program Files\Lexmark 2400 Series\ezprint.exe"
    ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    CallControl 4.5=C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe /autoload
    ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    !AVG Anti-Spyware="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    ISUSPM Startup=C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    ScanSoft OmniPage 16-reminder="C:\Program Files\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
    SSBkgdUpdate="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    LXDBCATS=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDBtime.dll,_RunDLLEntry@16
    LXCRCATS=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
    officescan=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    Installed=1
    NoChange=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDriveTypeAutoRun"=hex:ff,00,00,00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDriveAutoRun"=dword:03ffffff
    "NoDriveTypeAutoRun"=dword:000000ff

    --------------- [ Registre / Mountpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3c68b7ca-c1c1-11db-bcd5-00016ca18208}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{523464b0-4dce-11dd-bfb2-00016ca18208}\Shell\AutoRun\command

    --------------- [ Nettoyage des disques ] ----------------

    Supprimé ! - [31/12/2008 17:33][-rahs----] C:\WINDOWS\winrun.dll.vbs
    Supprimé ! - [13/12/2007 21:26][--a------] C:\WINDOWS\system32\swreg.exe
    Supprimé ! - [04/12/2007 01:00][--a------] C:\WINDOWS\system32\swsc.exe
    Supprimé ! - [01/12/2006 05:20][--a------] C:\WINDOWS\system32\swxcacls.exe
    Supprimé ! - [31/12/2008 17:33][-rahs----] C:\autorun.inf
    Supprimé ! - [31/12/2008 17:33][-rahs----] C:\winrun.vbs
    Echec de la supression !! - [17/05/2007 06:45] D:\autorun.inf
    Echec de la supression !! - [17/05/2007 06:45] D:\autorun.inf
    Echec de la supression !! - [17/05/2007 06:45] D:\autorun.inf
    Supprimé ! - [31/12/2008 17:33][-rahs----] I:\autorun.inf
    Supprimé ! - [13/11/2008 10:57][--a------] I:\install.exe
    Supprimé ! - [31/12/2008 17:33][-rahs----] I:\winrun.vbs

    --------------- [ Resumé ] ----------------

    -> /!\ Le resultat doit etre interprété par un spécialiste /!\

    [24/09/2006 09:01][--a------] C:\AUTOEXEC.BAT
    [05/08/2004 14:00][-rahs----] C:\NTDETECT.COM
    [08/01/2008 09:00][--ahs----] C:\BOOT.INI
    [17/05/2007 06:46][-r-------] D:\Setup.exe
    [17/05/2007 06:46][-r-------] D:\Setup.ini
    [17/05/2007 06:45][-r-------] D:\AUTORUN.INF
    [19/12/1997 14:29][--a------] I:\CHRONOP.EXE
    [19/12/1997 14:29][--a------] I:\installMPCTS.exe

    --------------- ! Fin du rapport ! ----------------

    merci
    0
  7. ikik
     
    bonjour,

    voici le rapport de move it :

    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== FILES ==========
    File move failed. C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs scheduled to be moved on reboot.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\\officescan deleted successfully.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12312008_175743

    Files moved on Reboot...
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs moved successfully.
    File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

    par contre anna (qui a l'air de bien m'aimer) semble etre revenu.

    merci
    cordialement
    0
  8. T'Chiki Messages postés 61 Statut Membre 6
     
    REVENU ?

    repasse usbfix et post le rapport stp ensuite ça devrait etre bon
    0
  9. ikik
     
    bon Anna est reparti. j'espere que la rupture est difinitive :)

    voici le rapport usbfix.

    -------------- UsbFix V2.413.8 ---------------

    * User : jb - ORDINATEUR
    * Outils mis a jours le 27/12/2008 par Chiquitine29 et Chimay8
    * Recherche effectuée à 18:20:26 le 31/12/2008
    * Windows Xp - Internet Explorer 6.0.2900.2180

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

    --------------- [ Informations lecteurs ] ----------------

    C: - Lecteur fixe

    D: - Lecteur de CD-ROM

    I: - Lecteur amovible

    +- Contenu de l'autorun : C:\autorun.inf

    [autorun]
    shellexecute=Wscript.exe winrun.vbs

    +- Contenu de l'autorun : D:\autorun.inf

    [autorun]
    OPEN=setup.exe
    ICON=autorun.ICO

    +- Contenu de l'autorun : I:\autorun.inf

    [autorun]
    shellexecute=Wscript.exe winrun.vbs

    --------------- [ Lecteur C ] ----------------

    C: - Lecteur fixe

    +- Listing des fichiers présents :

    [24/09/2006 09:01][--a------] C:\AUTOEXEC.BAT
    [05/08/2004 14:00][-rahs----] C:\NTDETECT.COM
    [31/12/2008 18:17][-rahs----] C:\winrun.vbs
    [08/01/2008 09:00][--ahs----] C:\BOOT.INI
    [31/12/2008 18:17][-rahs----] C:\autorun.inf
    [26/04/2005 17:15][--ah-----] C:\BOOTLOG.TXT
    [26/04/2005 17:15][--ah-----] C:\cleannavi.txt
    [26/04/2005 17:15][--ah-----] C:\fixnavi.txt
    [26/04/2005 17:15][--ah-----] C:\tmp3.txt
    [26/04/2005 17:15][--ah-----] C:\ComboFix2.txt
    [26/04/2005 17:15][--ah-----] C:\ComboFix.txt
    [26/04/2005 17:15][--ah-----] C:\UsbFix.txt
    [][] C:\pagefile.sys
    [][] C:\hiberfil.sys
    [][] C:\MSDOS.SYS
    [][] C:\IO.SYS

    --------------- [ Lecteur D ] ----------------

    D: - Lecteur de CD-ROM

    +- Listing des fichiers présents :

    [17/05/2007 06:46][-r-------] D:\Setup.exe
    [17/05/2007 06:46][-r-------] D:\Setup.ini
    [17/05/2007 06:45][-r-------] D:\AUTORUN.INF

    --------------- [ Lecteur I ] ----------------

    I: - Lecteur amovible

    +- Listing des fichiers présents :

    [31/12/2008 18:17][-rahs----] I:\winrun.vbs
    [19/12/1997 14:29][--a------] I:\CHRONOP.EXE
    [19/12/1997 14:29][--a------] I:\installMPCTS.exe
    [31/12/2008 18:17][-rahs----] I:\autorun.inf
    [07/12/2008 12:25][--a------] I:\noel.txt

    --------------- [ Registre / Startup ] ----------------

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Search Page"="https://www.google.com/?gws_rd=ssl"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Power2GoExpress="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    OpAgent="OpAgent.exe" /agent

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Watch=C:\PROGRA~1\MINITEL\Watch.exe
    SoundMan=SOUNDMAN.EXE
    RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    PCMService="C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
    lxcrmon.exe="C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
    hppwrsav=C:\SCANJET\PrecisionScanLT\hppwrsav.exe
    FaxCenterServer="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    EzPrint="C:\Program Files\Lexmark 2400 Series\ezprint.exe"
    ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    CallControl 4.5=C:\PROGRAM FILES\FAXTALK COMMUNICATOR\FTCtrl32.exe /autoload
    ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    !AVG Anti-Spyware="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    ISUSPM Startup=C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    ScanSoft OmniPage 16-reminder="C:\Program Files\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
    SSBkgdUpdate="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    LXDBCATS=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDBtime.dll,_RunDLLEntry@16
    LXCRCATS=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
    officescan=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    Installed=1
    NoChange=1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDriveTypeAutoRun"=hex:ff,00,00,00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDriveAutoRun"=dword:03ffffff
    "NoDriveTypeAutoRun"=dword:000000ff

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Recherche négative.

    --------------- [ Nettoyage des disques ] ----------------

    Supprimé ! - [31/12/2008 18:17][-rahs----] C:\WINDOWS\winrun.dll.vbs
    Supprimé ! - [31/12/2008 18:17][-rahs----] C:\autorun.inf
    Supprimé ! - [31/12/2008 18:17][-rahs----] C:\winrun.vbs
    Echec de la supression !! - [17/05/2007 06:45] D:\autorun.inf
    Echec de la supression !! - [17/05/2007 06:45] D:\autorun.inf
    Echec de la supression !! - [17/05/2007 06:45] D:\autorun.inf
    Supprimé ! - [31/12/2008 18:17][-rahs----] I:\autorun.inf
    Supprimé ! - [31/12/2008 18:17][-rahs----] I:\winrun.vbs

    --------------- [ Resumé ] ----------------

    -> /!\ Le resultat doit etre interprété par un spécialiste /!\

    [24/09/2006 09:01][--a------] C:\AUTOEXEC.BAT
    [05/08/2004 14:00][-rahs----] C:\NTDETECT.COM
    [08/01/2008 09:00][--ahs----] C:\BOOT.INI
    [17/05/2007 06:46][-r-------] D:\Setup.exe
    [17/05/2007 06:46][-r-------] D:\Setup.ini
    [17/05/2007 06:45][-r-------] D:\AUTORUN.INF
    [19/12/1997 14:29][--a------] I:\CHRONOP.EXE
    [19/12/1997 14:29][--a------] I:\installMPCTS.exe

    --------------- ! Fin du rapport ! ----------------

    merci.
    0
  10. T'Chiki Messages postés 61 Statut Membre 6
     
    PERSO , je pense que anna est une mechante fille qui va revenir t embeter au prochain reboot

    fais ceci :

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe
    C:\WINDOWS\System32\WScript.exe
    WScript.exe

    :files
    C:\WINDOWS\winrun.dll.vbs
    C:\autorun.inf
    C:\winrun.vbs
    I:\autorun.inf
    I:\winrun.vbs
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs

    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    "officescan"=-

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  11. ikik
     
    gagné,

    elle est revenue.

    voici le rapport de move it

    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    Unable to kill process: C:\WINDOWS\System32\WScript.exe
    Process WScript.exe killed successfully.
    ========== FILES ==========
    C:\WINDOWS\winrun.dll.vbs moved successfully.
    C:\autorun.inf moved successfully.
    C:\winrun.vbs moved successfully.
    I:\autorun.inf moved successfully.
    I:\winrun.vbs moved successfully.
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs moved successfully.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\\officescan deleted successfully.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12312008_201816

    Files moved on Reboot...
    File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

    merci
    0
  12. T'Chiki Messages postés 61 Statut Membre 6
     
    re , je m en doutais

    dis moi si elle est revenu ou pas
    0
  13. ikik
     
    bonjour et bonne année.

    sans ma clé usb, anna n'est pas revenu.
    j'ai pas encore essayé avec.

    a+
    0
  14. Utilisateur anonyme
     
    SALUT

    bonne année aussi

    sans ma clé usb, anna n'est pas revenu.

    essayons ...
    0
  15. Zorrocom
     
    Salut tous, et BONNE ANNEE
    parcontre avec moi et UsbFix et apres choisir le F comme language et le 1 comme recherche et apres avoir posté le rapport ici sur le forum elle est toujours là mazelle Anna !!!!!
    comment faire ?
    Voici le nouveau mon rapport apres le vaccin, mais ok1 changement ( sachant que ma clé usb est toujours branché ):

    ############################## | UsbFix V6.061 |

    User : _Zoheir_ (Administrateurs) # WXPJEB
    Update on 10/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 01:39:17 | 12/12/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 9,76 Go (1,52 Go free) # FAT32
    D:\ -> Disque fixe local # 133,82 Go (27,27 Go free) # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 7,45 Go (5,3 Go free) [STORE N GO] # FAT32

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # D:\autorun.inf -> Dossier créé par UsbFix.
    # F:\autorun.inf -> Dossier créé par UsbFix.

    ################## | ! Fin du rapport # UsbFix V6.061 ! |

    Merci d'avance.
    0